Definindo o cenário de segurança do Windows 2000
Nesta página
Neste módulo
Este módulo apresenta uma introdução aos principais problemas relacionados com segurança na sua organização. Caracterizando e analisando os vários riscos potenciais de quebra na segurança na sua organização, você pode reduzir os riscos aplicando contramedidas apropriadas. Após a leitura deste módulo, você entenderá a terminologia usada na descrição e análise de riscos de segurança e poderá realizar uma análise preliminar de risco.
Objetivos
Use este módulo para:
| • | Identificar a relação entre ameaças, exposições, vulnerabilidades e contramedidas. |
| • | Entender a terminologia usada na análise de riscos de segurança. |
| • | Identificar os principais problemas da análise de riscos e diretivas de segurança. |
| • | Realizar uma análise preliminar de risco. |
Aplica-se a
Este módulo se aplica aos seguintes produtos e tecnologias:
| • | Toda a infra-estrutura de TI (Tecnologia da Informação) |
Como usar este módulo
Este módulo fornece informações necessárias à compreensão das recomendações mais específicas para a proteção de componentes particulares da sua infra-estrutura. Use este módulo como texto-base e como guia de referência para a leitura subseqüente.
Componentes do gerenciamento de risco de segurança
A necessidade de um Programa Estratégico de Segurança
Segurança é o equilíbrio entre manter a facilidade de uso dos recursos da sua organização e controlar o acesso a eles. Montar um programa de segurança que restrinja tanto os usuários quanto os ataques pode demandar tempo e dinheiro. Um programa de segurança que seja muito voltado para o controle pode desagradar os usuários com diretivas que limitem a execução eficaz de seus trabalhos.
Por outro lado, um programa de segurança muito indulgente pode criar uma atitude de complacência entre os usuários em relação à segurança no local de trabalho e pode dar mais oportunidades aos atacantes. A comunicação sobre a importância da segurança na organização é essencial para evitar outros problemas políticos em potencial. Se normas, políticas e planos de segurança forem implementados "pela metade", podem ocorrer problemas no futuro. Quando a qualidade é um atributo-chave para os projetos de TI, nos quais a preocupação com "defeito zero" é um princípio fundamental, esse mesmo princípio deve ser aplicado para garantir um alto nível de segurança na sua organização.
Um fator de sucesso crítico para o estabelecimento de uma infra-estrutura segura envolve o desenvolvimento de um processo eficaz de gerenciamento de risco de segurança. Através da identificação, avaliação, gerenciamento e atenuação eficazes de risco, e de planos de contingência, você pode ajudar a reduzir a probabilidade de um determinado risco emergir e pode minimizar o impacto ou as conseqüências no caso de um risco de segurança emergir.
Executar uma atividade específica de análise de risco de segurança levantará problemas críticos de segurança que exigem atenção e um plano de ação. Um risco de segurança emerge quando uma ameaça tira vantagem de uma vulnerabilidade que, por sua vez, causa danos a um ativo da organização. A criação de planos de atenuação e contingência permite que você crie diretivas e procedimentos de segurança que estabeleçam uma abordagem proativa e reativa do gerenciamento de risco de segurança.
A implementação, execução e otimização contínuas dos planos de segurança da sua organização estão se tornando mais críticas à medida que a tecnologia evolui e novos métodos para explorá-la são encontrados. Os programas de segurança devem mudar com o tempo, pois requerem atenção constante para monitorar sua eficácia e determinar quando novos procedimentos e diretivas devem ser implantados. Os programas de segurança devem também levar em conta potenciais desdobramentos legais através de Planos de Resposta a Incidente feitos sob medida para o ambiente corporativo, uma vez que a possibilidade de um processo por falha na segurança pode representar um problema sério.
A determinação dos custos envolvidos é feita com mais facilidade realizando-se uma avaliação adequada e bem definida do ativo. O custo de investimento da atenuação também deve ser avaliado com relação ao impacto potencial do que pode acontecer com o ativo, caso seja danificado ou comprometido. Como alcançar esta meta está definido no módulo, "Compreendendo a Disciplina de Gerenciamento de Riscos de Segurança", em que esta disciplina é usada para ajudar a sua organização a descobrir o equilíbrio adequado entre custo e risco.
Se a perda de dados importantes da empresa comprometer seriamente a produtividade ou a receita, o investimento necessário para garantir sua proteção pode ser significativo. Se a perda dos dados não for prejudicial para a organização, então esses dados precisam de proteção mínima e o investimento para protegê-los será menor.
