Não é novidade a crescente preocupação dos gestores de grandes organizações na busca pela segurança da informação. Alguns índices e pesquisas comprovam o porquê desta apreensão.
Em 2003, o índice geral de ataques a sites web subiu 19%. Cada empresa foi vítima de aproximadamente 38 ataques por semana no primeiro semestre de 2003, contra 32 ataques no mesmo período de 2002.
O Brasil ficou na liderança no ranking dos países alvos de ataques, sendo que 25% de todos os ataques mundiais originaram-se de sistemas localizados no Brasil - de cada 10 sites de hackers, sete são em português.
O número de usuários residenciais de Internet no Brasil beira 10 milhões de pessoas.
As perdas totais na economia mundial, causadas por ataques digitais e por vírus de computador, são estimadas entre US$ 45 bilhões em 2003 e US$ 63 bilhões em 2004. O total de ataques, considerando-se outros tipos de operações de hackers, soma uma média de 4,8 mil casos mensais.
Considerando este altíssimo índice de ataques, mais alarmante ainda é o número de tentativas onde o intruso consegue ou acessar, ou modificar, ou destruir informações sensíveis da organização visada.
Como estes criminosos conseguem alcançar o sucesso nas suas inúmeras ações na tentativa de “burlar” os sistemas corporativos?
Um dos pontos críticos é o alto grau de vulnerabilidades descobertas, pois até a metade do ano de 2003 foram registradas mais 1.400 novas vulnerabilidades, 12% a mais do que o número detectado no mesmo período do ano de 2002, sendo que 80% das vulnerabilidades descobertas poderiam ser exploradas remotamente, agravando ainda mais este cenário.
Para aproveitar estas brechas, os invasores precisam da ajuda muito especial de desatentos profissionais de TI: “a falta de um planejamento de segurança e de um desenvolvimento de rede adequado e seguro”, baseado no modelo de negócio requerido pela organização.
Para adequar a rede de sua organização a um nível mínimo aceitável, recomenda-se utilizar o framework NDSec (Network Security Design), utilizado pela Axur.
Análise dos Processos e do Modelo da Organização
A primeira etapa de início deste desafiante trabalho é uma análise geral da organização, e para auxiliar neste processo sugerimos a divisão do mesmo em três tarefas distintas: (1) Planejamento, (2) Implementação e (3) Gerenciamento.
Durante o planejamento e design, o foco será a geração de um overview de alto nível dos processos e dos objetivos da companhia. Esta fase inclui tarefas como entendimento do modelo de negócio, sua abrangência, bem como os processos da organização, que incluem o fluxo de informações, o fluxo de comunicações, os serviços, a estratégia e tomada de decisões, as necessidades do negócio, a avaliação dos serviços de rede, a avaliação da infraestrura de rede existente, o design da rede de computadores e o custo x benefício das soluções entre outros.
Na fase de implementação, devem ser realizados testes-piloto das soluções, instalações e configurações propostas na etapa de planejamento, lembrando que instalações e alterações críticas devem ser obrigatoriamente testadas e homologadas antes que sejam repassadas para o ambiente de produção.
Na etapa de Gerenciamento encontram-se as tarefas diárias e rotineiras, incluindo o monitoramento e a melhoria contínua dos processos, é o que usualmente se chama Housekeeping (Governança) para TI. Vale lembrar que a norma ISO/IEC 17799 dedica um capítulo exclusivamente à operação.
Durante o design de rede, tenha em mente que os processos de negócio direcionam os processos tecnológicos. Os critérios de design de rede são divididos em quatro aspectos: Funcionalidade, Segurança, Disponibilidade e Performance.
Ainda nesta fase, é necessário compreender o modelo de negócio da companhia. Fatores como condições econômicas, leis governamentais, fatores competitivos entre outros que podem impactar o desenvolvimento da rede da empresa.
