Upload
duongdang
View
222
Download
1
Embed Size (px)
Citation preview
Alberto Camilli [email protected]
Agenda
Mesa Redonda17:00 - 17:30
Rede com auto-defesa Medidata/CISCO16:00 - 17:00
Coffee Break15:40 - 16:00
Aspectos da análise forense Rodrigo Antão - TechBiz Forense Digital15:00 - 15:40
Serviço NTP.brMilton Kaoru Kashiwakura - NIC.br14:40 - 15:00
Firewall em estado ativo utilizando open-source software Dagoberto Carvalho Junior - ICMC/USP
Alinhando NBR-ISO/IEC 17799 e 27001 na administração pública Cesar Augusto Asciutti - Agência USP de Invovação
14:00 - 14:40
Almoço12:10 - 14:00
Combatendo spam com greylisting no sistema de email @usp.brAndré Gerhard - CCE/USP
Treinamento de segurança para usuários de informática utilizando ferramenta EAD Clelia Camargo Cardoso - CIRP/USP
11:30 - 12:10
Coffee Break11:10 - 11:30
Gestão de risco eletrônico e as boas práticas do direito digital com tendências das novas regulamentações Dra. Patricia Peck Pinheiro - PPP Advogados9:40 - 11:10
Diagnóstico da segurança computacional na USPAlberto Camilli - CCE/USP9:10 - 9:40
Abertura - CTI e CCE9:00 - 9:10
Credenciamento (entrega de crachás)8:30 - 9:00
AgendaHorário
Alberto Camilli [email protected]
Diagnóstico da Segurança Computacional na USP
09 de novembro de 2006
Alberto Camilli [email protected]
Segurança Computacional -Qual a abrangência?
• ISO/NBR 17799:1. Política de segurança2. Organização da segurança3. Controle e classificação de ativos de segurança4. Pessoas envolvidas em segurança5. Segurança ambiental e física6. Gerenciamento físico e de comunicação7. Controle de acesso8. Manutenção e desenvolvimento de sistemas9. Gerenciamento da continuidade de negócios10. Conformidade
Alberto Camilli [email protected]
Métodologia para avaliação da Segurança Computacional
• Perspectiva Interna1. Através de pesquisa à comunidade de administradores2. Através de dados que relacionam incidentes de
segurança a outros indicadores institucionais3. Através da análise dos tipos e quantidade de incidentes
de segurança
• Perspectiva Externa• Comparação com outras Universidades de mesmo porte e
finalidade • Sítios idôneos: Zone.h, DShield; Listas RBL,NJABL
Alberto Camilli [email protected]
Pesquisa sobre Segurança27 de junho de 2006
• Auto-avaliação estimulada– 20 em 50 unidades responderam (40%)
• Objetivo– Verificar o grau de maturidade de pessoas, processos, e tecnologias
– Q1: 13 questões sobre pessoas– Q2: 44 questões sobre processos
• Estratégias, Procedimentos, Políticas, Controle Lógico e Físico– Q3: 17 questões sobre tecnologias
– Pontuação: • Não executado = 0• Em planejamento = 1• parcialmente executados = 2 • Quase concluído =3• Concluído = 4
– Pontuação Máxima de cada questão = 80– Pontuação Máxima por Unidade = 296
Tecnologia
Pessoas Processos
Q2
Q3
Q1
Alberto Camilli [email protected]
Q1 - PessoasQuestões com pontuações extremas
Pontuações altas• 1.1 Pode-se identificar em sua Unidade uma pessoa que tenha como dever
preliminar a segurança da informação, com responsabilidade para manter o programa da segurança e assegurar sua conformidade? (38/80 = 0,48)
• 1.8 Existe alguém na equipe de segurança da informação que seja responsável por manter comunicação com os Centros de Informática, com a intenção de identificar alguma exigência nova da segurança baseada em mudanças nas operações? (35/80 = 0,44)
• 1.6 Existe um plano de recuperação da continuidade e de desastre do negócio (dentro ou fora da função da segurança da informação)? (32/80 = 0,4)
Pontuações baixas• 1.10 São feitos relatórios regulares de sua equipe de segurança da informação
para os líderes de sua instituição sobre a eficácia do programa e das políticas da segurança da informação? (13/80 = 0,16)
• 1.7 Você tem um programa de treinamento que proporcione habilidades e conhecimento sobre segurança da informação para os membros da função da segurança da informação? (10/80 = 0,13)