As oito considerações básicas que precisam ser analisadas no processo de avaliação de risco de segurança são:
| • | Requisitos de segurança para ativos. Defina todos os componentes da infra-estrutura da organização que exigem algum nível de proteção, incluindo sistemas, redes, aplicativos e dados do negócio. A avaliação do ativo deve ser quantitativa e qualitativa para se planejar adequadamente as contramedidas e proteções. | ||||||||
| • | Análise de ameaça. Crie uma lista de explorações conhecidas e determine a probabilidade de uma ameaça potencial surgir de cada uma. Uma exploração é um meio que pode ser utilizado por uma ameaça para fazer uso de uma vulnerabilidade em seu ambiente. Uma lista compilada dos maiores agentes de ameaça em seu ambiente é necessária para que se possa realizar adequadamente uma análise de ameaça. Uma ameaça é qualquer perigo potencial à informação ou aos sistemas em seu ambiente. Um agente de ameaça é a pessoa ou processo que ataca a rede através de uma porta vulnerável no firewall, ou um processo usado para acessar dados, violando a sua diretiva de segurança. | ||||||||
| • | Identificação de exposições. Analise o percentual de perda de ativo causado por cada ameaça identificada. Identificar e definir o valor potencial de perda de cada exposição é um componente crucial na análise de risco de segurança. | ||||||||
| • | Avaliação de vulnerabilidade. Desenvolva uma lista abrangente de todas as vulnerabilidades conhecidas que possam ser usadas contra aqueles ativos que requerem algum nível de proteção. Uma vulnerabilidade é um ponto fraco em um sistema de informações ou em seus componentes (por exemplo, procedimentos de segurança do sistema, projeto de hardware, projeto de software e controles internos) que possa ser explorado. | ||||||||
| • | Desenvolvimento de contramedidas. Desenvolva uma contramedida de risco de segurança que faça sentido para os negócios, isto é, que seja econômica para proteger os ativos na sua organização. | ||||||||
| • | Teste de invasão. Use testes de invasão para ajudar a identificar os modos pelos quais um indivíduo não autorizado pode ter acesso à sua organização. Métodos de testes de invasão comuns incluem:
|
Esses testes são úteis para aumentar a atenção que uma organização dá às políticas de segurança. Uma das maiores considerações na realização de um teste de invasão é identificar um agente externo respeitável para realizar os testes.
| • | Resposta a incidente. Um bom plano de resposta a incidente descreverá procedimentos específicos a serem seguidos à medida que você conhece mais sobre um ataque à sua organização. Geralmente, a natureza dos sintomas do ataque determinará a ordem na qual os procedimentos definidos no programa de segurança serão executados. Como o tempo é crucial, procedimentos mais rápidos devem geralmente ser realizados antes dos que levam mais tempo. |
| • | Escopo do esforço de trabalho para proteger ativos. Defina a quantidade total de trabalho, incluindo tempo, esforço e recursos financeiros necessários para fornecer uma segurança "boa o suficiente" e manter a infra-estrutura geral utilizável do ponto de vista do suporte e do usuário final da sua organização. A análise da relação entre custo e benefício para uma determinada proteção deve ser derivada de uma análise adequada de risco de segurança em conjunção com o ativo em relação ao custo total de propriedade ou retorno sobre o investimento da organização. |
Ativos
Um ativo é qualquer coisa no ambiente da sua organização que possa precisar de algum nível de proteção. Isto pode incluir itens do balanço patrimonial como aplicativos de software ou hardware e outros itens menos tangíveis como os dados ou mesmo as pessoas. O objetivo da segurança é evitar que os ativos sejam comprometidos e proteger a confidencialidade, integridade e disponibilidade dos dados. Todas as corporações estão preocupadas com os muitos riscos de ter seus dados modificados, o que degrada a integridade dos dados comerciais.
Um aspecto importante no gerenciamento de risco de segurança de TI é determinar o valor de cada ativo principal em sua organização, o valor da informação que cada ativo contém e como cada ativo se relaciona com outro em seu ambiente. Por exemplo, se dados críticos do negócio forem comprometidos no servidor Web da empresa, o valor da empresa pode diminuir, ou um roteador que esteja comprometido pode conectar todas as filiais da empresa ao seu principal centro de dados.
O valor total associado de cada ativo determinará o tempo, esforço e custo para protegê-lo, com base no nível de segurança exigido para se dar proteção adequada a cada ativo. Lembre-se de que os ativos podem ter um nível de dependência associado. Leve em consideração a forma como esses recursos são autenticados ou como os usuários são autorizados para ter acesso a cada ativo e aos dados que ele expõe. Por exemplo, uma senha fraca no computador portátil do diretor de informática pode representar um risco financeiro significativo se for comprometida.