Análise do Plano de Negócios
NNesta fase deverá ser analisada a estrutura organizacional existente, considerando o modelo de gerenciamento, relação com parceiros, terceiros, vendedores e com os clientes. Faz-se necessário avaliar também os fatores que podem influenciar as estratégias da organização como a identificação das prioridades da empresa, identificação do crescimento projetado e a estratégia de crescimento do TCO.
Você provavelmente deve estar se perguntado: - Estamos falando de projeto, gerenciamento, negócios, mas, o que tem a ver com a segurança de redes?
Todo este planejamento serve para minimizar as chances de falha no projeto. O PMI (Project Management Institute) indica que um projeto falha por inúmeras razões, dentre elas a separação entre negócio e tecnologia, falhas de comunicação, processos inflexíveis e dificuldade de mudança.
Análise do Modelo de Gerenciamento
Neste momento devemos analisar a estrutura de Gerenciamento de TI, incluindo o tipo da administração, como centralizada ou descentralizada, o modelo financeiro, o método de tomada de decisões e os requerimentos e critérios de segurança para o usuário final.
Os usuários podem ser agrupados em tipos pré-definidos como usuários externos, regulares, viajantes e de internet. Com base nestas categorias deve ser adequada a definição de estratégia de segurança da informação.
Projetos como o de desenvolvimento, implementação e manutenção de uma rede segura com certeza terá custos, que devem ser coerentes às reais necessidades de segurança. Devem ser avaliados também os recursos utilizados, se serão utilizados recursos internos ou externos.
Avaliação dos Riscos
Nesta fase devem ser identificados os riscos a que a organização está exposta, sendo que estes riscos podem ser internos ou externos. Recomenda-se a identificação do nível de tolerância aos riscos.
Segundo pesquisa do CSI/FBI – Computer Crime and Securiry Survey 2003, 90% dos crimes virtuais são relativos a “Insider Abuse of Net Access”, ou seja, usuários da rede interna acessando informação não autorizada.
Aqui também será revista e planejada a segurança física, mas não pense somente em controle de acesso, muros e cerca elétrica, mas também no mapeamento da rede, a criação de DMZ (Zona Desmilitarizada), tipos de firewall (Bastion Hosts, Screened Subnet e etc).
Existem quatro passos essenciais para o gerenciamento de riscos: (1) Identificação dos Riscos, (2) Quantificação dos Riscos, (3) Controle de Riscos e Monitoramento e (4) Gerenciamento de Riscos.
Existem inúmeras maneiras de identificar os riscos, e uma das formas mais aceitas e utilizáveis é através de entrevistas e brainstorms com os principais responsáveis e conhecedores do processo, conversa intermediada por especialistas em segurança.
Revisão Tecnológica
Na revisão tecnológica deverá ser documentado o ambiente atual da empresa, a conectividade entre as localidades geográficas, a avaliação da banda e performance de rede requerida, a metodologia de acesso aos sistemas e as responsabilidades administrativas dos colaboradores.
Convém que seja realizado um inventário de todo os ativos tecnológicos da organização, que incluam hardware e software, infra-estrutura de rede, servidores de arquivos e arquitetura de diretório.
A infra-estrutura de rede física deve ser documentada, considerando os links, as configurações de rede como resolução de nomes, endereçamento IP, número de usuários por site entre outros. O diagrama lógico deve conter os sistemas utilizados, relações de confiança e arquitetura de domínio.
Um ponto crítico que deve ser tratado e analisado faz menção a usuários móveis que conectam a rede interna de um local fora das dependências da organização.
Em relação a tráfego de rede e performance pode ser necessário criar uma baseline aceitável para o negócio da organização. Para isto podem ser utilizadas ferramentas especiais para medição e monitoramento do tráfego. É necessário também considerar a qualidade da rede da estrutura atual que incluem questões como tipo de rede utilizada, velocidade de switches, hubs, e roteadores, velocidade dos links de comunicação e o tráfego gerado internamente e externamente.