• 1.12 Os chefes e diretores das Unidades têm programas específicosestabelecidos para atender as políticas e os padrões da segurança da informação, com o objetivo de assegurar a segurança da informação e dos sistemas que suportam as operações e os recursos sob seu controle? (9/80 =0,11)
Alberto Camilli [email protected]
Q1 - PessoasDistribuição das respostas das Unidades
Q1.1000000211243322244444
Q1.12000000000000000104224
Pontuação Mais Alta (0,48) Pontuação Mais Baixa (0,11)
Q.1.1 Pessoa responsável pela segurança
Q.1.12 Chefes e diretores engajados em segurança
Alberto Camilli [email protected]
Q2 – ProcessosEstratégia em Segurança
Maiores Pontuações• 2.1 Sua instituição adota alguma política de segurança da informação, baseada
em estratégia de segurança da informação e gestão de riscos? (21/80 = 0,26)• 2.2 Tal política de segurança é atualizada periodicamente para suprir novas
necessidades e estratégias do cliente/usuário, tais como ameaças de segurança? (19/80 = 0,24)
• 2.4 Sua Unidade possui processos e procedimentos que envolvam o pessoal de segurança na avaliação e indicação dos possíveis impactos de segurança, antes da compra ou à introdução de sistemas novos? (19/80 = 0,24)
Menores Pontuações• 2.3 Existe algum um processo para rever os sistemas e as aplicações
existentes em relação a conformidade e também para informar os casos de não conformidade? (11/80 = 0,14)
• 2.6 Sua Unidade possui algum um processo para avaliar e classificarapropriadamente a informação e os recursos da informação que suportam as operações e os recursos sob seu controle, para indicar os níveis apropriados da segurança da informação? (7/80 = 0,09)
• 2.5 Se um sistema desenvolvido for alterado, não estando conforme com sua arquitetura oficial, existe algum processo e um tempo definido para trazê-lo na conformidade ou para removê-lo do serviço, das aplicações ou dos processos do negócio? (6/80 = 0,08)
Alberto Camilli [email protected]
Q2 – ProcessosProcedimentos
Maiores Pontuações• 2.32 Investigação e correção imediata das causas das falhas de
segurança (34/80 = 0,43)• 2.18 Controle do uso aceitável dos computadores, e-mail, da Internet e
da Intranet (33/80 = 0,41)• 2.25 Gerência de vulnerabilidade (gerência de patches e software do
antivírus) (30/80 = 0,38)• 2.26 Planejamento de contingência da recuperação de desastre
(planejamento da continuidade do negócio) (28/80 = 0,35)
Menores Pontuações• 2.23 Classificação, retenção, e destruição dos dados (12/80 = 0,15)• 2.29 Processos de gerência de mudança (9/80 = 0,13)• 2.24 Informação compartilhada incluindo armazenamento e transmissão
de dados institucional através de recursos externos (ISPs, redes externas, sistemas dos contratantes) (6/80 = 0,08)
Alberto Camilli [email protected]
Q2 – ProcessosPolíticas
Maiores Pontuações• 2.10 Existe algum método para divulgar as políticas de segurança aos
administradores, empregados, estudantes, contratantes e sócios? (23/80 = 0,29)
• 2.11 As conseqüências para o não cumprimento com as políticas incorporadas, claramente, são comunicadas e reforçadas? (21/80 = 0,26)
Menores Pontuações• 2.13 Quando as políticas são atualizadas ou novas políticas são
desenvolvidas, é conduzida alguma análise para determinar suas implicações financeiras e de recurso para executar a política nova? (11/80 = 0,14)
• 2.15 As políticas relevantes da segurança são incluídas em todos seus contratos com terceiros? (9/80 = 0,13)
Alberto Camilli [email protected]
Q2 – ProcessosSegurança Física e Lógica
Melhores Pontuações• 2.38 Sua instituição mantém um inventário atual dos elementos físicos da rede
(roteadores/switches, subnets, DNS e servidor DHCP) e também dos recursos lógicos da rede (os nomes do domínio, endereços de rede, listas de controle de acesso)? (52/80 = 0,65)
• 2.35 As medidas de segurança física restringem entrada forçada ou não autorizada? (45/80 = 0,560)