Os próprios ativos também devem ser classificados de acordo com as medidas de proteção exigidas por cada um. Essas medidas são:
| • | Prevenção — Medidas que impedem que os ativos sejam danificados, alterados ou roubados. Medidas preventivas podem incluir desde trancar a porta da sala do servidor até estabelecer diretivas de segurança de alto nível. |
| • | Detecção — Medidas que permitem detectar quando os ativos são danificados, alterados, roubados ou comprometidos de alguma forma. As medidas de detecção também incluem mecanismos para determinar como um ativo foi comprometido e especificamente quem causou o dano. Diversas ferramentas estão disponíveis para ajudar a detectar invasões, danos ou alterações, e vírus. |
| • | Reação — Medidas que permitem a recuperação dos ativos, mesmo que um ativo seja danificado ou perdido. |
Essas classificações de medidas de proteção devem ser integradas aos diferentes tipos de contramedidas. Contramedidas, ou salvaguardas, ajudam a reduzir o risco potencial de um ativo ser comprometido. Uma contramedida é projetada para eliminar a vulnerabilidade ou reduzir o risco de uma ameaça explorar uma vulnerabilidade em um ambiente de computadores.
Para produzir contramedidas para proteger os ativos da sua organização, você deve primeiro entender como os ativos da organização podem ser comprometidos, definindo as ameaças e riscos que são relevantes para eles. A lista a seguir inclui cinco princípios a serem considerados quando estiver desenvolvendo um programa de segurança para proteger os ativos da empresa. Você deve avaliar cada um desses princípios de acordo com as necessidades da empresa.
| • | Confidencialidade. Confidencialidade é uma condição mantida pela garantia de que as informações são acessíveis somente às pessoas autorizadas. A confidencialidade assegura que o nível de sigilo necessário é aplicado em cada junção de processamento de dados para evitar divulgação não autorizada. Um exemplo de medida de segurança fraca é permitir que usuários anônimos tenham acesso a informações sensíveis, como por exemplo um compartilhamento de arquivos do departamento de recursos humanos. |
| • | Integridade. Integridade significa salvaguardar a exatidão e a integridade das informações e métodos de processamento. A integridade é preservada quando a exatidão e a confiabilidade das informações são mantidas dentro do ambiente do sistema e quando a modificação não autorizada dos dados é impedida. Armazenar dados incorretos no sistema pode ser tão ruim quanto perder os dados. |
| • | Autenticação. Autenticação é o processo de verificar se os usuários são quem eles dizem ser quando fazem logon em um sistema. Geralmente, os nomes dos usuários e as senhas fazem essa autenticação. Métodos de autenticação mais sofisticados incluem o uso de cartões inteligentes ou a biometria, incluindo impressão digital ou varredura de retina. |
| • | Autorização. Autorização é o direito concedido a um indivíduo ou processo para usar o sistema e os dados armazenados nele. A autorização é geralmente configurada pelo administrador do sistema e verificada por um computador em seu ambiente, com base em alguma forma de identificação do usuário, como um PIN (número de identificação pessoal), número de código ou senha. |
Ameaças, exposições, vulnerabilidades e contramedidas
Se um agente de ameaça inicia uma ameaça e explora uma vulnerabilidade, o ataque conduz a um potencial comprometimento de segurança. O ataque pode danificar o ativo degradando sua confidencialidade, integridade ou disponibilidade. Portanto, o ataque causa uma exposição a potenciais perdas pela empresa. Entretanto, essas exposições podem ser minimizadas pelo uso de contramedidas.
Por exemplo, se uma empresa tem software antivírus somente em seus servidores e as assinaturas do vírus não são mantidas atualizadas, isso cria uma vulnerabilidade. A companhia torna-se vulnerável aos ataques de vírus e à ameaça de um vírus aparecer no ambiente e reduzir a produtividade.
O risco é a probabilidade do vírus aparecer no ambiente e causar danos. Porque há a possibilidade de perda ou corrupção dos dados com o ataque do vírus, a empresa agora tem uma exposição. As contramedidas para esta situação são assegurar que o software antivírus esteja instalado em todos os computadores no ambiente e que as assinaturas estejam atualizadas.
Os termos do gerenciamento de segurança às vezes podem ser de difícil compreensão. A tabela a seguir fornece uma visão consolidada dos componentes-chave de segurança do gerenciamento de segurança.