A metodologia de acesso a dados, sistemas e recursos é outro ponto que requer uma revisão delicada para avaliar os impactos, as vulnerabilidades e o custo x benefício relacionado ao tipo de acesso requerido.
Aqui deve ser também definidas as regras e as responsabilidades dos colaboradores, como será o gerenciamento, centralizado ou descentralizado? Alguém de uma filial será responsável pelo gerenciamento de usuário daquela localidade? O administrador de redes será o responsável por todo o gerenciamento da companhia? Devem ser documentados os tipos de ativos de tecnologia com seus respectivos responsáveis e sua classificação de segurança.
Baseline de Segurança
O NDSec (Network Security Design) identifica seis principais fatores para tornar uma rede segura:
- Identificação única e individual para cada um dos usuários;
- Aplicação controle de acesso adequado aos recursos;
- Proteção dos dados sensíveis;
- Definição de políticas de segurança;
- Desenvolvimento de aplicações seguras;
- Gerenciamento da Segurança;
Nestas etapas é necessário um conhecimento aprofundado sobre tecnologia, bem como ferramentas e produtos.
Convém um entendimento de protocolos como Kerberos, ferramentas de criptografia para dados sensíveis, IPSEC, utilização de softwares de mercado, segurança em correio eletrônico e servidores web e a delegação de controles e privilégios.
Trilhas de Auditoria
Como o título sugere, o ponto chave aqui é a auditoria dos sistemas. Convém que todos os sistemas possuam auditorias bem definidas, com foco nos eventos que realmente interessam à administração do sistema. Recomenda-se que esta auditoria inclua eventos de logon (sucesso e falha), auditoria do uso de privilégios, auditoria de acesso a objetos, auditoria de mudanças nas políticas entre outros.
Estratégias de Autenticação
Esta é mais uma etapa que exige conhecimento técnico e estudo por parte dos responsáveis pela rede das organizações.
Serão selecionados aqui os métodos de autenticação dos usuários, levando em consideração o tipo dos usuários e o modelo de negócio. Estes incluem Kerberos, clear-text, PKI, digest, smart card, Radius, SSL entre outros.
Destaca-se entre estes a utilização de PKI, também conhecida como criptografia assimétrica, uma autenticação baseada em certificados públicos e privados. Para evitar problemas futuros é importante salientar o método de integração quando da utilização de sistemas heterogêneos.
Acesso seguro na camada de rede
Devem ser verificados e implementados controles para o acesso entre redes, da rede interna para rede pública, como servidores de proxy, proxy reverso, firewalls, NAT ou entre redes privadas que incluem VPN, e que devem utilizar encapsulação, autenticação e criptografia adequada. As VPN podem ser utilizadas sobre a Intranet e Internet. Recomenda-se utilizar nas redes virtuais filtros de pacotes com PPTP ou L2TP com IPSEC para a garantia da confidencialidade das informações.
Mãos a Obra!
O crescimento exorbitante das redes de computadores e da Internet trouxe elevada demanda pela conectividade. As pessoas sentem cada vez mais a necessidade de se interconectar, impulsionadas pelo desejo de obter informações em tempo real.
Os altos índices de informações on-line, negócios pela internet e compartilhamento de dados, tornaram a informação um dos bens mais valiosos e simultaneamente mais vulneráveis nas organizações e instituições em geral.
A Segurança da Informação é um desafio quanto a sua aplicação e aprimoramento constante, ao mesmo tempo em que é uma necessidade das organizações como fator de qualidade na proteção de suas informações e conhecimentos.
Espero ter auxiliado na proteção e defesa das informações. A tarefa a realizar agora é despertar a consciência da sua organização para que seja reconhecida a importância do tema e o valor de um projeto de segurança como qualidade organizacional agregada aos serviços ou produtos disponibilizados aos clientes. E como diria Fellini, “E La Nave Vá...”, significa que devemos adequar nossas necessidades aos poucos, deixar que os novos conceitos sejam inseridos de maneira gradual e sem impactos. Espero que este artigo já seja o começo.
