Instituto de Ciências Exatas
Departamento de Ciência da Computação
Curso de Especialização em Gestão da Segurança da Informação e
Comunicações
FAGNER DA SILVA DE JESUS
Organização de sistemas de rede: um estudo de caso
sob a ótica de prevenção à ataques cibernéticos
Brasília
2011
Fagner da Silva de Jesus
Organização de sistemas de rede: um estudo de caso
sob a ótica de prevenção à ataques cibernéticos
Brasília
2011
Fagner da Silva de Jesus
Organização de sistemas de rede: um estudo de caso
sob a ótica de prevenção à ataques cibernéticos
Monografia apresentada ao Departamento de
Ciência da Computação da Universidade de
Brasília como requisito parcial para a obtenção
do título de Especialista em Ciência da
Computação:
Gestão
da
Segurança
Informação e Comunicações.
Orientador: Prof. MS. Osvaldo Corrêa do Nascimento Júnior
Universidade de Brasília
Instituto de Ciências Exatas
Departamento de Ciência da Computação
Brasília
Novembro de 2011
da
Esta lauda de texto deve ser impressa no verso da folha de rosto (página anterior).
Todos os textos em vermelho que aparecem no corpo das páginas servem apenas
para orientar sobre o uso do modelo, e devem ser substituídos por uma quantidade
equivalente de linhas em branco quando da edição da monografia, visando
preservar a correta paginação do texto. As notas de rodapé que orientam sobre o
uso do modelo também devem ser removidas.
Desenvolvido em atendimento ao plano de trabalho do Programa de
Formação de Especialistas para a Elaboração da Metodologia Brasileira
de Gestão da Segurança da Informação e Comunicações - CEGSIC
2009/2011.
© 2011 Fagner da Silva de Jesus. Qualquer parte desta publicação pode
ser reproduzida, desde que citada a fonte.
Jesus, Fagner da Silva de
Organização de sistemas de rede: um estudo de caso sob a ótica
de prevenção à ataques cibernéticos / Fagner da Silva de Jesus. –
Brasília: O autor, 2011. 68 p.; Ilustrado; 25 cm.
Monografia (especialização) – Universidade de Brasília. Instituto de
Ciências Exatas. Departamento de Ciência da Computação, 2011.
Inclui Bibliografia.
1. Ataques cibernéticos. 2. Infraestrutura de rede. 3. Segurança. I.
Organização de sistemas de rede: um estudo de caso sob a ótica de
prevenção à ataques cibernéticos.
CDU 004.056
Dedicatória
Dedico este trabalho primeiramente a Deus, por ter me dado o presente que é
a minha família, na imagem de meus pais, Ubiratan e Marlisete, pois sem as
orientações, esforços e correções que me deram durante toda a minha vida, não me
tornaria a metade do homem que sou hoje, minha irmã, Ana Cristina, com a ajuda e
conselhos dados na hora exata e a minha amada esposa Luciana, por compreender
e ajudar nos momentos nos quais precisei me afastar de sua companhia durante a
jornada para a conquista de mais esta etapa em minha vida.
Agradecimentos
Gostaria de agradecer a todos os meus amigos e parentes que me apoiaram
nesta jornada, cuja conquista se materializa nesta monografia. Agradecimentos
especiais ao Exército Brasileiro, onde como oficial, pude realmente conhecer os
significados das palavras companheirismo, lealdade, justiça e honra; Aos
comandantes, demais chefes e companheiros da Brigada de Infantaria Páraquedista, com os quais tive a grata oportunidade de servir; Ao Departamento de
Segurança da Informação e Comunicações, do Gabinete de Segurança Institucional
da Presidência da República, na pessoa do senhor Raphael Mandarino Junior e a
Universidade de Brasília, na pessoa do senhor Jorge Henrique Cabral Fernandes,
sem a perseverança e orientação destes, não seria possível a materialização deste
curso e ao meu orientador, Prof. Msc. Osvaldo Correa do Nascimento Júnior, pelas
orientações prestadas, durante a elaboração deste trabalho.
Esta página é chamada de epígrafe. É um elemento opcional que pode simbolizar
um pouco do trabalho apresentado. Pode-se usar uma citação famosa ou não, de
um autor conhecido ou anônimo. Veja um exemplo a seguir.
“Conhece-te a ti mesmo”
Sócrates.
“A habilidade vai realizar o que é negado através da força.”
Provérbio Russo.
Lista de Figuras
Figura 1 - Os principais objetivos de um atacante ao comprometer um sistema
computacional ...........................................................................................................28
Figura 2 – Exemplo esquemático de uma DMZ ........................................................34
Figura 3 – Interligação entre os conceitos do COBIT................................................42
Figura 4 – Arquitetura de Rede Tipo I .......................................................................48
Figura 5 – Arquitetura de Rede Tipo II ......................................................................49
Sumário
Ata de Defesa de Monografia......................................................................................3
Dedicatória ..................................................................................................................4
Agradecimentos ..........................................................................................................5
Lista de Figuras...........................................................................................................7
Sumário .......................................................................................................................8
Lista de Acrônimos....................................................................................................11
Resumo .....................................................................................................................13
Abstract .....................................................................................................................14
1 Delimitação do Problema .......................................................................................15
1.1 Introdução........................................................................................................17
1.2 A questão de pesquisa ....................................................................................18
1.3 Objetivos e escopo ..........................................................................................18
1.3.1 Objetivos gerais.........................................................................................18
1.3.2 Objetivos específicos ................................................................................19
1.3.3 Escopo ......................................................................................................19
1.4 Justificativa ......................................................................................................19
1.5 Hipótese...........................................................................................................20
2 Metodologia............................................................................................................22
3 Revisão de Literatura e Fundamentos ........................................................................24
3.1 Conceitos iniciais sobre informação ................................................................26
3.1.1 A guerra da informação e sua evolução – a guerra cibernética ................27
3.2 Hardening ........................................................................................................29
3.3 Firewall ............................................................................................................31
3.3.1 Tipos de Firewall .......................................................................................32
3.3.2 A Zona Desmilitarizada .............................................................................33
3.3.3 Uma solução completa?............................................................................34
3.4 Sistemas de Detecção e Prevenção de Intrusão em rede e em Hosts
(NIDS/NIPS/HIDS).................................................................................................34
3.4.1 Network Intrusion Detection System (NIDS) .............................................35
3.4.2 Network Intrusion Prevention System (NIPS)............................................37
3.4.3 Host-based Intrusion Detection System (HIDS) ........................................37
3.5 Sistema centralizador de registros de logs ......................................................38
3.6 Gestão de segurança da informação: a norma ABNT ISO/IEC 27002 ............39
3.7 Guia de boas práticas: COBIT .........................................................................40
3.8 Instruções Reguladoras sobre Segurança da Informação nas Redes de
Comunicação e de Computadores do Exército Brasileiro – IRESER (IR 13-15) ...43
4 Resultados .............................................................................................................45
4.1 O Exército Brasileiro ........................................................................................45
4.1.1 Organização..............................................................................................45
4.1.2 O Sistema de Ciência e Tecnologia (SCT) no Exército Brasileiro .............46
4.1.3 A rede corporativa de dados, voz e imagem do Exército (EbNet).............47
4.1.4 Escopo da pesquisa ..................................................................................48
4.1.5 Arquiteturas de redes encontradas ...........................................................48
4.1.5.1 Arquitetura de Rede Tipo I: ....................................................................48
4.1.5.2 Arquitetura de rede Tipo II:.....................................................................49
4.1.5 Dos mecanismos de Autenticação e Controle de Acesso: ........................50
4.1.6 Da monitoração e registros de eventos:....................................................50
4.1.7 Das cópias de segurança:.........................................................................52
5 Discussão...............................................................................................................54
6 Conclusões e Trabalhos Futuros............................................................................57
6.1 Conclusões ......................................................................................................57
6.2 Trabalhos Futuros............................................................................................58
Referências e Fontes Consultadas ...........................................................................60
Apêndice A – Modelo de questionário.......................................................................64
Lista de Acrônimos
ABNT
Associação Brasileira de Normas Técnicas
ATM
Asynchronous Transfer Mode ou Modo de Transferência Assíncrono
C2
Comando e Controle
COBIT
Control Objectives for Information and related Technology
DMZ
DeMilitarized Zone ou Zona Desmilitarizada
EbNET
Rede de Dados Corporativa do Exército Brasileiro
END
Estratégia Nacional de Defesa
FAR
Força de Ação Rápida
FTP
File Transfer Protocol ou Protocolo de Transferência de Arquivos
HIDS
Host-based intrusion detection system
HTTP
Hypertext Transfer Protocol ou Protocolo de Transferência de
Hipertexto
HTTPS
Hypertext Transfer Protocol Secure ou Protocolo de Transferência de
Hipertexto Seguro
IDS
Intrusion Detection System
IPSEC
Internet Protocol Security
IRESER
Instruções Reguladoras sobre Segurança da Informação nas Redes de
Comunicação e de Computadores do Exército Brasileiro
ISO/IEC
International
Organization
for
Standardization
/
International
de
Performance
Electrotechnical Commission
KGI
Key Goal Indicators ou Indicadores de Objetivo
KPI
Key
Performance
Indicators
ou
(Desempenho)
Log
Registro
MD
Ministério da Defesa
MD5
Message-Digest algorithm 5
NAS
Network-Atacched Storage
NAT
Network Address Translation
NIDS
Network Intrusion Detection System
Indicadores
NIPS
Network Intrusion Prevention System
NIST
National Institute of Standards and Technology
OM
Organização Militar
PDTI
Plano Diretor de Tecnologia da Informação
ROI
Return on Investiment
RVP
Rede Virtual Privada (VPN)
SC2
Sistema de Comando e Controle
SCCEx
Sistema de Comando e Controle do Exército
SCT
Sistema de Ciência e Tecnologia
SHA-1
Secure Hash Algorithm version 1
SMTP
Simple Mail Transport Protocol ou Protocolo Simples de Transporte de
Correio
SSL
Secure Sockets Layer
TCP/IP
Transfer Control Protocol/Internet Protocol
TI
Tecnologia da Informação
VPN
Virtual Private Network
Resumo
Este estudo de caso tem por intuito observar e avaliar como se configuram os
sistemas de segurança em rede utilizados hoje por algumas organizações militares
do Exército Brasileiro. Através da utilização de normas, regulamentos, diretrizes e
condutas de boas-práticas adotadas no mundo da Segurança da Informação, bem
como da implementação de sistemas de proteção em camadas, este autor espera
apresentar formas de organização de sistemas de segurança de rede, sob a ótica da
segurança cibernética, visando alcançar um bom grau de confiabilidade nos
sistemas empregados, e servir como base para um conjunto de medidas que
possam colaborar conjuntamente com o aumento da resilência a ataques e intrusões
cibernéticos, de forma a resistir ao impacto sofrido durante um ataque e superar
situações críticas nas quais os princípios da prevenção e proteção dos ativos de
rede estejam ameaçados.
