Вы находитесь на странице: 1из 11

1

FIAP
PLANO ESTRATGICO DE SEGURANA DA INFORMAO
MBA Gesto de Segurana da Informao

Controles Crticos de Segurana


(MONITORAMENTO E CONTROLE DE CONTAS)

ANA P. KAWAKAMI RM 49314


DIMITRI FURLAN RM 47961
EDIO DE OLIVEIRA RM 48848
EDMILSON GONZALLES RM 49121
MARCELO CARO RM 48772
RODRIGO PIERETTI RM 48898

Orientador: (Prof. Ramiro)

SO PAULO
2015
SUMRIO

INTRODUO ............................................................................................................ 3
1. O QUE O CONTROLE CRTICO ESCOLHIDO? ................................................ 4
2. POR QUE O CONTROLE ESCOLHIDO CRTICO? ........................................... 4
3. COMO IMPLEMENTAR O CONTROLE? ............................................................... 4
4. QUAIS AMEAAS E ATAQUES O CONTROLE PREVINE? ................................ 5
5. PROCEDIMENTOS................................................................................................ 5
6. FERRAMENTAS ..................................................................................................... 6
7. MTRICAS.............................................................................................................. 8
8. CONCLUSES......................................................................................................10
9. REFERNCIA BIBLIOGRAFICA.......................................................................... 11

INTRODUO
O objetivo deste trabalho a abordagem sobre a importncia da
implementao de controles que possam auxiliar na integridade e segurana das
informaes armazenadas nas redes e sistemas utilizados pelas empresas.
Os ataques realizados nas redes e/ou sistemas esto aumentando
exponencialmente, por intenes diversificadas, visando diferentes alvos e usando
diferentes tipos de tcnicas.
Os ataques podem ser realizados por diversos motivos, como por exemplo:

Simples desafio de provar a capacidade de invaso;


Com o objetivo de capturar informaes pessoais e financeiras para
fraudes;
Conhecer estratgias de empresas concorrentes;
Causar indisponibilidades de sistemas e/ou servios de concorrentes;

Infelizmente o assunto no recebe a devida ateno, seja na abordagem


pessoal ou empresarial, o que acaba facilitando este tipo de crime.

1. O QUE O CONTROLE CRTICO ESCOLHIDO?


Monitoramento e Controle das Contas de usurios o gerenciamento constante
de acessos durante o ciclo de vida do sistema.
O gerenciamento de contas de usurios deve ser feito desde sua criao, uso,
dormncia e excluso, a fim de minimizar as oportunidades de atacantes.

2. POR QUE O CONTROLE ESCOLHIDO CRTICO?


Os criminosos cibernticos esto sempre descobrindo maneiras diferentes de
encontrar vulnerabilidades que os permitem atacar sistemas que so considerados
protegidos.
Umas das prticas que est se tornando cada vez mais frequente a explorao
de contas de usurios. Seja a conta dos prprios funcionrios da empresa, conta de
terceiros ou at mesmo conta de ex-funcionrios.
Uma vez de posse das credenciais de acesso dessas contas, o ataque pode ser
feito sem gerar suspeitas, pois como a credencial usada est ativa, dificilmente os
sistemas de monitoramento iro detectar alguma atividade suspeita.

3. COMO IMPLEMENTAR O CONTROLE?


Embora a maioria dos sistemas operacionais incluam recursos para registrar
informaes sobre o uso da conta, esses recursos so, por vezes desativados por
padro. Mesmo quando tais caractersticas esto presentes e ativas, muitas vezes
no fornecem detalhes de gro fino sobre o acesso ao sistema por padro. O pessoal
de segurana pode configurar sistemas para registrar informaes mais detalhadas
sobre o acesso conta, e usar scripts caseiros ou ferramentas de terceiros de anlise
de log para analisar essas informaes e perfil de acesso do usurio de vrios
sistemas.
Contas tambm devem ser monitoradas de perto. Qualquer conta que est
dormente deve ser desativada e eventualmente removida do sistema. Todas as contas
de ativos devem ser rastreadas para usurios autorizados do sistema, e deve-se
assegurar que as senhas so robustas e alteradas em uma base regular. Os usurios
tambm devem ser desconectados do sistema aps um perodo de inatividade para
minimizar a possibilidade de um invasor usar seu sistema para extrair informaes da
organizao.

