Política de Segurança:
Verdade vs Mito
Security Policy: Truth vs. Myth
Política de Segurança: verdade ou mito?
Roberto de Carvalho
[email protected]
Emiliano Kargieman
[email protected]
Política de Segurança:
Verdade vs Mito
Agenda
•
O mito da Política da segurança da Informação
•
Repensando a Segurança
•
Players e papéis
•
O processo da Segurança e o papel da política
•
Infraestrutura de Segurança
•
Perguntas e Respostas
Política de Segurança:
Verdade vs Mito
Introdução: O mito da Política de Segurança
Política de Segurança:
Verdade vs Mito
Política de
Segurança
Um mantra para exorcizar os males
• Todo mundo está falando
• Não existe uma definição aceita
• Todo mundo está querendo uma
• Isso é apenas uma onda?
Política de Segurança:
Verdade vs Mito
Problemas das Políticas
•
Muito focada no high-level
•
Sem manutenção
•
Ou gerenciada
•
Sem execução
•
Ou controle
•
Ou testada
•
Separada da realidade
Política de Segurança:
Verdade vs Mito
Repensando a Segurança
Política de Segurança:
Verdade vs Mito
Repensando a
Segurança
Onde nos perdemos
• Dia-a-dia operacional
– Usuários, plataformas, SOs, aplicações,
redes
• A busca por uma solução mágica
• Na estratégia bottom-up ou top-down
• Definição de orçamento
• A briga da segurança vs. flexibilidade
Política de Segurança:
Verdade vs Mito
Repensando a
Segurança
Um pequeno lembrete
• Não existe Segurança real.
• Segurança é apenas a percepção do risco
• Administrar a Segurança é administrar o risco.
• Para aumentar a Segurança, riscos precisam
ser:
– Modelados
– Quantificados
– Minimizados ao longo do tempo
• Trata-se de um processo contínuo!
Política de Segurança:
Verdade vs Mito
Repensando a
Segurança
Pessoas, processos, dados e informação
•
•
Informação é volátil, difícil para definí-la ou conte-la.
Processos podem ser modelados, mediados e
auditados
Information
1
0
0
1
1
0
1
0
1
1
1
0
1
0
People
Processes
Data
Política de Segurança:
Verdade vs Mito
Repensando a
Segurança
Modelando o fluxo da informação
•
•
Modelar o fluxo da informação em uma
organização, onde players comunicam, processam
e armazenam informação.
Identificar os processos, fontes de dados e
recursos críticos para o funcionamento da
organização
Política de Segurança:
Verdade vs Mito
Modelando
o Risco
Pontos de entrada
•
Cada interação possui o seu próprio risco.
Ri
Ri
Ri
Ri
Ri
Ri
Ri
Ri
Ri
Ri
Política de Segurança:
Verdade vs Mito
Modelando
o Risco
A equação do risco
Perfil do attacker,
Recursos disponíveis
=
R
i
=
Falhas do software,
Políticas superficiais,
Protocolos,
Etc.
Ameaças x Vulnerabilidades
Contra medidas
Práticas e
tecnologias
Prejuízos
calculados
x Impacto
Política de Segurança:
Verdade vs Mito
Modelando
o Risco
Ameaça
• Quantificada pelo perfil do atacante,
conhecimento, recursos financeiros e humanos,
interesses, etc:
– Amador
– Hacker
– Grupo de Hackers
– Funcionário instatisfeito
– Concorrentes
– Crime organizado
– Agencia de Inteligencia
– Organizações terrroristas
Política de Segurança:
Verdade vs Mito
Modelando
o Risco
Vulnerabilidades
• Falhas de Design
– Sistemas críticos de informação
– Redes
– Arquitetura de Segurança
• Falhas de Implementação
– Vulnerabilidades de sistemas operacionais
– Vulnerabilidades de aplicações
– Vulnerabilidades de hardware
• Mal uso ou configuração
• Fraquezas da política
• Responsabilidades não definidas claramente
Política de Segurança:
Verdade vs Mito
Modelando
o Risco
Impacto
• Consequencias do ataque, quantificadas por
perdas economicas, publicidade negativa, etc.
– Perda de informação proprietária
– Corrupção de informação crítica
– Fraude financeira
– Interrupção de processos críticos
– Sabotagem
– Fraude de Telecomunicações
Política de Segurança:
Verdade vs Mito
Modelando
o Risco
Contra-medidas
• Ferramentas de segurança, software e
mecanismos
– Dispositivos de rede
– Crypto
– Controle de Accesso
– Etc.
• Procedimentos
• Resposta a emergencia
• Auditoria
• Visibilidade
• Treinamento
Política de Segurança:
Verdade vs Mito
Repensando a
Segurança
Administrando o risco
• Requer monitoramento, previsão e análise da
evolução das variáveis na equação do risco
• Implementar e ajustar as contra medidas
I.F.