Abstract
This case study has the purpose of observing and valuing how network
security systems are used nowadays by some Military Organizations from Brazilian
Army. Making use of rules, regulations, guidelines and behaviors of good practices
adopted in the world of information security, as well as the implementation of
protection systems in layers, this author is willing to present ways to organize the
network security system under the cybernetic security view, hoping to achieve a good
degree of
reliability in the systems used and serve as a basis for a group of
measures that can collaborate jointly to the growth of resilience to attacks and
cybernetic intrusions in a way to resist the impact suffered during the attack and
recover difficult situations in which the principles of prevention and protection of
network assets are threatened.
15
1 Delimitação do Problema
"O mundo mudou, e hoje uma equipe de dez pessoas mal-intencionadas,
com grande conhecimento, pode fazer estragos enormes em estruturas
sofisticadas", Coronel Gonçalves – coordenador para a implementação do
Centro de Defesa Cibernético do Exército.
Vivemos em um mundo globalizado, onde a informação faz parte de qualquer
atividade. Ela acompanha a humanidade desde o início dos tempos, proporcionando
vantagens históricas tanto em conflitos armados, como nos círculos políticos até
hoje, se tornando peça fundamental para a obtenção de superioridade, seja
estratégica ou tática, ou como base para decisões políticas ou diplomáticas.
Em sua vertente estratégica e tática, é fundamental elemento para as
decisões de combate, em conjunto com os sistemas de C2 (acrônimo de Comando e
Controle - capacidade dos comandantes militares atuarem na coordenação e na
direção de suas tropas). Segundo a doutrina do Exército Brasileiro, o ciclo básico do
processo de tomada de decisão é deflagrado a partir dos estímulos recebidos do
ambiente. O centro decisório, após detectar, comparar, analisar, decidir e agir, reage
ao ambiente, para restabelecer a situação desejada.
O Sistema de Comando e Controle (SC2), como parte integrante desse
processo doutrinário, precisa ser operado em tempo compatível que assegure a
oportunidade na tomada de decisão. A importância de um SC2 pode ser destacada
através da citação de Viega Nunes (2000), onde ele afirma que a atualidade dos
sistemas de apoio à decisão é marcada pela multiplicidade e transitoriedade dos
vetores de informação que os alimentam. Com a utilização extensiva de
equipamentos cada vez mais avançados tecnologicamente, a aplicação destes
sistemas, no campo de batalha moderno, cresce de importância, tornando-os parte
indissociável ao combate como ferramenta de apoio à decisão.
16
Um dos mais antigos princípios da guerra baseia-se através de ações que
tornem mais difíceis o controle e a comunicação entre as tropas do inimigo.
A “guerra cibernética”, apesar de não existir um consenso entre os autores
sobre a definição deste termo, está sendo considerada a evolução natural dos
conflitos e da guerra humana. É tida como uma variação da Guerra Eletrônica, que
pode ser definida, de acordo com o manual de campanha 34-1 do Exército Brasileiro
(Emprego da Guerra Eletrônica), como “o conjunto de ações que visam assegurar o
emprego eficiente das emissões eletromagnéticas próprias, ao mesmo tempo em
que buscam impedir, dificultar ou tirar proveito das emissões inimigas”.
Com o advento e a popularização da internet, um mundo sem fronteiras foi
sendo construído, mundo este, descentralizado e complexo, constituído por
computadores interligados em diversos locais do mundo.
Carvalhais (2008) já destacava uma das principais características do mundo
cibernético quando afirmava que as limitações físicas de distância e espaço não se
aplicavam ao mundo cibernético, uma vez que ações desencadeadas do outro lado
do mundo, ou da sala ao lado possuíam igual nível de eficácia, anulando as
limitações geralmente impostas por distâncias físicas na condução de ataques.
No âmbito da Defesa, o surgimento deste novo campo de batalha cria
mudanças nas percepções de como o combate é visto até o dia de hoje: “No conflito
convencional, as fronteiras estão bem definidas. No espaço cibernético, essa
fronteira não existe, uma vez que a arquitetura da internet é livre. Os dados fluem de
forma natural, sem muitos controles, de modo que o dado trafega pelo canal mais
livre. O inimigo é difícil de identificar.” (General Santos Guerra, comandante do
Centro de Defesa Cibernético do Exército).
Existem, no âmbito da comunidade de segurança da informação, diversas
normas, regulamentos e diretrizes sobre a implantação de um sistema de segurança
em Sistemas de Informação e Comunicação nas organizações da Administração
Pública Federal, bem como em órgãos das Forças Armadas e organizações
privadas.
Tais normas, regulamentos e diretrizes (entre outros documentos) são
considerados controles da segurança da informação em uma organização. São eles
que definem as regras, responsabilidades e práticas a serem utilizadas de forma a
garantir a segurança de suas informações. Estes controles, baseados na perspectiva
de uma Guerra Cibernética, possuem aplicações ainda mais importantes, pois a sua
17
consolidação contribui, de forma inequívoca, contra possíveis tentativas de acesso
indevido à sistemas computacionais envolvidos no processo decisório.
De forma a nortear este estudo, este capítulo se torna composto por cinco
seções: (i) Introdução, (ii) Questão de Pesquisa, (iii) Declaração de Objetivos e
Escopo; (iv) Justificativas do Estudo; e (v) Hipótese a Investigar.
1.1 Introdução
A existência dos meios de Tecnologia da Informação (TI) inseridos na vida
cotidiana da sociedade moderna é um fato marcante que modela o perfil do
comportamento humano e condiciona o desenvolvimento das atividades.
No campo militar, os mencionados recursos permeiam toda a estrutura das
forças armadas, tornando-se indispensáveis no preparo e no emprego das tropas
para o cumprimento de suas destinações.
Em função da rápida evolução desses recursos tecnológicos, a inter-relação
em diversos setores tornou-se um imperativo. Desta feita, as tropas a serem
empregadas na solução de diversos conflitos devem estar preparadas para todas as
situações e devem utilizar os recursos tecnológicos disponíveis de modo a
maximizar a eficiência e eficácia de seu emprego.
Nas telecomunicações ou nas comunicações militares, os meios de TI têm
sua importância destacada. Os sistemas de comando e controle dependem, cada
vez mais, da implementação e utilização destes meios.
