Auditoria e Segurança de
Sistemas – Cód. 30135
Prof. MSc. Ronnison Reges Vidal
SEGURANÇA DAS
INFORMAÇÕES – AULA 9
Controles de Acesso Lógico

Controles de Acesso Lógico






Introdução
Recursos e Informações a serem protegidos
Elementos Básicos de Controle de Acesso Lògico
Processo de logon
Riscos Inerentes a Controles inadequados
Lista de Verificações
Sumário
CONTROLES DE ACESSO
LÓGICOS
Introdução, Recursos e Informações a serem protegido, Elementos
Básicos de Controle de Acesso Lógico, Processo de logon, Riscos
Inerentes a Controles inadequado, Lista de Verificações
• Controles de acesso físicos ou lógicos
• Proteger recursos computacionais
• Equipamentos, softwares, aplicativos, arquivos e dados
• Perda, danos, modificações ou divulgação não autorizada
• Sistemas computacionais são bem diferentes de outros
recursos computacionais
• Principalmente quando conectados a redes locais ou de
maior abrangência
Introdução
• O acesso lógico é
• Nada mais do que um processo em que um sujeito ativo
deseja acessar um objeto passivo
• Sujeito: usuário ou processo
• Objeto: arquivo, ou outro recurso como memória ou
impressora
• Controle de acesso lógico é:
• Um conjunto de medidas e procedimentos, adotados pela
organização ou intrínsecos aos softwares utilizados, cujo
objetivo é proteger dados, programas e sistemas contra
tentativas de acesso não autorizadas feitas por usuários ou
outros programas
Introdução
• Para todo e qualquer controle de acesso lógico
• Seu ponto fraco será sempre o usuário
• Razões:
• Compartilhamento de senhas, descuido na proteção das
informações confidenciais, ou a escolha de senhas facilmente
descobertas
• A melhor forma de proteção fundamental é:
• A conscientização do usuário
• Tornando a estratégia de controle de acesso eficaz
Introdução
• Por conta da:
• Variedade e complexidade dos sistemas
• Processamento centralizado ou distribuído
• Diversas plataformas de hardware e software
• O trabalho de segurança e auditoria não é fácil
Introdução
CONTROLES DE ACESSO
LÓGICOS
Introdução, Recursos e Informações a serem protegido, Elementos
Básicos de Controle de Acesso Lógico, Processo de logon, Riscos
Inerentes a Controles inadequado, Lista de Verificações
• O primeiro passo, quando se trata de controles de acesso, é
determinar o que pretende-se proteger
• Recursos e informações sujeitos a controles lógicos
Recursos e informações a
serem protegidos
• Aplicativos (Programas fonte e objeto)
• O acesso ao código fonte dos aplicativos pode ser usado para
alterar suas funções e a lógica do programa
• Arquivos de dados
• Bases de dados, arquivos ou transações de bancos de dados
devem ser protegidos para evitar que os dados sejam
apagados sem autorização adequada
Recursos e informações a
serem protegidos
• Utilitários e Sistema Operacional
• O acesso as programas utilitários, tais como, editores de
texto, compiladores, softwares de manutenção, podem ser
usadas para alterar arquivos de dados, aplicativos e arquivos
de configuração do sistema
• E o sistema operacional é sempre um alvo bastante visado
pois sua configuração é o ponto chave de todo o esquema de
segurança
Recursos e informações a
serem protegidos
• Arquivos de Senhas
• A falta de proteção adequada a arquivos de senhas pode
comprometer todo o sistema, pois uma pessoa não
autorizada, poderia intencionalmente causar danos ao
sistema e dificilmente ser barrado por qualquer controle de
segurança instalado
• Arquivos de Logs
• Como os arquivos de logs registram toda e qualquer ação
dos usuários no sistema, se estes não forem devidamente
protegidos, um invasor poderá alterar seus registros para
encobrir ações por ele executadas
Recursos e informações a
