Unlock the full potential of your projects.
Exibir mapa completo
Copiar e editar mapa Copiar

Apresentação secinfo

Outro
IW
i7 Web
Começar. É Gratuito
ou inscrever-se com seu endereço de e-mail
Mapas mentais semelhantes Esboço do mapa mental
Apresentação secinfo por Mind Map: Apresentação secinfo

1. (SLIDE 1) O conceito

1.1. Segurança da informação está relacionada à proteção de um conjunto de dados, no sentido de preservar o valor que esses dados possuem para um indivíduo ou uma organização.

1.1.1. Mas o que significa exatamente informação?

1.1.1.1. A informação é todo conteúdo ou dado que tenha valor para uma organização ou uma pessoa. A informação pode estar guardada para uso restrito ou exposta ao público

1.1.2. A segurança da informação possui três fundamentos básicos, que são a confidencialidade, a integridade e a disponibilidade

1.1.2.1. A gente vai voltar a falar desses principios daqui a pouco.

1.1.3. Ainda dentro do conceito de segurança da informação, podemos falar sobre os mecanismos de segurança, que são dois tipos de controle: o físico e o lógico

1.1.3.1. Os controles físicos são barreiras que limitam o contato ou o acesso direto à informação ou à infraestrutura, por exemplo portas, trancas, paredes, blindagem, guardas etc.

1.1.3.2. Já os controles lógicos são barreiras eletrônicas que impedem ou limitam o acesso à informação que está em ambiente controlado.

1.1.3.2.1. A gente pode usar como exemplo de controles lógicos os:

1.1.3.2.2. Mecanismos de criptografia

1.1.3.2.3. Assinatura Digital

1.1.3.2.4. Mecanismos de garantia da integridade da informação

1.1.3.2.5. Mecanismos de controle de acesso

2. (SLIDE 2) Fundamentos

2.1. Os atributos básicos (segundo os padrões internacionais) são

2.2. Confidencialidade

2.2.1. propriedade que limita o acesso à informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação.

2.3. Integridade

2.3.1. propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento, manutenção e destruição).

2.4. Disponibilidade

2.4.1. propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação.

2.5. Ameaças à segurança

2.5.1. As ameaças à segurança da informação começam quando ocorre a perda de uma de suas principais características (confidencialidade, integridade e disponibilidade).

2.5.2. Perda de confidencialidade

2.5.2.1. ocorre quando há uma quebra de sigilo de uma determinada informação (como por exemplo, a senha de um usuário ou administrador de um sistema). Isso permite que sejam expostas informações restritas que só seriam acessíveis por usuários determinados.

2.5.3. Perda de integridade

2.5.3.1. acontece quando uma determinada informação fica exposta a manuseio por uma pessoa não autorizada, e essa pessoa faz alterações indesejadas que não foram aprovadas e estão fora do controle do proprietário da informação (seja ele corporativo ou privado).

2.5.4. Perda de disponibilidade

2.5.4.1. ocorre quando a informação deixa de estar acessível para quem necessita dela. Seria o caso da perda de comunicação com um sistema importante para a empresa, por conta da queda de um servidor por exemplo, que apresentou uma falha ao equipamento devido a um erro causado por um motivo, seja ele interno, externo ou por uma ação não autorizada de uma pessoa, tenha sido ela com ou sem má intenção.

3. (SLIDE 3) Aspectos Legais

3.1. A segurança da informação é regida por alguns padrões internacionais que são sugeridos e devem ser seguidos por corporações que querem aplicá-la em suas atividades diárias.

3.2. Alguns deles são as normas da família ISO 27000, que rege a segurança da informação em aspectos gerais, tendo como as normas mais conhecidas a ISO 27001, que realiza a gestão da segurança da informação com relação à empresa, e a ISO 27002, que efetiva a gestão da informação com relação aos prossionais, os quais podem realizar implementações importantes que podem fazer com que uma empresa cresça no aspecto da segurança da informação. Há diversas normas ISO, e você pode conhecê-las no site The ISO 27000 localizado em: www.27000.org.

3.3. Sobre a Segurança da informação no Brasil, devemos falar sobre o direito digital, que é o resultado da relação entre a ciência do direito e a ciência da computação

3.3.1. No Brasil, há algumas leis que se aplicam ao direito digital, como: A Lei 12.737/2012, conhecida como Lei Carolina Dieckmann, que tipica os crimes cibernéticos.