Segundo HERZOG (2010), a implementação de controles de segurança
requer uma equipe diversificada de especialistas, que possam entender a segurança
tão profundamente como as regras, as leis e suas premissas, bem como a
operação, os processos e toda a tecnologia envolvida.
E, de acordo com ANDRESS e WINTERFELD (2011), no futuro, os conflitos
cibernéticos prevalecerão, necessitando, desta forma, de uma equipe cada vez mais
treinada, com diferentes experiências e talentos mais específicos.
Além da necessidade de uma equipe de especialistas, a proteção dos
sistemas de missão crítica e de suas características inerentes (sistemas legados,
falta de validação de atualizações e de uma gerência centralizada) são pontos
cruciais para uma defesa efetiva.
18
Cabe ressaltar que além da preservação dos Sistemas de TI, as medidas de
segurança contribuem para resguardar a imagem da Instituição, dificultando a
violação desses sistemas e a obtenção de informações sensíveis por intermédio de
ações criminosas.
O escopo deste trabalho encontra-se na investigação métodos, ferramentas e
técnicas básicas necessárias para a implementação de controles técnicos em
sistemas de informações e comunicações por militares pertencentes á Organizações
Militares do Exército Brasileiro baseado em metodologias e diretrizes existentes e
difundidas na comunidade de segurança da informação.
1.2 A questão de pesquisa
Baseada nas premissas anteriores, a questão central de pesquisa que motiva
este estudo pode ser definida em “como as organizações militares do Exército
Brasileiro podem, efetivamente, organizar seus sistemas de rede sob a ótica da
prevenção a ataques cibernéticos?”.
1.3 Objetivos e escopo
1.3.1 Objetivos gerais
Com os requisitos de uma equipe multidisciplinar, a atividade de
implementação de controles em sistemas de informação, requer muitos esforços e
recursos, como tempo, pessoal, e, em alguns casos, elementos de hardware e
software. O objetivo, deste estudo, como dito anteriormente, é investigar os
métodos, ferramentas e técnicas básicas necessárias para a implementação de
controles técnicos em sistemas de informações e comunicações por militares
pertencentes á Organizações Militares do Exército Brasileiro baseado em
metodologias e diretrizes existentes e difundidas na comunidade de segurança da
informação. Além disto, pretende-se identificar oportunidades de melhoria para os
processos de gestão existentes nas organizações militares estudadas, de forma que
possam ser utilizados como referência e de forma otimizada nas demais unidades
do Exército Brasileiro.
Não é objetivo deste estudo prover um programa completo de implementação,
mas sim, estudar algumas das melhores práticas, exemplificando alguns de seus
19
benefícios e limitações, de forma que possam ser implementados em qualquer
unidade do Exército Brasileiro.
1.3.2 Objetivos específicos
Segundo Neves e Domingues (2007, p. 53), “Em trabalhos cujo objetivo geral
é descrever um evento ou um processo, normalmente utilizamos questões de estudo
para nortear o desenvolvimento da pesquisa”.
A fim de viabilizar a consecução do objetivo geral de estudo, foram também
formulados objetivos específicos, de forma a encadear logicamente o raciocínio
descritivo apresentado neste estudo. São eles:
a. Identificar e explicar os principais conceitos atinentes aos processos de
gestão praticados no âmbito do Exército Brasileiro, enfatizando a segurança de
sistemas;
b. Descrever algumas das tecnologias e processos utilizados para maior
segurança de sistemas de informação, identificando suas empregabilidades e
peculiaridades;
c. Identificar suas principais limitações e desvantagens; e
d. Apresentar as principais justificativas que comprovem o aumento da
segurança como uma resultante incondicional das implementações realizadas das
ferramentas descritas anteriormente.
1.3.3 Escopo
Como escopo desta pesquisa, foram realizados levantamentos em 16
(dezesseis) unidades do Exército Brasileiro, variando entre unidades de saúde,
escolas, unidades de combate e de apoio ao combate, bem como de administração,
com os serviços básicos de rede (exemplificados posteriormente), de forma a se
obter um perfil que poderá ser usado como parâmetro.
1.4 Justificativa
No âmbito do Exército Brasileiro, respeitadas suas peculiaridades, muitas
vezes existem eventuais carências de pessoal especializado em suas unidades para
a gestão, gerência de redes de computadores e para a garantia de sua eficiência e
20
continuidade de funcionamento. Além do acúmulo de funções atribuídas a um
mesmo militar e/ou sua equipe, comprometendo muitas vezes a possibilidade de
uma configuração mais detalhada, elaboração de documentação e verificações de
logs de servidores, ficando estas tarefas muitas vezes delegadas a um segundo
momento e sendo substituídas por uma situação de instalação simples e rápida, de
forma padrão sugerida pelo sistema no intuito de colocar em produção o
equipamento no mais curto prazo possível, criando assim, um ponto vulnerável e
comprometendo a segurança daquele equipamento e, conseqüentemente, de todo o
ambiente computacional e suas informações.
Exemplificando um pouco de toda esta problemática, não é raro ocorrerem
situações nas quais militares responsáveis pela área de TI em algumas
organizações militares desempenhem outras atribuições, não dispondo da
dedicação necessária ao acompanhamento diário das atividades na área de TI; ou
em muitas vezes, são deslocados para atividades operacionais fora de sua
organização militar, permanecendo afastados por longos períodos, muitas vezes,
sem a existência de outros militares capacitados para substituí-los durante estes
períodos.
1.5 Hipótese
Com este estudo, pretendo afirmar que, tendo por base procedimentos bem
documentados e metodologias existentes para a implantação de controles técnicos
em segurança da informação, a organizações do Exército Brasileiro poderão mitigar
e minimizar os impactos decorrentes de possíveis tentativas de intrusão em sua
infra-estrutura e em seus sistemas.
Dentre as hipóteses existentes, foram elencadas possibilidades a serem
confrontadas ao final deste estudo. São elas:
H0 – No universo estudado, nenhuma das organizações demonstrou
preocupação com a segurança dos seus ativos de TI;
H1
–
No
universo
estudado,
algumas organizações
apresentam
a
preocupação com seus ativos de TI, bem como sistemas de segurança que
garantem os requisitos de segurança necessários (Confiabilidade, Integridade e
Disponibilidade) e;
21
H2
–
No
universo
estudado,
algumas organizações
apresentam
a
preocupação com seus ativos de TI, bem como sistemas de segurança que
garantem parcialmente os requisitos de segurança necessários (garantem, porém
podem apresentar oportunidades de melhoria).
22
2 Metodologia
A presente seção tem por objetivo apresentar o percurso cumprido para
resolver o problema de pesquisa, especificando os procedimentos necessários para
se chegar aos participantes da pesquisa.
Este estudo busca identificar, através de uma pesquisa documental,
acompanhada de um estudo de caso, quais as tecnologias básicas de segurança
que devem ser implementadas em uma organização militar do Exército Brasileiro a
fim de desenvolver ações alinhadas com as melhores práticas para a proteção e
controle da informação, visando a centralização das ferramentas de defesa contra
violações de segurança, monitoração e registros de eventos, contingência e a
gestão de incidentes e segurança, em consonância com as Instruções
Reguladoras sobre Segurança da Informação nas Redes de Comunicação e de
Computadores do Exército Brasileiro – IRESER (IR 13-15).
A pesquisa classifica-se como exploratória e descritiva, além de possuir um
caráter prioritariamente qualitativo, ainda que utilize métodos quantitativos para
analisar alguns dados obtidos. Além disso, foram adotadas as técnicas de pesquisa
bibliográfica, documental e de campo. Os dados coletados na pesquisa de campo
foram aproveitados com o critério necessário para se evitar generalizações
tendenciosas.
O estudo foi limitado particularmente a militares que compõem as equipes de
informática que gerenciam a rede de dados de algumas unidades do Exército
Brasileiro, buscando identificar quais os processos utilizados para garantir a
segurança da informação que circula nas redes corporativas da instituição.
De forma a determinar tendências e características destas unidades foram
realizadas visitas técnicas às unidades observadas, afim de observar in loco o
23
ambiente computacional existente, bem como foram realizados questionamentos
sobre o mesmo e sobre a equipe existente para a administração, suporte e
manutenção do ambiente existente.
Após a consolidação dos questionários e dos aspectos observados durantes
as visitas realizadas, foi possível realizar um comparativo das características
existentes em cada organização visitada, classificando-as em duas arquiteturas de
rede (apresentadas no capítulo 4), bem como realizar um breve comparativo com as
tecnologias e metodologias elencadas no capítulo 3, do ponto de vista da segurança
cibernética, visando a proteção dos ativos computacionais existentes.
