Segurança de Redes - Projeto e Gerenciamento de Redes Seguras

Slideshow Transcript

1. Slide 1: SEGURANÇA DE REDES Projeto e Gerenciamento de Redes Seguras Jivago Alves
2. Slide 2: Roteiro  O que é segurança?  O processo de segurança  O processo está funcionando?  Política de segurança  Como escrever uma política  Conteúdo da política  Quem está atacando?  Boas práticas
3. Slide 3: O que é segurança?  Segurança é proporcional ao valor protegido.  Lidamos com componentes humanos!  Que tipo de empresa estamos protegendo? SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 3
4. Slide 4: O processo de segurança  Processo contínuo... SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 4
5. Slide 5: O processo de segurança SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 5
6. Slide 6:  O processo está funcionando?  Não existe forma provar um ataque e receber os créditos pelo sucesso da defesa.  Atividade não pode ser diferenciada como legítima ou acidental.  Paradoxo: impossível quantificar, mas sem quantificação o processo parecerá ser um fracasso. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 6
7. Slide 7: Política de segurança  O que e por que está sendo protegido?  Prioridades de segurança: o que tem mais valor?  Definir acordo explícito entre partes.  Fornece motivos válidos para se dizer não e para sustentá-lo.  Impede que tenhamos um desempenho fútil. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 7
8. Slide 8: Como escrever uma política  Escreva um esboço com idéias genéricas e essenciais.  Descubra 3 pessoas para o comitê de política de segurança.  O comitê será legislador, você é o executor!  Divulgue a política, crie um site interno.  Trate a política como regras absolutas com força de lei. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 8
9. Slide 9: Como escrever uma política  Se alguém tiver algum problema com a política, faça com que a pessoa proponha uma sugestão.  Programe encontros regulares para consolidar a política. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 9
10. Slide 10: Conteúdo da política  Defina prioridades 1) Saúde e segurança humana 2) Conformidade com legislação local, estadual e federal 3) Interesses da empresa 4) Interesses de parceiros da empresa 5) Disseminação gratuita e aberta de informações não-sensíveis. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 10
11. Slide 11: Conteúdo da política  Defina níveis de acesso aos recursos:  Vermelho: somente func. ”vermelhos”  Amarelo: somente funcionários.  Verde: funcionários contratados e selecionados.  Branco: funcionários e contratados.  Preto: funcionários, contratados e público (selecionado) SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 11
12. Slide 12: Conteúdo da política  Caracterize seus recursos:  Vermelho: informações extremamente confidenciais  Amarelo: informações sensíveis, serviços importantes  Verde: capaz de ter acesso a recursos vermelhos, ou amarelos, mas sem info. essenciais.  Branco: sem acesso a vermelho, amarelo ou verde, sem acesso externo  Preto: acessível externamente, sem acesso aos anteriores. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 12
13. Slide 13: Conteúdo da política  Descrever responsabilidades e privilégios:  Geral: conhecimento da política  Admin. de sistemas: informações de usuário tratadas como confidenciais.  Admin. de segurança: mais alto nível de conduta ética.  Contratado: acesso a máquinas especificamente autorizadas.  Convidado: nenhum acesso, exceto com notificação prévia por escrito à segurança. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 13
14. Slide 14: Conteúdo da política  Definir penalidades:  Crítica: recomendação de demissão, abertura de ação legal.  Séria: recomendação de demissão, desconto de salário.  Limitada: desconto de salário, repreensão formal por escrito, suspensão não-remunerada. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 14
15. Slide 15: Quem está atacando?  É preciso estudar ameaças para uma boa defesa  Segurança é uma questão social.  Segredo é dificultar a vida do atacante.  Um ataque terá êxito se o atacante tiver:  Habilidade  Motivação  Oportunidade SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 15
16. Slide 16: Quem está atacando?  Navegadores, aproveitadores e vândalos.  Probab. alta, número grande, motivação baixa a média, e habilidade baixa a alta.  Estratégia de defesa:  Não ofereça recursos públicos e sem autenticação, que possam ser controlados pelos outros.  Examine os recursos periodicamente.  Elimine características atraentes para os atacantes.  Mantenha-se atualizado com metodologias de ataque. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 16
17. Slide 17: Quem está atacando?  Espiões e sabotadores.  Probab. depende da atividade, número baixo, motivação média a alta, habilidade média a alta.  Estratégia de defesa:  Sob ponto de vista externo, aparente ser um objetivo muito arriscado.  Elimine meios conhecidos de ataques de DoS.  Limite o que é conhecido publicamente sobre suas defesas.  Preteja os principais sistemas comerciais. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 17
18. Slide 18: Quem está atacando?  (Ex-)funcionários e (ex-)contratados frustrados.  Probab. média a alta, número depende da atividade, motivação alta, habilidade média a alta.  Estratégia de defesa:  Sob ponto de vista externo, aparente ser um objetivo muito arriscado.  Mantenha felizes seus funcionários. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 18
19. Slide 19: Quem está atacando?  Estratégia de defesa (cont.):  Desenvolva um plano para despedir funcionários que conhecem detalhes de segurança.  Elimine imediatamente o acesso.  Avise que o funcionário será o primeiro suspeito, em caso de ataque.  Crie situação na qual o funcionário demitido não será capaz de abusar do sistema. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 19
20. Slide 20: Boas práticas  Aprenda tudo que puder sobre as ameaças que encontrar.  Planeje o melhor possível de acordo com o que aprendeu, antes de implementar qualquer coisa.  Pense patologicamente e fortaleça o projeto.  Implemente exatamente como foi projetado.  Verifique tudo continuamente, previna-se! SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 20
21. Slide 21: Boas práticas  Pratique a execução para chegar a perfeição.  Simplifique o que deseja que as pessoas façam.  Dificulte o que não deseja que elas façam.  Facilite a identificação de problemas: um bom registro de problemas ajuda.  Teste tudo que puder testar! SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 21
22. Slide 22: Dúvidas? SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 22
23. Slide 23: Referências  Segurança de Redes – Thomas A. Wadlow. SETEMBRO 2008 ARIS - ADVANCED RESEARCH IN INFORMATION SECURITY 23