4. (SLIDE 4) Acordo de confidencialidade (NDA)

4.1. Um contrato NDA (non disclosure agreement) é um acordo em que as partes que o assinam concordam em manter determinadas informações confidenciais. Para evitar que algum dos envolvidos ou mesmo terceiros tenham acesso a essas informações e as utilizem indevidamente, é possível firmar um NDA

4.2. A principal vantagem desse acordo é a de diminuir as chances de que dados críticos a uma organização ou projeto sejam divulgados, já que um NDA dene penalidades para quem descumpre as cláusulas de condencialidade.

4.3. Além disso, um NDA facilita o “caminho jurídico” a ser tomado caso ocorra o vazamento de informações condenciais, economizando tempo e recursos para a sua organização e aumentando as possibilidades de ganhar causas por quebra de sigilo

4.4. A ISO 27002 define algumas normas para serem seguidas quanto ao código de prática para a gestão da segurança da informação; para implementá-la em uma organização, é necessário que seja estabelecida uma estrutura para gerenciá-la. Para isso, as atividades de segurança da informação devem ser coordenadas por representantes de diversas partes da organização, com funções e papéis relevantes. Todas as responsabilidades pela segurança da informação também devem estar claramente denidas.

4.5. Estrutura de um acordo NDA

4.5.1. É de extrema importância para um analista pentest assinar um NDA, com detalhes das condições que a empresa vai disponibilizar e informações das quais esse analista tomará conhecimento.

4.5.1.1. Escopo

4.5.1.1.1. ele define o que será testado durante o processo de intrusão, quando e por quanto tempo será realizado. É importante essa denição para que ambas as partes não sejam prejudicadas. Essa importância se dá, por exemplo, porque durante um teste em períodos de pico de uma empresa a indisponibilidade de um sistema pode causar-lhe danos nanceiros.

4.5.1.2. Limites

4.5.1.2.1. a definição de limites é uma etapa crucial, pois um ataque pode causar danos em sistemas e equipamentos que podem ser irreversíveis, causando um grande prejuízo nanceiro para a empresa.

4.5.1.3. Planos de comunicação

4.5.1.3.1. define quem vai receber as informações encontradas e como elas serão disponibilizadas. Essa etapa requer muita atenção devido à possibilidade de as informações que um pentest pode encontrar serem altamente sensíveis.

5. (SLIDE 5) Fases do processo de invasão

5.1. As fases de um processo de invasão são basicamente divididas em três etapas

5.2. Conhecer

5.2.1. resume-se em coletar informações do alvo que será invadido, através dos mais diversos meios, como coletar endereços de e-mails, pessoas que se conectam ao alvo, rastrear usuários, explorar o Google Hacking etc.

5.3. Analisar

5.3.1. a partir dos dados coletados na etapa anterior, vamos analisar cada dado para extrair o máximo de informação do alvo. Esta é a principal etapa para uma invasão bem-sucedida, a qual inclui, por exemplo, a realização de varredura de IP, serviços, sistema operacional, versões de serviços etc.

5.4. Explorar

5.4.1. esta etapa se resume em explorar todas as informações que foram analisadas para ganhar acesso ao alvo, como utilizar exploits, realizar ataques para quebras de senhas, engenharia social etc.

6. (SLIDE 6) Ética e código de conduta

6.1. A ética é impulsionada pelas expectativas da indústria de segurança da informação sobre o comportamento dos prossionais de segurança durante seu trabalho. A maioria das organizações define essas expectativas através de códigos de conduta, códigos de ética e declarações de conduta. No caso de testes de penetração, trata-se de fazer as escolhas certas, já que são usadas poderosas ferramentas que podem fornecer acesso não autorizado, negar serviços e, possivelmente, destruir dados.

6.2. Todas as ferramentas de pentest podem ser usadas para fortalecer a segurança e a resiliência dos sistemas, mas, de fato, em mão erradas, ou quando usadas com más intenções, podem comprometer sistemas e obter acesso não autorizado a dados condenciais.

6.3. Certificações

6.3.1. EC-Council – Código de ética

6.3.1.1. Por meio do programa de certicação Ethical Hacker – CEH (Certied Ethical Hacker) –, o membro estará vinculado a esse código de ética, que é destinado a prossionais de pentest. A versão atual pode ser encontrada no site EcCouncil: www.eccouncil.org/code-of-ethics.