Ao realizar este comparativo, este estudo teve por enfoque a doutrina de que
a preocupação com a segurança deve ser um procedimento integrado à rotina, e
não uma preocupação isolada em um dado momento, bem como a sua verificação
periódica para checar se continuam efetivas contra os riscos para os quais foram
planejadas, bem como, a influência dos integrantes das equipes de TI, gestores e
demais decisores, uma vez que estes são diretamente envolvidos no processo de
segurança cibernética.
Após a consolidação e interpretação desses dados, serão avaliadas as
estruturas de redes de dados, assim como, sua administração sob a perspectiva da
literatura, fundamentos e normas vigentes, resultando em uma proposta de uso de
tecnologias que podem ser usadas de forma a consolidar a segurança existente na
rede corporativa das organizações investigadas.
Trata-se de uma pesquisa do tipo aplicada, por ter como objetivo gerar
conhecimentos
de
aplicação
prática
e
dirigida
especificamente relacionados ao objetivo deste estudo.
à
solução
de
problemas
24
3 Revisão de Literatura e Fundamentos
Dentre a estruturação e capacitação das Forças Armadas, são desejadas
estruturas de Comando e Controle, onde se incluirão como parte prioritária, as
tecnologias de comunicação. (MD, 2008).
Entre as diretrizes elencadas neste estudo encontra-se o argumento de que
“[...] cada combatente deve contar com meios e habilitações para atuar em rede, não
só com outros combatentes e contingentes de sua própria Força, mas também com
combatentes e contingentes das outras Forças. As tecnologias de comunicações,
[...], devem ser encaradas como instrumentos potencializadores de iniciativas de
defesa e de combate.” (MD, 2008, p.8).
Ainda, para uma melhor contextualização dos argumentos propostos,
AMARAL (2010) define o termo atuação em rede, dentre suas diversas
compreensões com a visão do uso estratégico e operacional de uma rede, cuja sua
principal utilização seja a execução de tarefas conjuntas, na busca para alcançar
objetivos e resultados específicos.
Sendo observada do ponto estrutural, AMARAL (2010), ainda equipara o
conceito de operação em rede como uma rede de pesca, com o entrecruzamento de
linhas, com cada nó representando um ponto de encontro, se ligando a outros nós,
estabelencendo assim, diversos pontos de conexões. Comparativamente, dentro
deste conceito, quando observamos organizações e pessoas que se trabalham em
rede, podemos considerar que as relações que se formam, se dão a partir de
conexões, e a partir deste ponto, a comunicação tendendo a ser distribuída, ponto a
ponto, entre os diversos participantes destes relacionamentos.
25
Com a crescente interconexão das redes e de todo o seu aparato
computacional, cresce de importância a segurança dos ativos que compõem estas
redes. Com isso, “métodos e instrumentos para aumentar a segurança, a resilência
e a capacitação como requisitos mínimos necessários à segurança das
Infraestruturas Críticas da Informação são relevantes aspectos destacados dada a
complexidade do tema nos dias atuais” (FELIX, 2010).
Mandarino e Canongia (2010) corroboram com estes aspectos, onde afirmam
que quando “observamos tendência mundial crescente em destacar e priorizar a
elaboração de diretrizes, planos e ações voltadas a assegurar e promover a
segurança
das
infraestruturas
críticas
da
informação,
em
especial
pela
transversalidade e particularidade do tema. Entre as justificativas relativas à
segurança destas estruturas, salientamos a crescente convergência tecnológica, a
elevada interconexão de redes e sistemas, e sua interdependência.”
A diversidade de técnicas e procedimentos existentes para a implementação
de controles que retratem com fidelidade a real situação computacional da
organização cria um leque de possibilidades muito extenso, sendo necessária,
muitas vezes, a criação de uma equipe multidisciplinar, com conhecimentos
específicos, e muitas vezes, não disponíveis.
De forma a minimizar este impacto, a criação de uma metodologia, baseada
em quais tipos de implementações de segurança e exames que a organização
necessita, pode mitigar o desafio em obter recursos, dada a possibilidade de reutilizar plataformas e procedimentos já consolidados, diminuindo o tempo necessário
para a consolidação destes controles, bem como até mesmo eliminar a necessidade
de aquisição (ou disponibilização) de equipamentos e software específicos para
testes, reduzindo os custos gerais da avaliação (NIST, 2008).
Da mesma forma que existem diversas normas, técnicas e metodologias
básicas a serem consideradas para implementações de seguranças de sistemas de
informação, a proposta deste trabalho é focar em tecnologias para a prevenção a
ataques cibernéticos, através de um apanhado de práticas baseadas nas
recomendações da norma brasileira ABNT ISO/IEC 27002 e no modelo de domínios
do COBIT (Control Objectives for Information and related Technology), bem como
em instruções reguladoras do Exército Brasileiro, de forma a se obter a continuidade
dos serviços e garantir a segurança dos sistemas em uso em uma organização
militar.
26
Para tal, é necessário que se faça a contextualização de alguns tópicos,
dentre os principais, destacamos os seguintes:
- Informação: conceitos, a guerra da informação e sua evolução – a guerra
cibernética;
- Gestão da segurança da informação: a norma ABNT ISO/IEC 27002;
- Guia de boas práticas: COBIT; e
- Instruções Reguladoras sobre Segurança da Informação nas Redes de
Comunicação e de Computadores do Exército Brasileiro – IRESER (IR 13-15).
E, dentre os temas acessórios, englobaremos conceitos de:
- Hardening de Sistemas;
- Incidentes de redes (Intrusão: motivações, sintomas e como reagir);
- Serviços de redes;
- Sistemas de Comunicação;
- Sistemas de Informação e;
- entre outros.
3.1 Conceitos iniciais sobre informação
Bastos (2008) classifica a informação como “o registro de um conhecimento que
pode ser necessário a uma decisão”, onde, de acordo com ROBREDO (2005),
obtemos a consciência da necessidade da implementação de práticas bem definidas
para obtermos a garantia de sua confidencialidade, integridade, disponibilidade e
autenticidade da informação, tendo em vista que a mesma pode ser “registrada
(codificada) de diversas formas, duplicada e reproduzida ad infinitum, transmitida por
diversos meios, conservada e armazenada em suportes diversos, medida e
quantificada,
adicionada
a
outras
informações,
organizada,
processada
e
reorganizada segundo critérios diversos, e recuperada quando necessário, segundo
regras preestabelecidas”. Tornando-se desta forma, um ativo essencial para os
negócios de uma organização e, conseqüentemente, necessitando ser protegida.
A informação, para ser considerada com qualidade, necessita ser oportuna,
concisa e precisa, de forma a agregar benefícios e vantagens em seu uso,
atendendo assim, aos preceitos de confidencialidade, integridade, disponibilidade e
autenticidade.
27
3.1.1 A guerra da informação e sua evolução – a guerra cibernética
A Guerra da Informação é uma modalidade de conflito que envolve a estrutura
informacional integrada das nações, de forma a se obter vantagens sobre o
oponente. Dotada de um caráter tático-operacional, suas operações (comumente
chamadas de operações de informação), são destinadas a dissuadir o ataque,
atacar ou preparar (em tempo de paz) os diversos ambientes operacionais nos quais
pode atuar. De acordo com ALVES (2011), “a utilização da Tecnologia da
Informação (TI) na arte de combater também ‘encurtou’ o espaço físico. Guerrear,
portanto, significa agir mais rápido que o oponente, não permitindo sua reação e
quebrando, conseqüentemente, sua coesão e sua capacidade de lutar como força
organizada, num espaço hexa-dimensional (terrestre, naval, aéreo, espacial,
eletrônico e cibernético)”.
Realizando uma interligação entre o “espaço cibernético” e a realidade existente,
ANNUNCIAÇÃO (2003), identifica que “a vulnerabilidade dos sistemas complexos
que governam a vida moderna é agravada pela integração cada vez maior por meio
de redes locais, regionais e da Internet. Muitos dos sistemas de armas e sistemas de
comunicações militares dependem da velocidade e funcionalidade oferecidas pelas
redes de computadores para garantir sua operacionalidade. As informações que
regem as tomadas de decisão, no meio militar e civil, são trocadas por dispositivos
que podem ser acessados remotamente. Esse mecanismo de funcionamento
possibilita a adoção de ações ofensivas fora dos tradicionais campos de batalha,
mas que podem afetar significativamente a infra-estrutura civil da qual o sistema
militar tanto depende (ataque logístico) (...) se tornando, assim, uma nova estratégia
de guerra”.