serem protegidos
CONTROLES DE ACESSO
LÓGICOS
Introdução, Recursos e Informações a serem protegido, Elementos
Básicos de Controle de Acesso Lógico, Processo de logon, Riscos
Inerentes a Controles inadequado, Lista de Verificações
• O controle de acesso lógico pode ser visualizado de dois
pontos de vista
• Do recursos computacional a ser protegido
• E do usuário a quem se pretende dar certos privilégios e
acessos aos recursos
• A proteção aos recursos baseia-se nas necessidades de
acesso de cada usuário
• Enquanto que a identificação e autenticação do usuário é
feita por um processo de logon
Elementos Básicos de
Controle de Acesso Lógico
• Objetivos dos controles de acesso:
• Garantir que apenas usuários autorizados tenham acesso aos
recursos
• Os usuários tenham acesso apenas aos recursos realmente
necessários para a execução de suas tarefas
• O acesso a recursos críticos seja bem monitorados e restrito
a poucas pessoas
• Os usuários sejam impedidos de executar transações
incompatíveis com sua função ou além de suas
responsabilidades
Elementos Básicos de
Controle de Acesso Lógico
• Os controles de acesso são traduzidos em termos de
funções de identificação e autorização
• Alocação, gerência e monitoramento de privilégios
• Limitação, monitoramento e desabilitação de acessos
• Prevenção de acessos não privilegiados
Elementos Básicos de
Controle de Acesso Lógico
CONTROLES DE ACESSO
LÓGICOS
Introdução, Recursos e Informações a serem protegido, Elementos
Básicos de Controle de Acesso Lógico, Processo de logon, Riscos
Inerentes a Controles inadequado, Lista de Verificações
• Processo usado para obter acesso aos dados em um
sistema computacional
• Esse processo envolve:
• Entrada de um userid
• E uma senha
• Identificação: define para o computador quem é o usuário
• Autenticação: é a comprovação ao computador que o
usuário é realmente quem diz ser
Processo de Logon
• É aconselhável que o gerente de segurança evite orientar o
usuário durante o processo de logon
• Os usuários autorizados devem conhecer de antemão seu
userid e o formato da senha
• Uma forma de dificultar a ocorrência de invasões pode-se
recorrer a um número limitado de tentativas frustradas de
logon
• Bloqueando a conta
• Desfazendo a conexão
Processo de Logon
• O usuário pode auxiliar no controle de acesso à sua própria
conta
• Após o logon ter sido efetivado com sucesso pode-se
apresentar data e hora do último logon e detalhe sobre
tentativas frustradas
• Para o reporte do ocorrido à gerência de segurança
Processo de Logon
• Identificação
• Cada usuário deve ter sua própria identificação
•
•
•
•
Userid
Código de caracteres
Cartão inteligente
Ou qualquer outro meio de identificação
• No caso de código de caracteres é necessário estabelecer
• Regras de composição: quantidade mínima e máxima de
caracteres, mistura de letras, números, e símbolos
Processo de Logon
• Autenticação do Usuário
• Os sistemas de autenticação são uma combinação de
hardware, software e procedimentos que permitem o acesso
de usuários aos recursos computacionais
• O usuário apresenta algo que ele sabe ou possui, podendo
até envolver a verificação de características físicas
pessoais
• A maioria dos sistemas solicitam uma senha, mas sistemas
mais modernos utilizam:
• Cartões inteligentes
• Características físicas: formato da mão, retina, do rosto,
impressão digital e reconhecimento de voz
Processo de Logon
• Senhas
• Para o funcionamento adequado
• Os usuário devem ter pleno conhecimento das políticas de
senha da organização
• E devem ser orientados a segui-las fielmente
• É recomendável
• Evitar escolher senhas ou muito curtas ou muito longas
• Evitar a utilização da mesma senha em sistemas distintos