Risk =
T
Ri
<< mT
Política de Segurança:
Verdade vs Mito
Repensando a
Segurança
O que as pessoas podem fazer é o que importa
Information
1
0
0
1
1
0
1
0
1
1
1
0
1
0
People
•
•
Processes
Data
Segurança da Informação pode ser vista como
o processo de definição, administração e
controle do fluxo de informação entre os
participantes (players) de um sistema
Definir uma política é definir exatamente o que
os players podem e devem fazer.
Política de Segurança:
Verdade vs Mito
Repensando a
Segurança
Players
• Players internos
– Players com funções operacionais no sistema
(organização)
– Eles estão na folha de pagamento
– Perfis e números sao conhecidos
– Espera-se que eles sigam a política
• Players externos
– Clientes, parceiros, fornecedores, atacantes
– Eles podem não ter uma função operacional
no sistema
– Perfis e números são desconhecidos
Política de Segurança:
Verdade vs Mito
Repensando a
Segurança
Papéis
• Um player desempenha uma função ao participar
em uma série de processos.
• Em cada processo, o player tem um papel
específico e bem definido.
• Para desempenhá-lo, o player precisa acessar
um conjunto bem definido de recursos na
organização.
Política de Segurança:
Verdade vs Mito
Repensando a
Segurança
O gráfico da Política de Segurança
•
O relacionamento entre players, funções, papéis e
recursos podem ser representados como um gráfico
direcionado.
Role
Role
Role
Function
Resource
Resource
Resource
Player
Role
Política de Segurança:
Verdade vs Mito
Repensando a
Segurança
Granularidade
Role
Resource
Resource
Resource
•
•
•
•
•
•
•
•
•
•
•
Servers/serviços
Aplicações
Comunicações
Arquivos
Dispositivos
Transações
Registry/configuração
etc.
O detalhe obtido na definição e controle dos recursos
necessários para desempenhar um papel específico nos
dá uma idéia sobre a granularidade da política.
Granularidade permite-nos endereçar vulnerabilidades
emergentes.
Ajuda a fechar o gap entre segurança e flexibilidade.
Política de Segurança:
Verdade vs Mito
Repensando a
Segurança
Acuracidade
Role A
Resource
Resource
Resource
Role B
Resource
Resource
•
•
•
Os recursos para desempenhar cada papel são distintos.
O mesmo player poderia ou não ter acesso a
determinado recurso dependendo do processo em
questão.
Falhas implicarão em uma política inacurada.
Política de Segurança:
Verdade vs Mito
O processo de Segurança
e o papel da Política
Política de Segurança:
Verdade vs Mito
O papel da
Política
O processo de Segurança
Definição da
Política
Modelagem
do Risco
Arquitetura
Segurança
Visibilidade e
Controle
Política de Segurança:
Verdade vs Mito
O papel da
Política
O papel central da Política de Segurança
Arquitetura
Segurança
Modelagem
Risco
Política
Segurança
Visibilidade e
Controle
Política de Segurança:
Verdade vs Mito
O papel da
Política
Modelagem do Risco
Modelagem
Risco
•
•
•
•
•
•
Define escopo
Identifica processos
críticos
Identifica recursos
críticos
Pontos de falhas
Define objetivos
Testa a política
Arquitetura
Segurança
Política
Segurança
Visibilidade e
Controle
Política de Segurança:
Verdade vs Mito
O papel da
Política
Arquitetura da Segurança
Arquitetura
Segurança
Modelagem
Risco
•
Política
Segurança
Visibilidade e
Controle
•
•
Define políticas
baseando-se em suas
capacidades atuais
Gerencia
Aplica
Política de Segurança:
Verdade vs Mito
O papel da
Política
Visibilidade e Controle
Arquitetura
Segurança
Modelagem
Risco
Política
Segurança
Visibilidade e
Controle
•
Define políticas que possam ser
controladas
•
Monitora sua política em ação
•
Fornece feedback para
retroalimentação
•
Identifica próximos passos
Política de Segurança:
Verdade vs Mito
Infraestrutura de Segurança
Política de Segurança:
Verdade vs Mito
Taxonomia funcional das ferramentas
•
Análise e formalização
– Ferramentas que ajudam no processo de
modelagem do risco e definição de políticas.
•
Enforcement
– Ferramentas usadas para aplicar as políticas
•
Auditoria e Controle
– Ferramentas usadas para adquirir
conhecimento do“security infospace”
ajudando no processo de detecção e resposta
as brechas de segurança.
Política de Segurança:
Verdade vs Mito
Análise e formalização
•
Ferramentas
– Network discovery tools
– Scanners de Vulnerabilidade
– Ferramentas de ataque intrusivo
– Ferramentas de modelagem organizacional
– Ferramentas de modelagem de riscos
•
Serviços
– Security Intelligence
– Testes de intrusão
– Definição de política
– Plano de contingencia
– Etc.