Dentre estas ações ofensivas, muitas se caracterizam como tentativas de
intrusões, ou seja, tentativas de obter acesso não-autorizado a sistemas e recursos
disponíveis nas redes de computadores. Um atacante, ao buscar vulnerabilidades
em um sistema, procura obter uma forma de ganhar acesso, seja para comprometer
o sistema atacado ou atacar outro sistema (GRUBB). Na Figura 1, podemos
observar os principais objetivos de um atacante. Estas tentativas têm como objetivo
muitas vezes a glória pessoal, onde o atacante busca o reconhecimento do grupo ao
qual faz parte, entretanto, no cenário industrial e militar, uma invasão geralmente
28
busca o roubo de informações que possam ser usadas de forma a se obter uma
vantagem, seja ela financeira, técnica, tática ou operacional. Os maiores alvos
destes atacantes são os chamados Sistemas de Informação e de Comunicação.
Segundo FERNANDES (2010), um sistema de informação pode ser definido
como um sistema criado com a função de gerir a informação em benefício da
organização. Informação esta, gerada pelos processos de negócio, que são
executados tanto por pessoas, como por agentes computacionais, propiciando uma
integração entre grupos de pessoas e artefatos tecnológicos.
Acessar arquivos
e recursos
Alterar uma conta
para realizar
monitoração
Usuário Normal
Obter acesso a
outros sistemas
Instalar programas
Usuário
Administrador
(root ou admin)
Adicionar /
Modificar contas
Capturar tráfego
de rede
Iniciar/parar/
modificar serviços
Apagar evidências
da invasão
Monitorar outros
usuários
Derrubar ou
enfraquecer
sistemas de
auditoria
Figura 1 - Os principais objetivos de um atacante ao comprometer um sistema
computacional
Interligando estes sistemas, existem os Sistemas de Comunicação, estruturas as
quais, de acordo com VASCONCELLOS (1972), compõem o sistema por meio da
qual fluem as informações que permitem o funcionamento da estrutura
(organizacional) de forma integrada e eficaz.
Um ataque realizado com sucesso a um destes sistemas pode impactar
seriamente o cumprimento da missão de uma organização. A fim de evitar que o
atacante tenha sucesso, a equipe de gestão de segurança da informação deve visar
29
atender as demandas da organização, implementando com segurança medidas que
venham a mitigar a possibilidade deste tipo de ataque, observando fatores como
eficiência, facilidade de gerência, manutenção e continuidade de serviços, bem
como obter índices satisfatórios na detecção, análise e tratamento de incidentes.
Durante o decorrer deste capítulo, serão apresentadas algumas técnicas que
podem auxiliar a organização dos sistemas em uma organização, de forma a
consolidar a segurança dos seus ativos de TI e Comunicações.
3.2 Hardening
O processo de hardening, segundo RODRIGUES (2008), pode ser
conceituado como o “conjunto de medidas e ações que visam proteger um
determinado sistema de tentativas de invasão”. É notório que o aspecto mais crítico
na implementação de um servidor seguro é o planejamento do processo de
instalação e de configuração. Um sistema instalado com suas configurações padrão
se torna vulnerável a ataques, fornecendo uma “superfície de ataque” maior,
elevando as chances de sucesso de um atacante. A implementação de alguns
procedimentos de configurações de segurança podem ajudar a reforçar o sistema e
mitigar a possibilidade de comprometimento do sistema.
Este planejamento deve contemplar diversos itens, desde a escolha do
hardware que será utilizado, as formas e permissões de acesso físico ao
equipamento, redundância de alimentação, cópias de segurança, entre outros. No
quesito lógico, segundo ALLEN, alguns itens devem ser considerados para a fase de
planejamento, dentre os quais podemos citar:
•
Identificação da (s) função (funções) do servidor: Qual vai ser o
principal serviço que este ativo vai oferecer (servidor de arquivos,
banco de dados, páginas web)? Quais os tipos e requisitos de
segurança para as informações armazenadas e/ou processadas nele?
Ele vai estar ligado a algum outro servidor (servidor de banco de
dados, de serviços de diretório, algum storage de rede (NAS), etc)?
Caso positivo, quais os requisitos de segurança para estes serviços
adicionais? Qual a estratégia de backup a ser utilizada?
•
Identificação dos serviços de rede e seus protocolos que estarão
disponíveis no servidor, como por exemplo, o Protocolo de
30
Transferência de Hipertexto – HTTP e sua versão segura – HTTPS, o
Protocolo de Transferência de Arquivos – FTP, o protocolo de envio de
mensagens – SMTP, entre outros.
•
Uso de uma política de senhas: utilizar as senhas padrão que são
fornecidas em equipamentos, ou senhas que não seguem uma política
estruturada de criação e utilização, como extensão mínima, tempo de
vida, e etc, contribuem para pontos de fragilidade na estrutura
computacional da organização.
Diante do exposto, existem inúmeros fatores a serem levados em
consideração ao implementar um servidor seguro. Entretanto, existem entre estes
procedimentos básicos para a proteção de um equipamento, alguns que se
adequam como base a todos os sistemas operacionais e devido a sua ampla
utilização, foram caracterizados como políticas de “boas práticas” no mundo da
segurança da informação. Entre eles podemos citar:
•
Instalação de apenas os programas essenciais para a função do
sistema: a maneira mais fácil de evitar ataques através de brechas de
softwares é bem simples – instale somente os serviços essenciais.
Pois todo serviço ativo é um ponto de invasão do sistema em
potencial, caso uma vulnerabilidade seja encontrada. Com a
diminuição da superfície de ataque, as chances de sucesso de um
atacante diminuem drasticamente;
•
Sempre que possível, o uso de servidores separados para cada
sistema crítico deve ser praticado: Isolando serviços, a tarefa de
configuração se torna muito mais simples de ser executada e
verificada, além de que, caso um atacante consiga um acesso nãoautorizado a um sistema, se o acesso for percebido a tempo, este
pode ser isolado e não comprometer a disponibilidade de outros
serviços disponíveis.
•
Segregação de funções: devem ser separadas de forma a se obter o
maior grau de granularidade possível. Este conceito pode ser aplicado
a sistemas, seus operadores e usuários. Por exemplo, se o sistema
permitir, a conta de usuário administrador deve ser diferente da conta
do administrador do banco de dados.
31
•
Uso do menor privilégio: independente do nível hierárquico dentro da
organização, a utilização de perfis com o mínimo de privilégio deve ser
utilizada sempre. Mesmo para os usuários administradores, quando
não estejam realizando atividades que necessitem de tais permissões,
ou para processos e demais usuários, pois se algum destes fatores for
comprometido, o dano é restringindo a limitação dos recursos
disponíveis àquela entidade.
Estas são apenas algumas características iniciais que devem ser levadas em
conta durante o planejamento do processo de hardening de um sistema. Outros
aspectos como a utilização das últimas versões disponíveis do sistema, políticas de
atualização de sistemas, devem ser levadas em consideração a cada novo serviço a
ser disponibilizado e de acordo com a função a ser exercida.
3.3 Firewall
A necessidade de atuação em rede, com comunicação distribuída, define a
necessidade da interconexão entre as redes. Esta mesma interconexão que
proporciona grande economia de recursos, agilidade em serviços e o aumento de
conhecimentos, introduz novas ameaças. Por exemplo, a interconectividade permite
a usuários não-autorizados a possibilidade de acesso a informações sensíveis de
praticamente, qualquer lugar do mundo. A primeira linha de defesa neste caso,
geralmente é feita com o uso de um firewall.
Um firewall é um dispositivo estabelecido como uma barreira que deve ficar no
perímetro de uma rede segura com outras redes, geralmente inseguras
(normalmente ele liga a rede interna de uma organização à internet), protegendo a
rede interna de ameaças externas, isolando estas redes e controlando o acesso aos
dispositivos de rede.
O propósito de um firewall, bem como o seu posicionamento no limiar entre
redes, é forçar que todas as conexões passem através dele, de forma que as regras
de filtragem possam atuar eficazmente durante uma tentativa de comunicação.
Além da filtragem de pacotes, um firewall pode fornecer diversos tipos de
serviços, como por exemplo, a Tradução de Endereços de Rede, conhecida por NAT
(Network Address Translation), que é a tecnologia que permite que vários
32
computadores compartilhem poucos (ou até mesmo apenas um) endereços de rede
válidos na Internet.
Este tipo de firewall é baseado no controle de pacotes do protocolo TCP/IP,
baseado no endereço de destino, de origem e na porta usada na comunicação. Este
tipo de firewall compara os dados dos pacotes com regras previamente definidas, as
quais permitem ou negam determinados destinos e conexões.