• Evitar senhas com certos elementos
Processo de Logon
• Senhas
•
•
•
•
•
•
•
Nome
Sua conta, mesmo que os caracteres estejam embaralhados
Nomes de membros da família ou amigos íntimos
Nomes de pessoas ou lugares
Nome do sistema operacional ou da máquina sendo utilizada
Datas
Números de telefone, de cartão de crédito, de carteira de
identidade ou de outros documentos pessoais
• Placas ou marcas de carro
Processo de Logon
• Senhas
•
•
•
•
•
Palavras de dicionários de diversos idiomas
Nomes próprios
Letras ou números repetidos
Letras seguidas do teclado
Objetos ou locais que podem ser vistos a partir da mesa do
usuário
• Qualquer senha com menos de 6 caracteres
Processo de Logon
• Senhas
• Software especializados podem identificar senhas frágeis
• Bases de dados de nomes
• Sequencias de caracteres mais comuns
• Bloquear a escolha dessas senhas por parte do usuário
• Sistemas de geração de senhas únicas
• Onde a senha é alterada de forma aleatória cada vez que é
utilizada
Processo de Logon
• Senhas
• Sistemas de controle de senha
• Devem ser configurados para proteger as senhas armazenadas
de uso não autorizado
• Não apresenta-as na tela do computador
• Mantendo-as em arquivos criptografados
• Estipula datas de expiração
• Mantém um histórico
• para evitar o uso repetido
Processo de Logon
• Senhas
• O gerente de segurança é responsável por:
• Desabilitar contas
•
•
•
•
Inativas
Sem senhas
Com senhas padronizadas
Senhas iniciais do usuário
• Deve ser gerada de forma que já entre expirada no sistema
• Bloquear contas após um determinado número de tentativas
falhas de acesso
Processo de Logon
• Tokens
• Objeto que o usuário possui, que o diferencie das outras
pessoas e o habilita a acessar algum objeto
• Desvantagem
• Por serem um objeto, podem ser perdidos, roubados ou
reproduzidos com maior facilidade
• Chaves ou cartão com tarja magnética
• Cartões magnéticos carregam informações pessoais
Processo de Logon
• Tokens
• Como um dispositivo a mais de segurança
• Cartões magnéticos incorporam hologramas em sua confecção
• Cartões inteligentes
• Microprocessadores
• Capacidade de memória maior
• Clonagem mais difícil
• Aplicações de cartões inteligentes
•
•
•
•
Cartões bancários, telefônicos e de crédito
Dinheiro eletrônico
Segurança de acesso
Carteiras de identidade
Processo de Logon
• Sistemas Biométricos
• Senhas: podem ser reveladas ou descobertas
• Tokens: podem ser roubados ou perdidos
• Aumento de pesquisas na área de:
• Verificação automática de identidade baseado nas
características físicas
• Sistemas biométricos automáticos são considerados uma
evolução natural
•
•
•
•
Análise grafológica de assinaturas
Análise de impressões digirais
Reconhecimento de voz
Análise da conformação dos vasos sanguíneos da retina
Processo de Logon
• Sistemas Biométricos
• Problemas enfrentados
• Alta taxa de erros
• Devido a mudança de características de uma pessoa
• Problemas de saúde ou nervosismo
• Tolerância a erros
• Deve ser estabelecida com precisão
• De forma a não admitir impostores
• Nem a ponto de negar acessos aos usuários legítimos
Processo de Logon
• Sistemas Biométricos
• Impressões digitais: armazena de 40 a 60 pontos para
verificar uma identidade
• Voz: não são confiáveis em função a ruídos do ambiente ou
problemas de garganta
• Geometria da mão: características podem afetadas pelo
aumento ou diminuição de peso ou mesmo doenças como
artrite
• Configuração da íris e da retina: são sistemas invasivos, mas
com identificação mais confiável
Processo de Logon
• Sistemas Biométricos
• Reconhecimento facial por meio de termograma:
• Imagem tirada por um câmera infravermelho
• Apresenta padrões térmicos da face