Política de Segurança:
Verdade vs Mito
Enforcement
•
Ferramentas
– Identificação, Autenticação e Autorização
• PKI, Biometria, Tokens, Single Sign-On, Platforma
dependente (SO específico)
– Segurança Software Básico
• Network services wrappers, Filesystem
restrictions, Consistency checks, Security
upgrades and patches, etc.
– Segurança da Aplicação
• Certificação/autorização de APIs, controle de
versão, Aplicações dependentes.
– Segurança da rede
• Firewalls, VPNs, filtros de conteúdo
– Integridade / proteção dos dados
• Anti-vírus, Backups, checkers de consistencia.
Política de Segurança:
Verdade vs Mito
Auditoria e controle
•
Ferramentas
– Network based Intrusion detection systems
– Host based intrusion detection systems
– Audit trails and log acquisition tools
– Log centralization tools
– Visualization tools
– Analysis tools
– Alarm and Reporting systems
– Forensics tools
– Security Operation Centers
•
Serviços
– Managed Security Services
Política de Segurança:
Verdade vs Mito
Infraestrutura
de Segurança
Construindo uma infraestrutura de Segurança
•
Criar um framework e selecionar ferramentas para
avaliar, controlar, aplicar e gerenciar o que os players
podem fazer (política de segurança)
•
Abstrair o conceito de usuários e gerenciar players
•
Integrar todos os componentes de segurança
•
Endereçar escalabilidade
•
Preocupar-se com a transparencia (para usuários,
sistemas)
•
Gerar visibilidade
•
Manter uma perspectiva global
Política de Segurança:
Verdade vs Mito
Infraestrutura
de Segurança
Gerenciando uma infraestrutura de segurança
• Política de Segurança é aquilo que vc pode
gerenciar
• Granularidade e acuracidade pode ser obtida
apenas através de um esforço contínuo.
• Política de Segurança deve evoluir, assim como
a infraestrutura.
• Mudanças culturais podem ser necessárias para
gerenciar a segurança de maneira eficaz.
Política de Segurança:
Verdade vs Mito
Infraestrutura
de Segurança
Não se trata apenas de ferramentas
Pen testing
Risk Modeling
File system restrictions
Firewalls
Network discovery
PKI
App. Security
Política de Segurança:
Verdade vs Mito
Infraestrutura
de Segurança
Uma boa infraestrutura de Segurança
• Permite a definição e o enforcement de uma
política por toda a organização
• Alavanca a implementação de uma estratégia de
defesa em profundidade
• Maximiza o uso das capacidades existentes
• Aumenta a granularidade da Segurança
• Possibilita a descoberta em tempo real e
respostas aos gaps e ataques em ambientes
complexos
• Traz as ferramentas necessárias para o
gerenciamento do risco ao longo do tempo
Política de Segurança:
Verdade vs Mito
Infraestrutura
de Segurança
Uma boa infraestrutura de Segurança
(cont.)
• Simplifica o esforço de gerenciar uma
infraestrutura de multiplataformas com milhares
de usuários e perfis.
• Facilita um inventário acurado de usuários,
perfis, aplicações, políticas, recursos e
processos com as propriedades de segurança.
• Reduz o treinamento necessário para gerenciar
ambientes complexos
• Simplifica o dia-a-dia operacional do usuário final
em ambiente multiplataforma.
• Oferece uma plataforma para homologar a
implementação de novas tecnologias.
Política de Segurança:
Verdade vs Mito
Security
Dicas para selecionar ferramentas
infrastructure
•
Estatísticas do MIS CDS na Inglaterra
•
NÃO EXISTE FÓRMULA MÁGICA
•
Posso quantificar se o meu risco seria menor se
comprasse uma nova tecnologia?
•
Posso integrar a nova tecnologia com as outras
existentes ?
•
Posso gerenciar o meu novo brinquedo?
•
Manter uma perspectiva global
Política de Segurança:
Verdade vs Mito
Sobre a Core Security Technologies
Política de Segurança:
Verdade vs Mito
Nossas soluções
Política de Segurança:
Verdade vs Mito
Lista parcial de clientes
•
•
•
•
•
•
•
•
•
Banco Privado de
Inversiones
BankBoston
Ernst & Young LLP
FEMSA (Coca Cola)
Foundstone Inc.
Greenlight.com
IEEE
KPMG
MBA - Merchants Bank de
Argentina
•
•
•
•
•
•
•
•
•
•
•
•
Metrored
Microsoft Inc.
Network Associates Inc.
Organización Veraz
PriceWaterhouseCoopers
Proofspace Inc.
Real Networks Inc.
SecurityFocus.com
Secure Networks Inc.
Siemens
UOL International
Vyou.com
Política de Segurança:
Verdade vs Mito
The Information Security Process
Perguntas?
Roberto de Carvalho
[email protected]
Emiliano Kargieman
[email protected]
Para receber uma cópia da apresentação,
favor nos fornecer o seu e-mail