Introdução segurança de informação
0 gostou•481 visualizações
O documento apresenta uma introdução à segurança de sistemas de informação, discutindo objetivos, modelo geral de segurança CID, ataques comuns e referências. O modelo CID cobre confidencialidade, integridade e disponibilidade de dados, enquanto os ataques incluem interceptação, interrupção, modificação e fabricação.
![Vis˜o geral
a Modelo geral de seguranca
¸ Ataques Referencias
Assegurando Informac˜o
¸a
“O unico sistema realmente seguro ´ aquele que est´ desligado,
´ e a
dentro dum bloco de concreto com guardas armados, e mesmo
assim eu tenho minhas d´vidas”[Andress 2011].
u](https://image.slidesharecdn.com/aulasegurana-130115103111-phpapp02/85/Introducao-seguranca-de-informacao-10-320.jpg)
Introdução segurança de informação
- 1. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Introduc˜o a seguranca em sistemas de ¸a ¸ informac˜o ¸a V´ ıctor Orozco, Dr. Ana Trindade Winck Centro de Tecnologia Universidade Federal de Santa Maria 15 de Janeiro de 2013
- 2. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Objetivos da aula • Apresentar uma vis˜o geral da grande ´rea de seguranca da a a ¸ informac˜o ¸a • Identificar princ´ ıpios b´sicos de seguranca a ¸ • Discutir um modelo gen´rico de seguranca de informac˜o e ¸ ¸a
- 3. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Roteiro Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias
- 4. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Seguranca ¸
- 5. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Seguranca ¸ • A seguranca ´ um dos mais antigos problemas que governos, ¸ e organizac˜es comerciais e quase todas as pessoas tem de ¸o enfrentar • Pode-se definir a seguranca como a percepc˜o de estar ¸ ¸a protegido contra riscos, perigos ou perdas.
- 6. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Seguranca ¸ • Em um sentido amplio a seguranca significa proteger os ¸ nossos ativos • Proteger os nossos sistemas contra atacantes • Proteger o nosso pr´dio contra desastres naturais e • Proteger a nossa carteira de roubos na boate
- 7. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Seguranca ¸ • Dependendo do contexto assim tem que ser as medidas de seguranca ¸ • Ativos f´ ısicos: Computadores, carros • Ativos l´gicos: Arquivos de dados, c´digo fonte de aplicativos o o • Ativos humanos: Seres humanos a base de qualquer negocio
- 8. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Seguranca em SI ¸ • Seguranca SI = Proteger sistemas de informac˜o e a ¸ ¸a informac˜o mesma de acesso n˜o autorizado, uso, divulgac˜o, ¸a a ¸a interrupc˜o, modificac˜o ou destruic˜o ¸a ¸a ¸a
- 9. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Seguranca em SI ¸ • Conceito que se torna cada vez mais presente em muitos aspectos da nossa sociedade • Embora a tecnologia nos permite ser mais produtivos, ela tamb´m carrega consigo uma s´rie de quest˜es de seguranca e e o ¸ • A introduc˜o de sistemas de informac˜o na industria tem ¸a ¸a aumentado o problema de seguranca ainda mais ¸ • Se a informac˜o sobre os sistemas utilizados pelos nossos ¸a empregadores ou nossos bancos fica exposta a um atacante, as consequˆncias podem ser devastadoras e
- 10. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Assegurando Informac˜o ¸a “O unico sistema realmente seguro ´ aquele que est´ desligado, ´ e a dentro dum bloco de concreto com guardas armados, e mesmo assim eu tenho minhas d´vidas”[Andress 2011]. u
- 11. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Assegurando Informac˜o ¸a • Quanto mais aumentamos o n´ de seguranca, geralmente ıvel ¸ diminui o n´ de produtividade ıvel • Devemos tamb´m considerar como o n´ de seguranca e ıvel ¸ refere-se o valor do item que est´ sendo assegurado a • Podemos construir uma instalac˜o militar cercada por c˜es ¸a a assassinos . . . mas n˜o faz sentido se o ativo a proteger for a a lista de compras do mercado.