Tabela 1: Componentes-chave de segurança
| Componente | Definição |
Ameaça | Uma ameaça é qualquer perigo potencial para as informações ou sistemas. |
Agente de ameaça | Um agente de ameaça é a pessoa ou processo que ataca a rede através de uma porta vulnerável no firewall, ou um processo usado para acessar dados, violando a sua diretiva de segurança. |
Vulnerabilidade | A vulnerabilidade é uma fraqueza de software, hardware ou processo que pode dar a um atacante ou a um agente de ameaça uma oportunidade para entrar em um computador ou rede e obter acesso não autorizado aos recursos do ambiente. |
Risco | Um risco é a probabilidade de um agente de ameaça tirar vantagem de uma vulnerabilidade. É a perda potencial ou a possibilidade de uma ameaça explorar a vulnerabilidade. |
Exposição | Uma exposição ocorre quando um agente de ameaça expõe um ativo da companhia a uma perda em potencial. Uma vulnerabilidade pode fazer com que uma organização se exponha a possíveis danos. |
Contramedidas | Uma contramedida, ou salvaguarda, reduz um risco. Contramedidas incluem configurações de software, hardware ou procedimentos que eliminem uma vulnerabilidade ou reduzam o risco de um agente de ameaça poder explorar uma vulnerabilidade. |
A relação entre ameaças, vulnerabilidades e riscos pode ser um conceito difícil de se compreender. Cada ameaça e vulnerabilidade identificada na sua organização deve ser qualificada e classificada de acordo com um padrão, como baixa, média ou alta. A classificação vai variar entre as organizações e algumas vezes até mesmo dentro de uma organização. Por exemplo, a ameaça de um terremoto é significativamente mais alta para os escritórios próximos a uma falha geológica do que em outros lugares. Da mesma forma, a vulnerabilidade de danos físicos a equipamentos seria muito alta para uma organização que produz produtos eletrônicos altamente frágeis e sensíveis, mas a mesma vulnerabilidade para uma companhia de construção pode ser mais baixa.
A Matriz de gerenciamento de risco pode ajudá-lo a avaliar ameaças e seus impactos na sua organização. O nível de risco na sua organização aumenta com o nível de ameaça e vulnerabilidade, como indica a figura a seguir.
Figura 1
Matriz de Gerenciamento de Risco
A matriz de gerenciamento de risco pode ser usada como uma ferramenta da seguinte maneira. Por exemplo, sua companhia pode ter dois tipos diferentes de sites da Web; um site informativo, voluntário, sem fins lucrativos ou um site transacional de serviços financeiros que fornece transações de vendas para seus clientes.
Cada site terá níveis de risco diferentes. Por exemplo, o site informativo pode ter um baixo nível de ameaça porque contém informações que não são cruciais para o funcionamento das operações do negócio se forem roubadas ou danificadas. Esses sites informativos também podem ter um baixo nível de vulnerabilidade se os service packs e hotfixes atuais forem implantados nesses servidores. Isso coloca o site informativo no quadrante de Baixo Risco.
Por outro lado, o site de serviços financeiros pode estar nos quadrantes Médio ou Alto Risco. Atacantes podem se beneficiar imensamente se os dados financeiros forem comprometidos ou roubados, o que torna o nível de ameaça alto. Entretanto, se os sites tiverem os service packs e hotfixes adequados eles serão menos vulneráveis e podem estar no quadrante de Médio Risco. Se os servidores não estiverem atualizados com os service packs e hotfixes, eles serão muito vulneráveis e estarão no quadrante de Alto Risco.
A figura abaixo fornece um modelo teórico que pode ser usado para determinar as várias ameaças, motivos e metas, métodos, explorações e vulnerabilidades que podem ser usadas contra a sua organização em um ataque.
Figura 2
O caminho para se comprometer um ativo
A figura abaixo descreve um caminho simples porém lógico de como os agentes de ameaça podem comprometer os ativos. Os três tipos de classificação de ameaça são exibidos no lado esquerdo da figura. A classificação de ameaça identifica quem é o atacante ou que agentes de ameaça estão iniciando o ataque. Isto inclui ameaças bem-intencionadas, ameaças mal-intencionadas e incidentes catastróficos.
Os agentes de ameaça geralmente têm motivos e metas a serem alcançadas quando tentam comprometer os ativos, como, por exemplo, obter ganho financeiro. Os agentes de ameaça usam ferramentas, técnicas e métodos específicos para explorar certas vulnerabilidades na segurança dos ativos. As setas na figura descrevem o caminho que um atacante pode tomar durante uma tentativa de comprometer um ativo e as vulnerabilidades que podem ser exploradas.