De acordo com FULP (2005), dada a complexidade das regras de um firewall, se
não forem devidamente documentadas, podem, com o tempo, se tornarem
complexas, reduzindo o desempenho da máquina e perdendo sua eficácia, uma vez
que estes dispositivos necessitam determinar qual a regra apropriada com o mínimo
de retardo.
3.3.1 Tipos de Firewall
VACCA e ELLIS (2005) categorizam em duas categorias estes tipos de
dispositivos, de acordo onde eles são implementados ou pelo que eles tentam
proteger: um dispositivo ou uma rede.
Os firewalls que pretendem proteger individualmente dispositivos em uma rede,
utilizam medidas de segurança baseadas em software, pois são instaladas
diretamente nos dispositivos aos quais buscam proteger. Já os firewalls de rede,
tendem a ser dispositivos dedicados e desenvolvidos para proteger todos os
computadores em uma rede, dando ao administrador um único ponto para a
implementação e gerência de segurança. Estes ainda podem ser subdivididos em
três classes: filtros de pacotes, stateful (baseados no estado das conexões TCP/IP –
novas, estabelecidas e relacionadas) e os que trabalham na camada de aplicação
do protocolo TCP/IP.
3.3.1.1 Filtros de Pacotes
Este é o tipo mais básico de um firewall, uma vez que ele trabalha apenas nas
camadas de rede e de transporte, isto porque um dispositivo deste tipo determina a
ação apropriada com base nestas camadas, somente considerando dados como o
endereço IP, o número da porta de conexão e o protocolo de transporte.
33
Uma vez que estas informações residem no cabeçalho do pacote, na há
necessidade de inspecionar o conteúdo do mesmo (payload).
Outro aspecto importante, é que este tipo de firewall não possui uma “memória”
(ou “estado”) referente aos pacotes que passam por ele.
3.3.1.2 Firewalls de Estado de Sessão (“stateful”)
A principal característica deste tipo de dispositivo é a sua capacidade de manter
o “estado” dos pacotes que passam por ele, uma vez que ele realiza basicamente as
mesmas funções de um filtro de pacotes.
Com esta nova funcionalidade, é possível criar regras que permitem o
estabelecimento de sessões entre dois dispositivos de rede. Desta forma, é possível
simplificar as regras de acesso cadastradas no dispositivo, uma vez que ele assume
que uma conexão iniciada por um dispositivo da rede interna, desde que
devidamente autorizada, espera por uma resposta de um dispositivo situado na rede
externa (ou insegura).
3.3.1.3 Firewalls de Aplicação
Estes tipos de dispositivos têm a capacidade de efetuar a filtragem de pacotes
nas camadas de rede, transporte e de aplicação. A filtragem no nível de aplicação
introduz novas funcionalidades como, por exemplo, proxies. Proxies de aplicação
são simples intermediários para as conexões de rede, evitando assim que um
dispositivo efetue uma conexão direta a outro dispositivo em uma rede insegura.
3.3.2 A Zona Desmilitarizada
Outra estratégia para o emprego de firewalls é o uso de uma Zona
Desmilitarizada, cujo conceito, advindo do meio militar, que pode ser definida como
uma zona de exclusão entre duas forças hostis.
No âmbito da segurança de redes, uma DMZ (DeMilitarized Zone) é uma área
segmentada entre uma rede segura e uma rede não-segura. Nesta área,
comumente são dispostos dispositivos que devem ser acessíveis a usuários da
internet, como servidores de DNS, páginas Web e de correio eletrônico. A figura 2
exemplifica o conceito de uma DMZ.
34
Figura 2 – Exemplo esquemático de uma DMZ
3.3.3 Uma solução completa?
Independentemente do tipo de firewall utilizado ou sua localização, seu
funcionamento requer uma constante vigilância. Desenvolver um conjunto de regras
eficazes requer um profundo conhecimento da topologia de rede e dos serviços
utilizados pela organização. Caso algum destes itens sofra alguma mudança, se
torna necessária uma atualização e verificação da eficácia das suas regras de
segurança.
Cabe ressaltar que a utilização de um firewall não é uma solução completa de
segurança, mas sim, uma parte essencial para uma solução de segurança.
3.4 Sistemas de Detecção e Prevenção de Intrusão em rede e em
Hosts (NIDS/NIPS/HIDS)
Segundo NORTHCUTT (2002), tecnologias como firewalls, uma rotina de
atualização de sistemas e a criptografia de dados podem fazer parte de um bom
programa de prevenção à invasões, entretanto, estes sistemas são considerados
35
defesas preventivas estáticas e necessitam de uma complementação, de sistemas
dinâmicos que auxiliem no processo de detecção e prevenção de ataques à
sistemas computacionais. Neste cenário entram em cena os sistemas de prevenção
e detecção de intrusões.
3.4.1 Network Intrusion Detection System (NIDS)
NIDS são ferramentas capazes de realizar a detecção em tempo real tentativas
de invasão, capturando e analisando os pacotes de dados que circulam pela rede.
Eles funcionam baseados em um dos três modos: detecção baseada em modelos de
assinaturas, detecção de anomalias na rede ou no modo híbrido.
3.4.1.1 Detecções baseadas em assinaturas
Sistemas de detecção baseados no uso de assinaturas operam passivamente na
rede, examinando todo o tráfego de rede que passam pela sua interface de rede
(comumente denominada sensor), realizando comparativos com assinaturas
conhecidas de ataques.
Este sistema, por ser baseado em assinaturas de ataques conhecidas, pode não
reconhecer ataques provenientes de malwares os quais ele não possua assinatura
cadastrada em sua base de dados, ou mesmo por malwares que tenham sido
modificados a tal ponto a terem suas características não compatíveis com as
disponíveis.
Apesar disto se tornar uma limitação séria, estes sistemas ainda continuam úteis
devido a possibilidade de o operador configurar assinaturas personalizadas,
permitindo aos administradores de segurança uma rápida personalização de
monitoramentos e alarmes em suas redes, a fim de detectar incidentes ou verificar
suspeitas sobre determinados comportamentos.
3.4.1.2 Detecções de anomalias na rede
Este tipo de detecção funciona baseado em modelos de tráfegos construídos
durante um determinado período de tempo. Durante a monitoração, qualquer
alteração significativa comparada a estes modelos gera um alarme para que o
administrador verifique a anomalia.
36
Existem numerosos métodos de detecção de anomalias, entretanto, os mais
comuns envolvem checar o tráfego de rede em busca de protocolos que fujam das
características de seus protocolos, como por exemplo, o TCP/IP para camadas
inferiores de rede e os protocolos das camadas de aplicação, como o HTTP para
tráfego web e SMTP para e-mail. O uso deste tipo de detecção tem por premissa
que a maioria dos ataques utilizam pacotes de dados mal formados para causar o
mal-funcionamento de sistemas hospedeiros, como por exemplo, ataques de Buffer
Overflow.
Outro tipo de detecção de anomalias baseia-se no comportamento dos usuários,
onde, parecido com o exemplo anterior, constroí-se um modelo de uso, onde, a
partir deste momento, qualquer ação fora deste modelo, gera um alarme para o
administrador. Por exemplo, supondo que José, durante o período de construção do
modelo, nunca efetuou login na rede após às 19 horas, qualquer tentativa de login,
vinda com o usuário de José após as 3 horas da manhã, é considerada como
suspeita, gerando o alarme.
Devido a complexa dificuldade de definir o que seria um comportamento normal e
o que seria um desvio significativo deste modelo, existem muito poucos sistemas
baseados em detecção de anomalias disponíveis no mercado. Entretanto, as
pesquisas em tecnologias de adaptação e aprendizado de anomalias prosseguem
visando aperfeiçoar este modelo.
3.4.1.3 Sistemas híbridos
Este tipo de detecção busca obter os melhores resultados de ambas as técnicas
citadas anteriormente. Usando a detecção através de assinaturas devido a sua
velocidade de interpretação de pacotes e flexibilidade juntamente com uma detecção
de anomalias, buscam, no mínimo, obter uma marcação de todo tráfego suspeito
para a avaliação do administrador do sistema.
Uma das principais dificuldades na implantação de sistemas de detecção de
intrusão, de acordo com SILVEIRA (2000), é a limitação que estes sistemas têm em
analisar o tráfego proveniente de redes com taxas de transmissão superiores a
100Mbps e a falta de suporte a tecnologias como o ATM, bem como a análise de
dados criptografados, como o uso de SSL e IPSec para a formação de VPN´s,
tornam este tipo de tráfego invisível ao IDS. Além do que, para a implementação
37
adequada de um IDS, muitas vezes são necessárias alterações estruturais na
topologia das redes em questão, dificultando e até, em muitos casos, inviabilizando
a sua implantação.