Em 2003, o índice geral de ataques a sites web subiu 19%. Cada empresa foi vítima de aproximadamente 38 ataques por semana no primeiro semestre de 2003, contra 32 ataques no mesmo período de 2002.
O Brasil ficou na liderança no ranking dos países alvos de ataques, sendo que 25% de todos os ataques mundiais originaram-se de sistemas localizados no Brasil - de cada 10 sites de hackers, sete são em português.
O número de usuários residenciais de Internet no Brasil beira 10 milhões de pessoas.
As perdas totais na economia mundial, causadas por ataques digitais e por vírus de computador, são estimadas entre US$ 45 bilhões em 2003 e US$ 63 bilhões em 2004. O total de ataques, considerando-se outros tipos de operações de hackers, soma uma média de 4,8 mil casos mensais.
Considerando este altíssimo índice de ataques, mais alarmante ainda é o número de tentativas onde o intruso consegue ou acessar, ou modificar, ou destruir informações sensíveis da organização visada.
Como estes criminosos conseguem alcançar o sucesso nas suas inúmeras ações na tentativa de “burlar” os sistemas corporativos?
Um dos pontos críticos é o alto grau de vulnerabilidades descobertas, pois até a metade do ano de 2003 foram registradas mais 1.400 novas vulnerabilidades, 12% a mais do que o número detectado no mesmo período do ano de 2002, sendo que 80% das vulnerabilidades descobertas poderiam ser exploradas remotamente, agravando ainda mais este cenário.
Para aproveitar estas brechas, os invasores precisam da ajuda muito especial de desatentos profissionais de TI: “a falta de um planejamento de segurança e de um desenvolvimento de rede adequado e seguro”, baseado no modelo de negócio requerido pela organização.
Para adequar a rede de sua organização a um nível mínimo aceitável, recomenda-se utilizar o framework NDSec (Network Security Design), utilizado pela Axur.
Análise dos Processos e do Modelo da Organização
A primeira etapa de início deste desafiante trabalho é uma análise geral da organização, e para auxiliar neste processo sugerimos a divisão do mesmo em três tarefas distintas: (1) Planejamento, (2) Implementação e (3) Gerenciamento.
Durante o planejamento e design, o foco será a geração de um overview de alto nível dos processos e dos objetivos da companhia. Esta fase inclui tarefas como entendimento do modelo de negócio, sua abrangência, bem como os processos da organização, que incluem o fluxo de informações, o fluxo de comunicações, os serviços, a estratégia e tomada de decisões, as necessidades do negócio, a avaliação dos serviços de rede, a avaliação da infraestrura de rede existente, o design da rede de computadores e o custo x benefício das soluções entre outros.
Na fase de implementação, devem ser realizados testes-piloto das soluções, instalações e configurações propostas na etapa de planejamento, lembrando que instalações e alterações críticas devem ser obrigatoriamente testadas e homologadas antes que sejam repassadas para o ambiente de produção.
Na etapa de Gerenciamento encontram-se as tarefas diárias e rotineiras, incluindo o monitoramento e a melhoria contínua dos processos, é o que usualmente se chama Housekeeping (Governança) para TI. Vale lembrar que a norma ISO/IEC 17799 dedica um capítulo exclusivamente à operação.
Durante o design de rede, tenha em mente que os processos de negócio direcionam os processos tecnológicos. Os critérios de design de rede são divididos em quatro aspectos: Funcionalidade, Segurança, Disponibilidade e Performance.
Ainda nesta fase, é necessário compreender o modelo de negócio da companhia. Fatores como condições econômicas, leis governamentais, fatores competitivos entre outros que podem impactar o desenvolvimento da rede da empresa.