Classificações de ameaças
Uma ameaça é uma pessoa, lugar ou coisa que tem o potencial de acessar os recursos e causar danos. Ameaças podem ter origem em duas fontes principais: humanas e eventos catastróficos. As ameaças humanas podem ainda ser divididas em duas categorias: mal-intencionadas e bem-intencionadas Os "ataques" bem-intencionados normalmente vêm de usuários e funcionários que não foram devidamente treinados em computadores e que não estão cientes das várias ameaças de segurança aos computadores. Os ataques mal-intencionados normalmente vêm de pessoas externas, ou de funcionários ou ex-funcionários descontentes que têm uma meta ou objetivo específico a alcançar.
Tabela 2: Tipos de ameaças
| Ameaça | Exemplos |
Incidentes catastróficos | Fogo, água, vento, terremoto, falta de energia, ataques terroristas |
Pessoa bem-intencionada | Funcionários desinformados, usuários desinformados |
Pessoa mal-intencionada | Atacantes, espiões industriais, governos, suborno e engenharia social |
Incidentes catastróficos
Qualquer evento relacionado a condições meteorológicas rigorosas, fenômenos naturais ou um incidente catastrófico pode causar graves danos à infra-estrutura da sua organização. Informações podem ser perdidas, hardware pode ser danificado e a perda de produtividade pode ocorrer juntamente com a interrupção de outros serviços essenciais.
Infelizmente, poucas medidas preventivas podem ser implementadas para reduzir o potencial dos incidentes catastróficos. A melhor abordagem para esses tipos de ameaça é ter planos de contingência e de recuperação de desastres definidos para minimizar os efeitos da perda. Ter esses planos definidos e prontos para serem utilizados ajudará sua organização a restaurar seu "estado anterior" e retornar às operações comerciais normais o mais rapidamente possível. Além dos eventos catastróficos naturais, os distúrbios da ordem pública são incluídos porque pode ser difícil estabelecer planos de contingência eficazes para se proteger contra perda de ativo de informática no caso de um distúrbio.
Falhas mecânicas
Ameaças mecânicas normalmente são negligenciadas Elas podem incluir falta de energia elétrica, falhas de hardware e interrupções na rede. A prevenção contra as vulnerabilidades que podem surgir dessas ameaças pode muitas vezes ser implantada através de planejamento adequado.
Clusters de hardware, troncos redundantes de energia para os centros de dados e projetos de rede robustos podem eliminar pontos individuais de falha em sua organização que podem causar falhas mecânicas. Entretanto, a implementação destas contramedidas pode ser extremamente dispendiosa e deve ser avaliada cuidadosamente para verificar se o valor dos ativos merece o uso de tais métodos.
A redução de ameaças mecânicas pode revelar riscos adicionais de segurança, porque as etapas de atenuação podem aumentar a superfície de ataque. A superfície de ataque é a visão do ativo com relação ao número de potenciais pontos de entrada no sistema. Muitas vezes, adicionar características e funcionalidades a um ativo de computador pode expor outras vulnerabilidades de segurança Entretanto, ameaças mecânicas em si não são tradicionalmente uma grande preocupação em um projeto de segurança e portanto devem ser consideradas fora do escopo desta orientação.
Ameaças humanas
Ameaças humanas podem ocorrer em duas variedades: mal-intencionadas e bem-intencionadas. Ameaças bem-intencionadas podem causar grandes problemas na integridade dos dados através de erros normais de usuários. Bugs de software, erros de digitação de dados e erros administrativos estão nesta categoria.
Ataques mal-intencionados
Ameaças mal-intencionadas consistem em ataques de funcionários ou ex-funcionários descontentes, ou de pessoas de fora da organização. Pessoas da própria organização provavelmente têm metas e objetivos específicos e normalmente têm algum nível de acesso legítimo aos sistemas no ambiente. Os funcionários são o grupo mais familiarizado com os computadores e aplicativos da empresa, o que inclui o conhecimento do que explorar e que vulnerabilidades podem causar maiores danos à organização. Esse tipo de ataque pode ser extremamente difícil de detectar e de se proteger contra ele.
As pessoas mal-intencionadas da própria empresa provavelmente têm metas e objetivos específicos e normalmente têm acesso legítimo ao sistema. Um ataque de uma pessoa mal-intencionada da empresa pode afetar todos os componentes da segurança dos computadores ou aplicativos. Outros tipos de crimes de segurança fomentados por pessoas mal-intencionadas da empresa podem envolver suborno ou engenharia social.