6.3.1.2. Vamos citar alguns dos principais pontos desse código de ética

6.3.1.2.1. 1. Privacidade

6.3.1.2.2. 2. Propriedade Intelectual

6.3.1.2.3. 3. Divulgação

6.3.1.2.4. 4. Área de expertise

6.3.1.2.5. 5. Uso não autorizado

6.3.1.2.6. 6. Atividade ilegal

6.3.1.2.7. 7. Autorização

6.3.1.2.8. 8. Gerenciamento

6.3.1.2.9. 9. Compartilhamento de conhecimento

6.3.2. (ISC) – Código de ética

6.3.2.1. Embora este código não seja projetado especicamente para testes de penetração, ele é extremamente simples e tem um conteúdo abrangente para cobrir a maioria das questões éticas que você vai encontrar como prossional de segurança da informação. Verique o código completo no site www.isc2.org/ethics

6.3.2.1.1. alguns dos principais pontos deste código de ética são

6.3.2.1.2. De que lado?

7. (SLIDE 7) Os processos de pentest (teste de penetração)

7.1. Alguns anos atrás, não havia nenhum padrão para realizar o processo de pentest, e, com isso, quando não eram bem organizados, os processos não atingiam os objetivos propostos, devido ao descuido nos resultados, à má documentação e à má organização de relatórios.

7.2. Para solucionar esses problemas, prossionais experientes criaram um padrão chamado Penetration Testing Execution Standard (PTES), que possui sete sessões organizadas em um cronograma de engajamento.

7.3. Essas sessões cobrem um cronograma aproximado para o pentest do início ao fim. Ele inicia-se com o trabalho que começa antes de utilizar o Metasploit durante todo o caminho, até a entrega do relatório para o cliente, de forma consistente

7.3.1. Metasploit:

7.3.1.1. ferramenta

7.3.1.2. é um projeto de segurança de informação que divulga informações relacionadas a vulnerabilidades e busca facilitar testes de penetração e o desenvolvimento de Sistema de detecção de intrusos. O projeto pertence a empresa Rapid7.

7.3.1.2.1. rapid 7

7.4. As sessões são

7.4.1. 1. Interações de pré-engajamento

7.4.1.1. envolvem o levantamento de prérequisitos para o início do pentest, denem o escopo do processo de teste e desenvolvem as regras.

7.4.2. 2. Coleta de informações

7.4.2.1. é a atividade associada à descoberta de mais informações sobre o cliente. Essas informações são úteis para fases posteriores do teste.

7.4.3. 3. Modelamento de ameaças

7.4.3.1. a modelagem de ameaças utiliza a informação dos ativos e processos de negócio reunidos sobre o cliente para analisar o cenário de ameaças. É importante que as informações de ativos sejam usadas para determinar os sistemas a serem direcionados para o teste e as informações de processos sejam utilizadas para determinar como atacar esses sistemas. Com base nas informações de destino, as ameaças e os agentes de ameaças podem ser identicados e mapeados para as informações de ativos. O resultado é o modelo de ameaças que uma organização é suscetível de enfrentar.

7.4.4. 4. Análise de vulnerabilidades

7.4.4.1. envolve a descoberta de falhas e fraquezas. Através de uma variedade de métodos e ferramentas de teste, você obterá informações sobre os sistemas em uso e suas vulnerabilidades.

7.4.5. 5. Exploração

7.4.5.1. usando as informações de vulnerabilidades e o levantamento de requisitos realizados anteriormente, é nesta etapa que exploramos de fato as vulnerabilidades para obter acesso aos destinos. Alguns sistemas têm controle de segurança que temos que ignorar, desativar ou evitar, e às vezes é preciso tomar uma rota completamente diferente para realizar a meta.

7.4.6. 6. Pós-exploração

7.4.6.1. uma vez que conseguimos o acesso a um sistema, precisamos determinar se ele tem algum valor para o nosso propósito e precisamos manter o controle sobre o sistema. A fase pós-exploração explora essas técnicas.

7.4.7. 7. Relatórios

7.4.7.1. é necessário documentar o nosso trabalho e apresentar ao cliente em forma de um relatório que apoie o cliente a melhorar sua postura de segurança descoberta durante o teste