• Utiliza algoritmos sofisticados de comparação
• Níveis de temperatura distribuído pela face
• Técnica não invasiva
• Confiável
• Não é alterada por alteração de saúde, idade ou temperatura do
corpo
• Distingue gêmeos idênticos
• Armazena até 19.000 pontos de identificação
Processo de Logon
CONTROLES DE ACESSO
LÓGICOS
Introdução, Recursos e Informações a serem protegido, Elementos
Básicos de Controle de Acesso Lógico, Processo de logon, Riscos
Inerentes a Controles inadequado, Lista de Verificações
• Principais impactos
• Divulgação não autorizada de informações
• Alteração não autorizada de dados e aplicativos
• Comprometimento da integridade do sistema
• Maiores impactos sobre aplicativos
• Manipulam dados confidenciais
• Registros financeiros da organização
• Comprometem principalmente
• Integridade
• Confiabilidade
Riscos Inerentes a Controles de
Acesso Lógicos Inadequados
• Exemplos de mudanças não autorizadas
• Alteração do número da conta de um pagamento
• Desvio de dinheiro para terceiro
• Alteração do inventário da empresa
• Ocultar um furto cometido
• Aumento de salário na folha de pagamento
• Obter informações confidenciais a respeito de transações ou
indivíduos
• Visando extorsão ou chantagem
Riscos Inerentes a Controles de
Acesso Lógicos Inadequados
• Consequências
• Perda financeiras, decorrentes de fraudes
• Extorsões ou custos de restauração ao estado inicial de
programas e dados
• Perda de credibilidade
• Perda de fatias de mercado para a concorrência
• Inviabilidade de continuidade de seus negócios
• Processos judiciais
Riscos Inerentes a Controles de
Acesso Lógicos Inadequados
CONTROLES DE ACESSO
LÓGICOS
Introdução, Recursos e Informações a serem protegido, Elementos
Básicos de Controle de Acesso Lógico, Processo de logon, Riscos
Inerentes a Controles inadequado, Lista de Verificações
• Conceder acesso, aos usuários, apenas aos recursos realmente
necessários para a execução de suas tarefas
• Restringir e monitorar o acesso a recursos críticos
• Utilizar softwares de controle de acesso lógico
• Utilizar criptografia
• Revisar periodicamente as lista de controle de acesso
• Evitar dar orientações ao usuário durante o processo de logon
• Bloquear a conta do usuário após um certo número de tentativas
frustradas de logon
• Restringir acesso a determinados periféricos
• Fornecer contas apenas a pessoas autorizadas
Lista de Verificação
• Não fornecer a mesma conta para mais de um usuário
• Ao conceder a conta ao usuário, informá-lo sobre as
políticas de senha da organização
• Bloquear, se possível, a escolha de senhas consideradas
frágeis e orientar o usuário na escolha de senhas mais
seguras
• Orientar os usuários para não armazenarem senhas em
arquivos ou enviá-los por e-mail
• Armazenar as senhas no sistema sob a forma criptografada
Lista de Verificação
• Prevenir o uso frequente de senhas já utilizadas pelo mesmo
usuário anteriormente
• Estabelecer um prazo máximo de utilização de uma mesma
senha
• Informar os usuários quanto aos perigos de divulgação de
senhas
• Impedir que os usuários sejam capazes de ler os arquivos de
senha, identificar e trocar senhas de outros usuários
• Desabilitar contas inativas, sem senhas ou com senha
padronizadas
• Desabilitar as senhas de ex-funcionários
Lista de Verificação
• Não armazenar senhas em logs
• Manter e analisar trilhas de auditoria e logs
• Limitar o número de sessões concorrentes e o horário de
uso dos recursos computacionais
• configurar time-out automático
• Revisar e incorporar as listas de verificações porpostas na
política de segurança e nos outro tópicos de carácter
específico, de acordo com a área ou plataforma a ser
auditada
Lista de Verificação