Engenharia social é o processo de enganar as pessoas fazendo-as revelar suas senhas ou algum tipo de informação de segurança. Muitas vezes, essas ações não são descobertas porque as faixas de auditoria são inadequadas ou os procedimentos não são revisados.
Um atacante mal-intencionado também pode usar engenharia social para iludir funcionários e obter acesso ao seu ambiente. Por exemplo, um atacante poderia se mascarar como um administrador e solicitar senhas e nomes de usuários. Funcionários que não são bem treinados e não têm consciência de segurança podem cair nessa trapaça.
Funcionários descontentes podem criar, na melhor das hipóteses, inconveniências ou, na pior das hipóteses, sabotagens dentro de uma organização. Funcionários atuais podem realmente causar mais danos do que ex-funcionários.
Ataques bem-intencionados
Atacantes não são os únicos que podem causar danos a uma organização. A principal ameaça à integridade dos dados vem de usuários autorizados que não estão cientes das ações que estão realizando. Erros e omissões podem fazer com que a organização perca, danifique ou altere dados valiosos.
Erros e omissões são ameaças importantes à integridade dos dados. Erros são causados não somente por funcionários processando centenas de transações por dia, mas também por todos os usuários que criam e editam dados. Muitos programas, especialmente aqueles projetados pelos usuários para os computadores pessoais, não têm as medidas de controle de qualidade apropriadas. Entretanto, mesmo os programas mais sofisticados não podem se proteger contra todos os tipos de erros e omissões na entrada.
Erros de programação e desenvolvimento, geralmente denominados de "bugs", são classificados, em função da gravidade, de irritantes a catastróficos. A melhor qualidade dos softwares reduziu, mas não eliminou essa ameaça. Erros de instalação e manutenção também podem causar problemas de segurança.
As organizações geralmente supõem que os programas de informação que os seus sistemas de computadores recebem são mais exatos do que são na realidade. Muitas organizações tratam os erros e omissões em sua segurança de computadores, qualidade dos softwares e programas de qualidade dos dados implementando diretivas de segurança.
Categorizando as ameaças
Há literalmente milhares de maneiras para se categorizar as ameaças. A Microsoft desenvolveu um método para categorizar os seguintes tipos de ameaças maliciosas: Fraude de identidade, Adulteração de dados, Repúdio, Divulgação de informações, Negação de serviço, e Aumento de privilégios. Cada componente do método é definido abaixo.
Fraude de identidade
As ameaças de fraude de identidade incluem qualquer coisa feita para se obter ou acessar e usar ilegalmente as informações de autenticação de uma pessoa, como um nome de usuário ou a senha.
Adulteração de dados
As ameaças de adulteração de dados envolvem modificações mal-intencionadas dos dados. Os exemplos incluem alterações não autorizadas em dados persistentes, como desfigurar um site da Web, alterações em informações mantidas em um banco de dados ou a alteração de dados enquanto estão fluindo entre dois computadores em uma rede aberta.
Repúdio
As ameaças de repúdio estão associadas aos usuários que negam ter realizado uma ação, enquanto outras pessoas não têm como provar o contrário. Um exemplo seria quando um usuário realiza uma operação ilegal em um sistema que não tem capacidade para rastrear a operação proibida. Não-repúdio refere-se à capacidade de um sistema de combater as ameaças de repúdio. Por exemplo, um usuário que adquire um item pode ter que assinar um recibo ao recebê-lo. O vendedor pode usar o recibo assinado como prova de que o usuário recebeu a embalagem.
Divulgação de informação
As ameaças de divulgação de informação envolvem a revelação de informação a indivíduos que não deveriam ter acesso a ela. Os exemplos incluem a capacidade dos usuários lerem arquivos aos quais não tinham permissão de acesso ou a capacidade de um intruso ler dados em trânsito entre dois computadores.
Negação de serviço
Os ataques de negação de serviço interrompem os serviços para os usuários válidos. Os objetivos dos ataques de negação de serviço podem incluir tornar um servidor Web temporariamente indisponível ou inutilizá-lo. A proteção contra certos tipos de ameaças de negação de serviço podem ajudar a melhorar a disponibilidade e a confiabilidade de um sistema.
Aumento de privilégio
Nesse tipo de ameaça, um usuário sem privilégios ganha acesso privilegiado que permite comprometer ou possivelmente destruir completamente um ambiente de sistema. Essas ameaças incluem situações nas quais um atacante penetrou de forma eficaz todas as defesas do sistema para explorar e danificar o sistema.