- 12. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Assegurando Informac˜o ¸a • Definir um n´ aceit´vel de seguranca ´ um processo ıvel a ¸ e subjectivo • T´cnica generalizada: Definir uma lista dos ativos onde somos e vulner´veis (sempre vai ter alguma coisa a mais) a • Alguns regulamentos tentam definir o que proteger, ou pelo menos alguns dos passos que uma organizac˜o deve tomar ¸a para ser “seguro”.
- 13. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Assegurando Informac˜o ¸a • Como pode-se definir esse listado? • Listando nossos ativos e verificando se eles apresentam caracter´ ısticas seguras de acordo a algum modelo estandardizado
- 14. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Modelo CID
- 15. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Modelo CID - Confidencialidade Nossa capacidade de proteger nossos dados daqueles que n˜o est˜o a a autorizados a ver eles.
- 16. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Modelo CID - Confidencialidade • Password do nosso computador • Registo banc´rio a • ?
- 17. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Modelo CID - Integridade A capacidade de impedir os nossos dados sejam alteradas numa forma n˜o autorizada ou indesej´vel. a a
- 18. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Modelo CID - Integridade • Sistema de arquivos Windows que separa e protege o acesso aos arquivos de um usu´rio para outro a • ?
- 19. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Modelo CID - Disponibilidade A capacidade de acessar aos dados quando precisamos deles.
- 20. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Modelo CID - Disponibilidade • Sobrecarga mal intencionada nos servidores do nosso banco • ?
- 21. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Modelo Parkeriano -2002-
- 22. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Modelo Parkeriano • Propriedade - A disponibilidade f´ ısica donde a informac˜o tem ¸a sido guardada • Autenticidade - A atribuic˜o adequada quanto ao propriet´rio ¸a a ou criador dos dados em quest˜o a • Utilidade - Qu˜o util s˜o os dados e suas caracter´ a ´ a ısticas para n´s o
- 23. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Ataques • Os sistemas de informac˜o podem enfrentar ataques desde ¸a uma grande variedade de abordagens e ˆngulos a • Os ataques podem ser classificados de acordo com o tipo de ataque que ele representa, o risco que o ataque representa, e os controles podemos usar para mitigar eles • Cada ataque pode afetar um ou mais princ´ ıpios CID
- 24. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Ataques
- 25. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Ataques - Intercepc˜o ¸a • Permitem que usu´rios n˜o autorizados acessem os nossos a a dados, aplicac˜es, ou ambientes, e s˜o principalmente um ¸o a ataque contra a confidencialidade (chaves de acesso). • Exemplos: Visualizac˜o ou copia de arquivos n˜o autorizados, ¸a a espionagem em conversas, ler e-mail • Corretamente executados, ataques de interceptac˜o podem ¸a ser muito dif´ ıceis de detectar.
- 26. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Ataques - Interrupc˜o ¸a • Atacam ativos visando tornar eles inutiliz´veis ou indispon´ a ıveis para uso, de forma tempor´ria ou permanente. a • Exemplos: Ataques de denegac˜o de servico (disponibilidade), ¸a ¸ sobrecarga aos bancos de dados (disponibilidades+integridade), • Modificac˜o ¸a • Fabricac˜o ¸a
- 27. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Ataques - Modificac˜o ¸a • S˜o todos aqueles que mexem na informac˜o. a ¸a • Exemplos: Acesso n˜o autorizado a arquivos (integridade), a acesso a arquivos de configurac˜o de servicos ¸a ¸ (integridade+disponibilidade)
- 28. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Ataques - Fabricac˜o ¸a • Gerac˜o de dados, processos, comunicac˜es ou outras ¸a ¸o atividades similares com um sistema de • Exemplo: Criac˜o de informac˜es falsas no banco de dados ¸a ¸o (integridade ou integridade+disponibilidade) • S˜o considerados maioritariamente como ataques na a integridade, mas dependendo da quantidade dos dados podem ser tamb´m ataques de disponibilidade e
- 29. Vis˜o geral a Modelo geral de seguranca ¸ Ataques Referencias Referencias I Andress, J. (2011). The basics of information security understanding the fundamentals of InfoSec in theory and practice. Syngress, Waltham, MA.