• 2.37 Os equipamentos e fiação críticos estão protegidos contra perdas de energia, falhas e ameaças ambientais? (41/80 = 0,51)
Piores Pontuações• 2.42 As auditorias ou avaliações periódicas testam a eficácia das políticas,
procedimento e das práticas de segurança da informação de um subconjunto representativo de cada sistema de informação de sua unidade de negócio? (7/80 = 0,09)
• 2.43 As auditorias avaliam a conformidade de cada unidade de negócio com asexigências de uma estrutura padrão de segurança da informação, políticas da segurança da informação relacionadas, padrões e procedimentos? (7/80 = 0,09)
• 2.44 As métricas de segurança e desempenho estão instituídas, avaliadas e relatadas? (6/80 = 0,09)
Alberto Camilli [email protected]
Q3 - Tecnologias
Melhores pontuações:• 3.14 Você emprega medidas específicas de segurança para os serviços de acesso
remoto (VPN e dial-up), e para os sistemas de acesso remoto para os clientes? (56/80 = 0,7)
• 3.16 Existe auditoria para verificar se todos os programas são atualizadosfreqüentemente e sistematicamente? (48/80 = 0,6)
• 3.3 São realizadas varreduras periódicas nas redes, sistemas, e aplicações de sua Unidade para verificar a integridade das configurações e se há vulnerabilidades? (38/80 = 0,475)
• 3.1 Os servidores acessados pela Internet são protegidos por mais de uma camada da segurança (Firewalls e IDS)? (36/80 = 0,45)
Pontuações Ruins:• 3.17 Todas as estações de trabalho e todos os servidores são atualizados
regularmente com os últimos patches do sistema operacional? (29/80=0,36)• 3.15 Todas as estações de trabalho e todos os servidores estão protegidos com
software de antivírus atualizados automaticamente? (22/80=0,23)• 3.13 Você emprega medidas específicas de segurança para os servidores de DNS
e de endereços IP (DHCP)? (19/80=0,20)
Alberto Camilli [email protected]
Resumopor conceito
1 2 3 4 5 6 7Pessoas
Procedimentos
Seg Fis/Log
0
0,2
0,4
0,6
0,8
Conceitos melhor ou deficientementeimplementados
PessoasEstratégiasProcedimentosPoliticasSeg Fis/LogTecnologias
Alberto Camilli [email protected]
Segmentação da auto-avaliação em segurança
Segmentação sem aparente vínculo de r=(máquinas/pessoas)
Máquinas e Pessoas: fonte CODAGE
Alberto Camilli [email protected]
Avaliação indireta a partir de indicadores nas Unidades
Pessoas, Tecnologias e Processos
-
50,00
100,00
150,00
200,00
250,00
300,00
- 0,50 1,00 1,50 2,00 2,50
Incidentes/máquina
Inci
dent
es/p
esso
as
269 máquinas260 incidentes1 técnico
10 máquinas22 incidentes2 técnico
Alberto Camilli [email protected]
Avaliação indireta a partir de indicadores das Unidades
Pessoas, Tecnologias e Processos - sem outliers -
-5,00
10,0015,00
20,0025,0030,00
- 0,20 0,40 0,60 0,80 1,00
Incidentes/máquinas
Inci
dent
es/p
esso
as
3 a 5tec/Unid6 a 10tec/Unid+ 10tec/Unid0 a 2tec/Unid
2540 máquinas442 incidentes28 técnicos
114 máquinas89 incidentes7 técnicos
Alberto Camilli [email protected]
Percepção externa daSegurança Computacional na USP
Problema Defacement Ataque a redes (IDS/Honeypot)
Spam/Proxy/Zumbi
Fonte da informação
Faixa de IPs Zone.h DShiled Sources
DShiled Targets
DShiled Reports
DSBL.org
NJABL
USP 143.107/16 22 41 641 12325 254 61
UNICAMP 143.106/16 12 10 54 1400 8 1
UNESP 200.145/16 14 9 26 735 19 5
UFRJ 146.164/16 16 10 6673 14172 71 17
UFRGS 143.54/16 13 2 2 361 15 9
UFMG 150.164/16 3 13 188330 188812 122 52
PUC-RIO 139.82/16 2 2 6 326 8 2
MIT 18/8 23 285 682 19072 105 19
UTEXAS 128.83/16 15 14 61 4933 28 6
INDIANA 129.79/16 3 17 1694 10008 12 5
Alberto Camilli [email protected]
Comparativo de incidentesde segurança I
Incidentes de Segurança Computacional
010002000300040005000600070008000
USPUNICAMP
UNESPUFRJ
UFRGSPUC-R
IO MITUTEXASINDIANA
Instituição
Qua
ntid
ade
Alterações de conteúdos
Origem de ataques
Alvo de ataques
Ocorrências em Listas Negras
Somos grandes e geograficamente dispersos.Relativamente aos demais nossos números são razoavelmete bons.