3.4.2 Network Intrusion Prevention System (NIPS)
Da mesma forma que os NIDS, os sistemas de prevenção de intrusão monitoram
a rede passivamente, porém, a diferença entre os dois sistemas surge quando um
tráfego suspeito é detectado. Ao invés de apenas enviar um alerta ao administrador,
um NIPS, após analisar o pacote de dados e verificar se ele se compara a alguma
de suas regras, em caso afirmativo, ele é descartado e o ataque é bloqueado,
gerando o alerta.
A habilidade de intervir e parar um ataque, em contraste a passividade do NIDS é
um dos trunfos do NIPS. Entretanto, ele sofre das mesmas limitações de um NIDS,
tais como a dificuldade de analisar pacotes em uma rede de alta velocidade, a
impossibilidade de analisar tráfego criptografado, bem como a alta dependência de
sua base de assinaturas.
Em complementação, os “falsos positivos” (alertas gerados por erro na
identificação de tráfego legítimo como uma tentativa de ataque) neste tipo de
sistema são mais significantes, uma vez que nestes casos, o pacote é descartado,
invalidando muitas vezes, uma conexão legítima.
3.4.3 Host-based Intrusion Detection System (HIDS)
Uma observação complementar dos tipos de sistemas de detecção de intrusão
em redes existentes nos leva aos sistemas de detecção baseados em dispositivos.
Instalados como programas complementares, os HIDS, utilizam a mesma tecnologia
baseada em assinaturas dos NIDS e NIPS, além de ter a vantagem de utilizarem
clientes instalados nos sistemas a serem monitorados, permitindo um olhar mais
detalhado sobre o que acontece nos sistemas em questão.
Este processo de análise de processos envolve a análise de todos os processos,
as chamadas de sistema, bem como o tráfego de rede, inclusive o criptografado, que
pode ser analisado após o processo de descriptografia em busca de assinaturas de
ataques.
38
Da mesma forma que os NIDS e os NIPS, um HIDS pode trabalhar com uma
base de assinaturas, com detecção baseada em modelos ou de forma mista. O uso
de seus clientes em sistemas críticos podem levar a um uso de processamento
acima do esperado, necessitando de um planejamento do responsável pela
implementação quanto ao seu uso.
Um dos métodos utilizados pelo HIDS para verificar a integridade dos sistemas
monitorados é através da criação de um banco de dados das características e
atributos (tais como tamanho, permissões, data de modificação e etc), juntamente
com a criação de dados de comparação de seu conteúdo (com a utilização de
algoritmos criptográficos, como MD5, SHA-1 ou similares) para a posterior
comparação dos componentes monitorados.
Segundo COX e GERG (2004), da mesma forma como um sistema de missão
crítica, um HIPS deve ser protegido de ataques de rede. Uma vez que um invasor
possa ter comprometido algum outro dispositivo, nada impediria que os atacantes
modificassem a base de dados do HIDS.
Uma saída para esta possibilidade é a criação e manutenção de uma base de
dados offline contendo uma cópia do banco de dados do HIDS.
Dadas as características do HIDS, se utilizadas em conjunto com o NIDS ou um
NIPS se tornam essenciais para um conjunto poderoso de segurança.
3.5 Sistema centralizador de registros de logs
A detecção e prevenção de intrusão, de acordo com o exposto anteriormente,
não devem ser consideradas como soluções únicas para a proteção de uma infraestrutura de TI, mas sim como componentes de uma série de camadas de
segurança, de forma a maximizar seus pontos fortes e a compensar suas fraquezas.
Uma das responsabilidades destas ferramentas é a geração de registros, afim de
que eventos importantes possam ser analisados por administradores, de forma a
auxiliar na tomada de decisões, sejam estas preventivas ou corretivas.
No entanto, analisar todas as informações geradas por ferramentas que
compõem estas camadas de segurança, como firewalls, roteadores, switches,
servidores, antivírus, gerenciadores de atualizações, entre outras, demandam tempo
e geralmente, não fornecem uma perspectiva completa do cenário computacional da
organização.
39
Surge assim, a necessidade de um sistema centralizado de forma a consolidar
as informações enviadas por tais sistemas, bem como o armazenamento dos
registros de eventos de rede.
Um sistema centralizado de registro de logs não deve ter como função principal,
apenas o armazenamento destes registros, e sim a capacidade de agregar e todas
estas informações e fornecer ao analista um panorama completo dos eventos que
acontecem na organização, de forma que ele possa correlacionar todas as
informações provenientes de diversos sistemas.
A necessidade de monitoramento, sua análise e proteção, bem como quais
dados devem ser registrados são pontos-chaves em diversas políticas e códigos de
boas-práticas de gestão de segurança da informação. Neste estudo, abordaremos a
visão de alguns destes, como a norma ABNT ISSO/IEC 27002, o Control Objectives
for Information and related Technology (COBIT) e, no âmbito do Exército Brasileiro,
sobre a luz das Instruções Reguladoras sobre Segurança da Informação nas Redes
de Comunicação e de Computadores do Exército Brasileiro – IRESER (IR 13-15).
3.6 Gestão de segurança da informação: a norma ABNT ISO/IEC
27002
A norma ABNT ISO IEC 27002 é um código de práticas elaborado para auxiliar a
gestão da Segurança da Informação, estabelecendo recomendações e princípios
para iniciar, implementar, manter e melhorar a gestão de segurança da informação
em uma organização.
Baseados em requisitos identificados através de uma análise/avaliação de riscos,
os controles e seus objetivos têm por finalidade desenvolver procedimentos de
segurança da informação na organização, bem como implementar práticas eficazes
na gestão de seus Sistemas de Informação.
Visando a proteção da informação, bem como garantir a continuidade do
negócio, minimizando os riscos e maximizando o retorno sobre os investimentos e o
crescimento de novas oportunidades, a norma contém 11 seções de controles de
segurança da informação, totalizando 39 categorias principais de segurança e uma
seção introdutória que aborda a análise/avaliação e o tratamento de riscos.
40
3.7 Guia de boas práticas: COBIT
O COBIT (Control Objectives for Information and related Technology) é um guia
de boas práticas, mantido pela ISACA (Information Systems Audit and Control
Association), independente de tecnologias, voltado para a gestão de TI, apresentado
como um framework1, servindo, desta forma, como um modelo de referência, que
busca otimizar os investimentos, melhorando o Retorno sobre o Investimento (ROI),
bem como fornecer métricas para a avaliação dos resultados. É focado
principalmente no alinhamento entre a TI e o negócio, na entrega de valor, no
gerenciamento de recursos, no gerenciamento de riscos e na medição de
desempenho.
Para o COBIT, existem 7 (sete) critérios básicos a serem observados pela TI
durante o ciclo de vida da informação, desde a sua obtenção, passando pelo seu
tratamento, armazenamento, distribuição, uso e descarte:
• Efetividade;
• Eficiência;
• Confidencialidade;
• Integridade;
• Disponibilidade;
• Conformidade; e
• Confiabilidade.
Baseado no conceito de domínios funcionais (agrupamentos de objetivos de
controle em estágios lógicos), este modelo propõe quais processos devem ser
executados e como medir sua efetividade. Embora não determine o “como fazer”, o
COBIT é composto por um conjunto de 34 processos críticos a serem executados
pela TI e por uma infra-estrutura com guias e controles para implantação e
aprimoramento da aplicação destes processos.
São quatro os agrupamentos de objetivos:
• Planejar e Organizar (PO);
• Adquirir e Implementar (AI);
• Entregar e prover Suporte (DS); e
• Monitorar e Avaliar (ME).
1
Em administração, um framework pode ser definido como uma estrutura para conteúdo e processo,
que pode ser usada como ferramenta para estruturar o pensamento e garantir consistência de idéias.
41
Estes conjuntos de processos, só podem ser colocados em prática através do
uso em conjunto dos recursos de TI, que são:
• Aplicações;
• Infraestrutura;
• Informação; e
• Pessoas.
Uma característica do COBIT é o controle do que acontece dentro da TI, sendo
uma forma de garantir que os objetivos definidos pela organização estão sendo
alcançados com um mínimo de desvio. São relacionados a um indicativo de bom
funcionamento. Estes controles são distribuídos ao longo de seus processos, sendo
alguns específicos e outros aplicáveis a todos 34 processos existentes.