Exploração
Um ativo pode ser acessado através de uma ameaça que se aproveita de uma vulnerabilidade no ambiente de sua organização. A tabela a seguir apresenta exemplos de três tipos importantes de exploração.
Tabela 3: Tipos de exploração
| Exploração | Exemplo |
Exploração de vulnerabilidade técnica | Ataque de força bruta |
Coleta de informações | Identificação de endereço |
Negação de serviço | Danos físicos |
Exemplo: Explorações de atacantes mal-intencionados
Exclusão e alteração de informações
Atacantes mal-intencionados que excluem ou alteram informações normalmente querem provar alguma coisa ou se vingar de alguma coisa ocorrida. As pessoas mal-intencionadas de uma empresa normalmente agem com ódio em relação à organização porque estão descontentes com alguma coisa. As pessoas de fora, entretanto, podem atacar somente para provar que é possível atacar ou podem fazê-lo pela simples satisfação de dizer que o fizeram.
Fraude e roubo de informação
A tecnologia da informação é cada vez mais a ferramenta e o alvo de fraude e roubo. Sistemas financeiros adequadamente projetados e controlados podem dar suporte aos requisitos legais e de relatório para evitar a fraude. Os ambientes de sistemas financeiros não são os únicos sujeitos a esse abuso. Outros alvos incluem aqueles com ambientes que controlam o acesso a informações pessoais, tais como agencias de crédito ou identidade, sistemas de horários e freqüência, sistemas de estoque, sistemas de classificação nas escolas ou sistemas de faturamento de telefonia de longa distância.
Como muitos computadores são relativamente pequenos e valiosos, o roubo físico é fácil. O ativo de hardware em si é de fácil reposição, mas os dados que ele contém podem ser muito mais valiosos se contiverem números de cartões de crédito ou históricos médicos de pacientes. Você não pode fazer com que alguma coisa seja impossível de ser roubada, mas para proteger melhor o investimento em equipamento podem ser usadas medidas como trancas nas mesas para proteger os computadores da sua organização. Se um computador for roubado, a informação que ele contém estará à disposição do ladrão que poderá apagá-la ou ser capaz de lê-la, mas você pode fazer com que a informação roubada seja virtualmente inútil criptografando-a e certificando-se de que o ladrão não tenha acesso à chave para decifrá-la.
Interrupção nas operações normais da empresa
Os atacantes podem querer interromper as operações normais da empresa. Isto pode ser feito como um ato de raiva, por exemplo, se um funcionário insatisfeito não quiser trabalhar porque não teve uma promoção aprovada.
Por outro lado, os atacantes externos podem querer interromper os serviços para ganhar uma margem competitiva em um mundo que prospera na competição. É possível que os atacantes possam agir somente por diversão. Em qualquer dessas situações, o atacante tem uma meta específica a ser alcançada e a realização lhe traz algum nível de satisfação e recompensa. Os atacantes podem usar vários métodos para realizar ataques de negação de serviço. A seção sobre "Análise de Ameaças" no módulo " Compreendendo a Disciplina de Gerenciamento de Riscos de Segurança" discute métodos, ferramentas e técnicas para a realização de ataques de negação de serviço.
Métodos de ataque
Motivo da ameaça + Método de exploração + Vulnerabilidade do ativo = Ataque
O método nessa fórmula explora a vulnerabilidade da organização para se defender de um ataque como descrito anteriormente na Figura 2. Os atacantes mal-intencionados podem ganhar acesso ou negar serviços de várias maneiras que incluem:
| • | Vírus, cavalos de Tróia e vermes |
| • | Quebra de senha |
| • | Ataques de negação de serviço |
| • | Hacking de email |
| • | Código mal-intencionado |
| • | Repetição de pacote |
| • | Modificação de pacote |
| • | Escuta |
| • | Engenharia social |
| • | Ataques de intrusão |
| • | Fraude de IP e seqüestro de sessão |
Vulnerabilidades
Uma vulnerabilidade é um ponto onde um ativo é suscetível a uma ameaça. Também pode ser entendido como uma fraqueza. As vulnerabilidades podem ter origem na tecnologia, nas pessoas ou nos processos. Na maioria das vezes, elas são vistas como falhas tecnológicas na implementação de software ou hardware, ou na forma como um sistema é projetado ou arquitetado. Falhas na definição e comunicação de diretivas e procedimentos organizacionais também são vulnerabilidades.