Análise do Plano de Negócios
NNesta fase deverá ser analisada a estrutura organizacional existente, considerando o modelo de gerenciamento, relação com parceiros, terceiros, vendedores e com os clientes. Faz-se necessário avaliar também os fatores que podem influenciar as estratégias da organização como a identificação das prioridades da empresa, identificação do crescimento projetado e a estratégia de crescimento do TCO.
Você provavelmente deve estar se perguntado: - Estamos falando de projeto, gerenciamento, negócios, mas, o que tem a ver com a segurança de redes?
Todo este planejamento serve para minimizar as chances de falha no projeto. O PMI (Project Management Institute) indica que um projeto falha por inúmeras razões, dentre elas a separação entre negócio e tecnologia, falhas de comunicação, processos inflexíveis e dificuldade de mudança.
Análise do Modelo de Gerenciamento
Neste momento devemos analisar a estrutura de Gerenciamento de TI, incluindo o tipo da administração, como centralizada ou descentralizada, o modelo financeiro, o método de tomada de decisões e os requerimentos e critérios de segurança para o usuário final.
Os usuários podem ser agrupados em tipos pré-definidos como usuários externos, regulares, viajantes e de internet. Com base nestas categorias deve ser adequada a definição de estratégia de segurança da informação.
Projetos como o de desenvolvimento, implementação e manutenção de uma rede segura com certeza terá custos, que devem ser coerentes às reais necessidades de segurança. Devem ser avaliados também os recursos utilizados, se serão utilizados recursos internos ou externos.
Avaliação dos Riscos
Nesta fase devem ser identificados os riscos a que a organização está exposta, sendo que estes riscos podem ser internos ou externos. Recomenda-se a identificação do nível de tolerância aos riscos.
Segundo pesquisa do CSI/FBI – Computer Crime and Securiry Survey 2003, 90% dos crimes virtuais são relativos a “Insider Abuse of Net Access”, ou seja, usuários da rede interna acessando informação não autorizada.
Aqui também será revista e planejada a segurança física, mas não pense somente em controle de acesso, muros e cerca elétrica, mas também no mapeamento da rede, a criação de DMZ (Zona Desmilitarizada), tipos de firewall (Bastion Hosts, Screened Subnet e etc).
Existem quatro passos essenciais para o gerenciamento de riscos: (1) Identificação dos Riscos, (2) Quantificação dos Riscos, (3) Controle de Riscos e Monitoramento e (4) Gerenciamento de Riscos.
Existem inúmeras maneiras de identificar os riscos, e uma das formas mais aceitas e utilizáveis é através de entrevistas e brainstorms com os principais responsáveis e conhecedores do processo, conversa intermediada por especialistas em segurança.
Revisão Tecnológica
Na revisão tecnológica deverá ser documentado o ambiente atual da empresa, a conectividade entre as localidades geográficas, a avaliação da banda e performance de rede requerida, a metodologia de acesso aos sistemas e as responsabilidades administrativas dos colaboradores.
Convém que seja realizado um inventário de todo os ativos tecnológicos da organização, que incluam hardware e software, infra-estrutura de rede, servidores de arquivos e arquitetura de diretório.
A infra-estrutura de rede física deve ser documentada, considerando os links, as configurações de rede como resolução de nomes, endereçamento IP, número de usuários por site entre outros. O diagrama lógico deve conter os sistemas utilizados, relações de confiança e arquitetura de domínio.
Um ponto crítico que deve ser tratado e analisado faz menção a usuários móveis que conectam a rede interna de um local fora das dependências da organização.
Em relação a tráfego de rede e performance pode ser necessário criar uma baseline aceitável para o negócio da organização. Para isto podem ser utilizadas ferramentas especiais para medição e monitoramento do tráfego. É necessário também considerar a qualidade da rede da estrutura atual que incluem questões como tipo de rede utilizada, velocidade de switches, hubs, e roteadores, velocidade dos links de comunicação e o tráfego gerado internamente e externamente.
A metodologia de acesso a dados, sistemas e recursos é outro ponto que requer uma revisão delicada para avaliar os impactos, as vulnerabilidades e o custo x benefício relacionado ao tipo de acesso requerido.