4. QUAIS AMEAAS E ATAQUES O CONTROLE PREVINE?

Espionagem poltica: Espionagem entre pases e governos visando poder,


competitividade e poderio militar blico;
Comercial: Busca de informaes da empresa para obter vantagens de
negcio;
Oportunista: Ataques do tipo phishing, lanados a alvos no especficos,
aproveitando-se das informaes que puderem conseguir;
Monetria: Visam dados que podem ser vendidos;
Idealista: Ataques com motivaes polticas, ideolgicas ou ticas, como os
realizados pelo grupo Anonymous, que ao se auto defini como no somos um
grupo. Somos uma ideia de revoluo.
Capacidade: Normalmente procuram sites de organizaes muito conhecidas
ou famosas por sua excelente segurana. Aqui, o objetivo do atacante
demonstrar capacidade em realizar.

5. PROCEDIMENTOS

Rever todas as contas do sistema e desativar qualquer conta que no pode ser
associado a um processo de negcios e proprietrio;
Certificar que todas as contas tm uma data de validade associado conta;
Certificar de que os sistemas possam emitir um relatrio que inclui uma lista de
contas bloqueadas, contas desativadas, as contas que excedem a durao
mxima da senha e contas com senhas que nunca expiram. Esta lista deve ser
enviada para o administrador do sistema associado de uma forma segura;
Estabelecer e seguir um processo para revogar o acesso ao sistema,
desativando contas imediatamente aps a resciso de um funcionrio ou
contratado. A desativao em vez de excluir, deve permitir a preservao das
informaes para futuras auditorias;
Regularmente monitorar o uso de todas as contas, revogando automaticamente
os usurios que esto com um perodo padro de inatividade;
Configurar bloqueios de tela em sistemas para limitar o acesso s estaes de
trabalho;
Monitorar o uso da conta para determinar as que esto inativas, notificando o
usurio ou o gerente do usurio. Desativar essas contas se no for necessrio,
ou documentar e monitorar excees (por exemplo, as contas de fornecedores
para manuteno das operaes);
Exigir que todas as contas de no-administrador tenham senhas fortes que
contm letras, nmeros e caracteres especiais, ser alteradas, pelo menos, a
cada 90 dias, ter uma idade mnima de um dia, e no ser autorizado a utilizar

as 15 senhas anteriores como uma nova senha. Esses valores podem ser
ajustados com base nas necessidades especficas do negcio da organizao;
Usar e configurar bloqueios de conta de tal modo que depois de um
determinado nmero de tentativas de login a conta bloqueada por um perodo
de tempo padro;
Exigir que os gerentes monitorem os funcionrios e contratados que esto
ativos. Os administradores de segurana ou de sistema deve ento desabilitar
contas que no so atribudas aos empregados ativos ou contratados;
Monitorar tentativas de acesso a contas desativadas atravs de log de
auditoria;
Configurar o acesso para todas as contas atravs de um ponto centralizado de
autenticao, por exemplo, Active Directory ou LDAP. Configurar tambm os
dispositivos de rede e de segurana para autenticao centralizada;
Criao de perfil tpico para conta de cada usurio, determinando acesso
normal durante o expediente. Devem ser gerados relatrios que indicam os
usurios que se conectaram durante horrios incomuns ou tenham
ultrapassado a sua durao normal de login;
Exigir autenticao multi-fator para as contas que tm acesso aos dados ou
sistemas considerados crticos. Autenticao de vrios fatores podem ser
realizadas atravs de cartes inteligentes com certificados, One Time
Password (OTP),tokens, biometria;
Para o acesso autenticado a servios da web dentro de uma empresa,
certificar-se que os nomes de usurios e senhas de contas so trafegados
atravs de um canal criptografado;
Configurar todos os sistemas para utilizar canais codificados para a
transmisso de palavras-passe atravs de uma rede;
Verifique se todos os arquivos de senhas so criptografados e que esses
arquivos no podem ser acessados sem privilgios de root ou administrador.
Auditar todo o acesso aos arquivos de senha no sistema;

6. FERRAMENTAS
Organizaes vo descobrir que com a diagramao das entidades necessrias
para satisfazer plenamente as metas definidas neste controle, ser mais fcil
identificar como implement-las, testar os controles, e identificar onde possveis falhas
no sistema pode ocorrer.

Um sistema de controle um dispositivo ou conjunto de dispositivos usados para


gerenciar, comandar, direcionar ou regular o comportamento de outros dispositivos ou
sistemas. Neste caso, analisamos as contas de usurio e como eles interagem com
os sistemas de dados e os sistemas de gerenciamento de log. Outra componente
chave destes sistemas so os relatrios gerados para a gesto de contas de usurio.
A lista das etapas no diagrama acima mostra como as entidades trabalham em
conjunto para cumprir a meta de negcios definido neste controle. Tambm delineia
cada uma das etapas do processo, a fim de ajudar a identificar potenciais pontos de
falha no controle total.