Além disso, as vulnerabilidades são pontos fracos ou brechas na segurança que um atacante mal-intencionado explora para obter acesso à rede ou aos recursos da rede. O ponto-chave a se entender é que a vulnerabilidade não é o ataque em si, mas o ponto fraco que é explorado.
A seguir é apresentada uma lista de possíveis vulnerabilidades. Elas representam apenas algumas das muitas existentes e incluem exemplos nas áreas de segurança física, de dados e de rede.
Tabela 4: Tipos de vulnerabilidades
| Vulnerabilidades | Exemplos |
Física | Portas destrancadas |
Natural | Prédio da empresa construído sobre uma falha geológica |
Hardware e software | Software antivírus e patches do sistema operacional desatualizados. |
Mídia | Interferência elétrica |
Comunicações | Protocolos não criptografados |
Humanas | Procedimentos mal definidos e aplicações mal redigidas |
Riscos
Um risco é a probabilidade de um agente de ameaça tirar vantagem de uma vulnerabilidade e o potencial de perda, ou a probabilidade de que tal ameaça explore aquela vulnerabilidade. Se houver várias portas abertas em um firewall, há um risco maior de um intruso usar uma dessas portas para acessar a rede por um método não autorizado.
Se os usuários em seu ambiente não forem treinados sobre processos e procedimentos, há um risco maior de que um funcionário cometa um erro e involuntariamente destrua dados. Se um sistema de detecção de intrusão não for implementado em uma rede, há um enorme risco de que um ataque passe despercebido até que seja muito tarde. Reduzir as vulnerabilidades ou os agentes de ameaça diminui os riscos.
Contramedidas
Contramedidas, ou salvaguardas, reduzem o risco potencial. Uma contramedida é alguma coisa como uma configuração de software, hardware ou procedimento que ao ser implantada contra-ataca uma ameaça e vulnerabilidade para reduzir o risco em um ambiente de computadores.
Exemplos de contramedidas incluem um gerenciamento de senhas de alto nível, um vigia de segurança, mecanismos de controle de acesso no sistema operacional, implementação das senhas do BIOS e treinamento sobre a consciência de segurança.
Se a sua empresa tiver hotfixes de segurança somente nos servidores e os hotfixes não forem atualizados, isto cria uma vulnerabilidade. A ameaça é um usuário mal-intencionado ou bem-intencionado aparecer no ambiente e interromper a produtividade. Sem hotfixes atualizados, um sistema não está protegido e há a possibilidade dos dados se perderem ou serem corrompidos devido a essa exposição. As contramedidas nessa situação são instalar os service packs que são pré-requisitos em todos os computadores na sua organização e atualizá-los com os hotfixes que não estão incluídos nos service packs. A relação entre ameaças, vulnerabilidades e contramedidas é exibida na figura a seguir.
Figura 3
Relações entre os componentes de segurança
A pesquisa Computer Intrusion Squad publicada pela CSI (Computer Security Issues) e pelo escritório de São Francisco do FBI (Federal Bureau of Investigation) analisa em profundidade os vários tipos de crimes de computador. Os resultados da pesquisa do CSI e do FBI devem ser vistos como informações não processadas. Essas pesquisas fornecem um recurso de inteligência para manter o seu pensamento atualizado sobre as tendências emergentes dos crimes cibernéticos.
Resumo
Este módulo fornece uma visão geral sobre os componentes mais significativos das análises de segurança e os principais processos necessários para praticá-los em um ambiente corporativo. Entender a relação entre ameaças, exposições, vulnerabilidades e contramedidas é vital para se conseguir medidas eficazes de segurança na sua organização.
Mais informações
Para obter mais informações sobre crimes por computador, consulte: http://www.gocsi.com/press/20020407.html.
Para obter mais informações sobre avaliação de ameaças, consulte: "Threat Assessment of Malicious Code and Human Threats" de Lawrence E. Bassham & W. Timothy Polk: National Institute of Standards and Technology Computer Security Division, em: http://csrc.nist.gov/publications/nistir/threats/index.html.
Para obter mais informações sobre as recomendações sobre segurança da informação, consulte: http://www.iso-17799.com/.
Para obter informações sobre hacking, consulte: http://www.hackingexposed.com/.
Para obter informações sobre ameaças de segurança da Microsoft TechNet, consulte: http://www.microsoft.com/technet/security/bestprac/bpent/sec1/secthret.mspx.
Para obter mais informações sobre avaliação de ativos do The National Institute of Standards and Technology, consulte: http://csrc.nist.gov/asset/.