Alberto Camilli [email protected]
Comparativo de incidentesde segurança II
Reclamações Acumuladas
05000
10000
150002000025000
USPUNIC
AMPUNESP
UFRJUFRGSPUC-R
IO MITUTEXASIN
DIANA
Instituição
Qu
anti
dad
e
• Ataques com origem na USP afetam a reputação da instituição. • Dados históricos são cumulativos
Alberto Camilli [email protected]
Conclusões (I)• Vírus são a principal causa de acidentes registrados.
• Boa posição da USP relativa às outras instituições de mesmo escopo (e pode melhorar).
• Algumas Unidades apresentam desequilíbrios estruturais que merecem atenção– Promover treinamento da equipe local– Estudar a redução na relação máquinas/técnicos (ex: thin clients) à luz do SLA local
• Melhorar capacitação dos administradores de TI– Protege-se normalmente somente aquilo que se enxerga– Ênfase em tecnologias e não nos processos e políticas– Há espaço para melhora em todos os conceitos e dentro de cada segmento analisado
• Fraco engajamento direto dos responsáveis administrativos em relação ao tema de segurança
– Políticas ad-hoc ou presumidas– Interação pouco efetiva com os técnicos de TI– Comportamentos reativos
• Alunos e docentes precisam também entrar como parte da solução para melhoria segurança computacional
Alberto Camilli [email protected]
Conclusões (II)
Definição do SLA
PLANEJAR:Acordo sobre nível de serviço (SLA)Contratos de fornecedores de serviçosAcordos de nível operacional (OLA)
Processos para Segurança Computacional:(Centros de Informática,
Seções de Informática das Unidades)
IMPLEMENTAR:ConscientizarClassificar e registrar ativosSegurança de pessoal (RH)Segurança físicaSegurança de ativos de TIControle, gerenciamento de direitos de acessoRegistro e tratamento de incidentes
MANTER:AprenderMelhorar planejamentoMelhorar implementação
AVALIAR:Auditorias InternasAuditorias ExternasAuto-AvaliaçãoIncidentes de Segurança
CONTROLAR:Organizar-seDefinir o esquema geralde gerenciamentoAlocar responsabilidades
REPORTAR:Conformidade do SLA medido
Equipe de Segurança
Requisitos de segurança, de acordo com o plano de negócios da USPou Política de Segurança institucional (CTI)
• Necessário estruturar/revisar os processos internos nas Unidades para melhorar desempenho da Segurança Computacional
Alberto Camilli [email protected]
Conclusões (II) – cont.
A propósito, o SLA deve indicar:1. Métrica. Ex: incidentes/máquina, incidentes/técnicos,
incidentes.2. Responsabilidades dos administradores e da gerência.3. Quem é o responsável pela política de segurança.4. Com que freqüência e de que maneira a política deve ser
atualizada.5. Princípios gerais relacionados à continuidade do plano de
negócios.6. Relacionamento com outras políticas institucionais:
empregados, contratuais.
Administrador, monte o seu !