Passo 1: contas de usurio so devidamente geridos em sistemas de


produo;
Passo 2: contas de usurio so atribudas com permisses adequadas para
conjuntos de dados de produo;
Passo 3: o acesso conta do usurio registrado no log do sistema de gesto;
Passo 4: Faa o login dos sistemas de gesto gerar conta e acessar relatrios
de usurio para a gesto;
Passo 5: Conta informao de base enviado para log do sistema de gesto;
Passo 6: informao crtica est devidamente protegida e criptografada para
cada conta de usurio.

7. MTRICAS
A fim de testar a eficcia da aplicao automatizada deste controle, as
organizaes devem medir o seguinte:
1. O sistema audita e gera relatrios sobre logins vlidos e invlidos para contas
de usurio?
2. O sistema audita e gera relatrios sobre logins vlidos e invlidos para rede e
contas de usurio do dispositivo de segurana?
3. Ser que os usurios do sistema so bloqueados depois de cinco (5)
tentativas invlidas?
4. As senhas de conta de usurio expiram, pelo menos, a cada 90 dias?
5. O sistema gera relatrios de contas inativas que no tenham sido usadas por
um perodo de tempo configurvel?
6. Quanto tempo leva para enviar um alerta ou e-mail para o pessoal
administrativo com relatrio de comparao (tempo em minutos)?
A fim de automatizar o monitoramento e controle de contas de usurio, as
organizaes devem reunir as seguintes informaes com tcnicas automatizadas:
1. Quantas tentativas invlidas de acesso s contas de usurios foram detectadas
dentro de um perodo de tempo?
2. Quantas contas foram travadas dentro de um perodo de tempo?
3. Como muitas tentativas para obter acesso a arquivos de senha no sistema
foram detectados dentro de um perodo de tempo?
4. Execute quebra de senha autorizada contra arquivos de senha e identificar o
nmero de senhas de conta de administrador que esto rachados durante a
tentativa. Corrigir quaisquer senhas comprometidas imediatamente.
5. H uma lista automtica de contas de usurio no sistema criados diariamente
e em comparao com uma linha de base (sim ou no)?
6. Quanto tempo leva para enviar um alerta ou e-mail para o pessoal
administrativo (tempo em minutos)?
Para avaliar a implementao do controle de 16 em uma base peridica, a equipe
de avaliao deve tentar uma variedade de tcnicas para obter acesso a contas de
usurio no sistema. Cada um dos seguintes testes deve ser realizado pelo menos trs
vezes;
1. Tentativa de configurar senhas de conta de usurio fracos que no so
compatveis com a poltica estabelecida. Verificar que o sistema no permite
que as senhas fracas para ser utilizado;
2. Tentativa de voltar a usar uma senha de conta de usurio que foi utilizado
anteriormente para a conta. Verifique se o sistema exige novas senhas
exclusivas durante a cada atualizao;

3. Tentativa de capturar senhas monitorando o trfego de rede para os recursos


do servidor. Corrigir quaisquer casos em que as senhas so transmitidas em
texto claro;
4. Tentativa de obter acesso a arquivos de senha armazenados no sistema. Se
for bem sucedido, identificar se as senhas so criptograficamente segura;

Cada um destes testes deve ser executado a partir de mltiplos sistemas,


amplamente distribudas na rede da organizao, a fim de testar a eficcia dos
controles de contas de usurios.

10

8. CONCLUSES
A conscientizao sobre a implantao de uma metodologia eficaz de controle e
proteo de contas de usurio proporciona a reduo dos riscos de invases aos
dados das empresas.
Trata-se de um procedimento que deve ser monitorado diariamente com
ferramentas adequadas e pleno envolvimento dos operadores.
Dicas importantes:
Quanto menor a quantidade de rede e computadores vulnerveis, menos
eficazes sero os ataques realizados;
Uso adequado de definio de senhas reduz a probabilidade de utilizao
indevida de contas de usurios ativos;
Acompanhamento peridico para manuteno de contas de usurios inativos
(funcionrios demitidos, por exemplo), usurios afastados (licenas mdicas, por
exemplo), so fundamentais para mitigar os riscos de invases indesejadas;
Apesar de no estar diretamente relacionada a controle de contas de usurios,
a criptografia na troca de arquivos auxilia na preservao dos dados enviados e/ou
recebidos.
Para se ter uma ideia da importncia de implementao dos controles, grandes
empresas do ramo financeiro (Bancos) e at empresas de tecnologia sofrem invases,
apesar dos cuidados com o assunto. Portanto, a busca continua de melhorias nos
controles deve ser tratada como prioridade.

11

9. REFERNCIA BIBLIOGRAFICA

http://www.sans.org/critical-security-controls
http://www.abin.gov.br/
Apostila da disciplina utilizada na FIAP