Aqui deve ser também definidas as regras e as responsabilidades dos colaboradores, como será o gerenciamento, centralizado ou descentralizado? Alguém de uma filial será responsável pelo gerenciamento de usuário daquela localidade? O administrador de redes será o responsável por todo o gerenciamento da companhia? Devem ser documentados os tipos de ativos de tecnologia com seus respectivos responsáveis e sua classificação de segurança.
Baseline de Segurança
O NDSec (Network Security Design) identifica seis principais fatores para tornar uma rede segura:
- Identificação única e individual para cada um dos usuários;
- Aplicação controle de acesso adequado aos recursos;
- Proteção dos dados sensíveis;
- Definição de políticas de segurança;
- Desenvolvimento de aplicações seguras;
- Gerenciamento da Segurança;
Nestas etapas é necessário um conhecimento aprofundado sobre tecnologia, bem como ferramentas e produtos.
Convém um entendimento de protocolos como Kerberos, ferramentas de criptografia para dados sensíveis, IPSEC, utilização de softwares de mercado, segurança em correio eletrônico e servidores web e a delegação de controles e privilégios.
Trilhas de Auditoria
Como o título sugere, o ponto chave aqui é a auditoria dos sistemas. Convém que todos os sistemas possuam auditorias bem definidas, com foco nos eventos que realmente interessam à administração do sistema. Recomenda-se que esta auditoria inclua eventos de logon (sucesso e falha), auditoria do uso de privilégios, auditoria de acesso a objetos, auditoria de mudanças nas políticas entre outros.
Estratégias de Autenticação
Esta é mais uma etapa que exige conhecimento técnico e estudo por parte dos responsáveis pela rede das organizações.
Serão selecionados aqui os métodos de autenticação dos usuários, levando em consideração o tipo dos usuários e o modelo de negócio. Estes incluem Kerberos, clear-text, PKI, digest, smart card, Radius, SSL entre outros.
Destaca-se entre estes a utilização de PKI, também conhecida como criptografia assimétrica, uma autenticação baseada em certificados públicos e privados. Para evitar problemas futuros é importante salientar o método de integração quando da utilização de sistemas heterogêneos.
Acesso seguro na camada de rede
Devem ser verificados e implementados controles para o acesso entre redes, da rede interna para rede pública, como servidores de proxy, proxy reverso, firewalls, NAT ou entre redes privadas que incluem VPN, e que devem utilizar encapsulação, autenticação e criptografia adequada. As VPN podem ser utilizadas sobre a Intranet e Internet. Recomenda-se utilizar nas redes virtuais filtros de pacotes com PPTP ou L2TP com IPSEC para a garantia da confidencialidade das informações.
Mãos a Obra!
O crescimento exorbitante das redes de computadores e da Internet trouxe elevada demanda pela conectividade. As pessoas sentem cada vez mais a necessidade de se interconectar, impulsionadas pelo desejo de obter informações em tempo real.
Os altos índices de informações on-line, negócios pela internet e compartilhamento de dados, tornaram a informação um dos bens mais valiosos e simultaneamente mais vulneráveis nas organizações e instituições em geral.
A Segurança da Informação é um desafio quanto a sua aplicação e aprimoramento constante, ao mesmo tempo em que é uma necessidade das organizações como fator de qualidade na proteção de suas informações e conhecimentos.
Espero ter auxiliado na proteção e defesa das informações. A tarefa a realizar agora é despertar a consciência da sua organização para que seja reconhecida a importância do tema e o valor de um projeto de segurança como qualidade organizacional agregada aos serviços ou produtos disponibilizados aos clientes. E como diria Fellini, “E La Nave Vá...”, significa que devemos adequar nossas necessidades aos poucos, deixar que os novos conceitos sejam inseridos de maneira gradual e sem impactos. Espero que este artigo já seja o começo.