Tendo os objetivos e as formas para alcançá-los, falta ainda uma arquitetura que
permita a auto-avaliação, a definição de rumos e a representação da capacidade
real da organização conforme a prática dos seus processos. Segundo o manual do
COBIT 4.1 (2007), estes níveis de maturidade podem ser classificados de uma forma
genérica em 6 (seis) categorias:
• (0) - Inexistente – Completa falta de um processo reconhecido. A
empresa nem mesmo reconheceu que existe uma questão a ser
trabalhada;
• (1) - inicial / Ad hoc – Existem evidências que a empresa reconheceu que
existem questões e que precisam ser trabalhadas. No entanto, não existe
processo padronizado; ao contrário, existem enfoques Ad Hoc que tendem
a ser aplicados individualmente ou caso-a-caso. O enfoque geral de
gerenciamento é desorganizado;
• (2) – repetível, porém intuitivo – Os processos evoluíram para um
estágio onde procedimentos similares são seguidos por diferentes
pessoas fazendo a mesma tarefa. Não existe um treinamento formal ou
uma comunicação dos procedimentos padronizados e a responsabilidade
é deixada com o indivíduo. Há um alto grau de confiança no conhecimento
dos indivíduos e conseqüentemente erros podem ocorrer;
• (3)
-
Processo
definido
–
Procedimentos
foram
padronizados,
documentados e comunicados através de treinamento. É mandatório que
esses processos sejam seguidos; no entanto, possivelmente desvios não
42
serão detectados. Os procedimentos não são sofisticados, entretanto,
existe a formalização das práticas existentes;
• (4) – Gerenciado e Mensurável – A gerencia monitora e mede a
aderência aos procedimentos e adota ações onde os processos parecem
não estar funcionando muito bem. Os processos estão debaixo de um
constante aprimoramento e fornecem boas práticas. Automação e
ferramentas são utilizadas de uma maneira limitada ou fragmentada; e
• (5) – Otimizado – Os processos foram refinados a um nível de boas
práticas, baseado no resultado de um contínuo aprimoramento e
modelagem da maturidade como outras organizações. TI é utilizada como
um caminho integrado para automatizar o fluxo de trabalho, provendo
ferramentas para aprimorar a qualidade e efetividade, tornando a
organização rápida em adaptar-se.
Para acompanhar a meta de cada um destes objetivos (negócios, ti, processos e
atividades) temos as medidas de resultados (saídas), denominadas em versões
anteriores do COBIT como KGI ou outcome measures, que indicam se os resultados
foram atingidos. Só podem ser medidas após os fatos e por isso, são chamadas de
indicadores históricos (lag indicators); e indicadores de desempenho (KPI ou
performance indicators), que indicam se os objetivos serão possivelmente atingidos.
São medidos antes que os resultados sejam claros, e, portanto, são chamados de
indicadores futuros (lead indicators). As métricas sugeridas pelo Cobit são
apresentadas em uma seção específica dentro de cada processo.
Figura 3 – Interligação entre os conceitos do COBIT
43
3.8 Instruções Reguladoras sobre Segurança da Informação nas
Redes de Comunicação e de Computadores do Exército Brasileiro –
IRESER (IR 13-15)
Elaboradas em observância as Instruções Gerais de Segurança da Informação
para o Exército Brasileiro (IG 20-19), estas instruções têm por finalidade regular as
condições de segurança da informação a serem satisfeitas pelas redes de
comunicação e de computadores no âmbito do Exército Brasileiro.
Dentre as diretrizes encontradas nestas instruções, os principais objetivos
encontrados estabelecem as seguintes premissas:
I - estabelecer regras gerais de segurança para os ambientes de rede do Exército
nas áreas:
a) documentação normativa;
b) riscos;
c) mecanismos de defesa contra violações de segurança da rede;
d) monitoração e registro de eventos referentes aos serviços corporativos de
rede;
e) a verificação da efetividade das ações de segurança da informação (auditora
da segurança da informação) relativa aos serviços de rede;
f) contingência (continuidade de serviços) para os serviços de rede corporativos;
g) gestão de incidentes de rede;
h) gestão da segurança.
II - orientar as OM do Exército na composição de suas normas internas de
segurança de redes;
III - prover referenciais doutrinários sobre segurança da informação no que tange
à segurança de redes;
IV - Estabelecer as principais responsabilidades no processo de segurança da
informação no ambiente de redes do Exército.
O conjunto de tecnologias, técnicas e boas-práticas apresentadas, juntamente
com
as
demais
documentações
e
instruções
reguladoras
compõem
a
fundamentação deste estudo. O objetivo ao descrever tais instrumentos não é o de
esgotar todas as possibilidades e possíveis referências existentes, entretanto, as
referências acima descritas, são as que mais se adequam à realidade vivenciada, e
44
a opção por não incluir demais considerações, tem por princípio evitar o excesso de
informações, muitas das quais não aplicáveis a este estudo, e consequentemente,
minimizar a possibilidade de influência nos resultados obtidos, resultando em um
retrato mais fiel do que foi observado durante o processo de análise da amostra.
45
4 Resultados
4.1 O Exército Brasileiro
A Força Terrestre tem como marco de seu surgimento, a Batalha dos
Guararapes, iniciada em 19 de Abril de 1648, onde a representação do povo brasileiros de diversas origens - liderados pelo português André Vidal de Negreiros,
pelo índio potiguar Felipe Camarão e pelo negro Henrique Dias, se uniram para a
expulsão dos holandeses de Pernambuco. Surge, neste momento, juntamente com
a identidade brasileira, o Exército Brasileiro, instituição compromissada, de forma
exclusiva e perene para com o Brasil, o Estado, a Constituição e a sociedade
nacional. Possuindo como valores, o patriotismo, o sentimento de dever, a lealdade,
a probidade e a coragem.
O Exército Brasileiro tem como missões: o preparo, a fim de manter
condições de defender a Pátria, a garantia dos poderes constitucionais, a lei e a
ordem; a participação em operações internacionais, de acordo com o interesse do
País; cumprir ações subsidiárias, participando do desenvolvimento nacional e da
defesa civil, na forma da Lei e; apoiar a política externa do país.
4.1.1 Organização
O
Exército
Brasileiro
encontra-se
dividido
em
organizacionais:
- órgãos de Assessoramento Superior;
- órgãos de Assessoramento;
- o Estado-Maior do Exército (órgão de direção geral);
- órgão de Assistência Direta e Imediata;
- órgãos de Direção Setorial;
diversos
escalões
46
- órgãos de Apoio;
- Comandos Militares de Área;
- Organizações Militares do Exército; e
- Entidades Vinculadas.
O braço operacional do Exército (denominado “Força Terrestre”) é composto
pelas Divisões de Exército (agrupamentos de unidades militares, compreendendo
entre 10.000 e 30.000 militares), com suas brigadas (agrupamento de batalhões,
com cerca de 5.000 militares) e diversas de apoio ao combate.
4.1.2 O Sistema de Ciência e Tecnologia (SCT) no Exército Brasileiro
O Departamento de Ciência e Tecnologia (DCT) é o órgão de Direção Setorial
responsável por gerenciar o Sistema de Ciência e Tecnologia do Exército Brasileiro
(SCTEx), para produzir os resultados científico-tecnológicos necessários à
operacionalidade da Força Terrestre. É responsável por oito Organizações Militares
Diretamente Subordinadas (OMDS):
- o Centro de Avaliações do Exército (CAEx), que é responsável pela
orientação, planejamento, coordenação, controle e execução da avaliação técnica e
operacional de sistemas e materiais de emprego militar;
- o Centro de Comunicações e Guerra Eletrônica do Exército
(CCOMGEx), que tem por missão atuar em proveito da Força Terrestre, por
intermédio dos vetores Comunicações e Guerra Eletrônica, desempenhando
atividades nas vertentes operacional, de ensino e de logística, bem como
gerenciando a inteligência de sinal e cooperando na área de ciência e tecnologia;
- o Centro de Desenvolvimento de Sistemas (CDS), que tem por finalidade,
realizar a prospecção e o desenvolvimento de sistemas pertinentes às áreas de
comunicações estratégicas e táticas, guerra eletrônica, informática e de informações
organizacionais de interesse do Exército;
- o Centro Integrado de Telemática do Exército (CITEx), órgão de
coordenação e execução, que tem por finalidade estabelecer, manter e operar os
sistemas de Informática e Comunicações de interesse do Sistema de Comando e
Controle do Exército (SCCEx), no seu nível mais elevado;
47
- o Centro Tecnológico do Exército (CTEx), que realiza a pesquisa
científico-tecnológica e o desenvolvimento experimental e a aplicação do
conhecimento visando à obtenção de Materiais de Emprego Militar de interesse do
Exército;
- a Diretoria de Fabricação (DF), cuja missão é enfatizada para a produção
(fabricação) e revitalização de Material de Emprego Militar;
- a Diretoria de Serviço Cartográfico (DSG), é o órgão de apoio técniconormativo DCT, incumbido de superintender, no âmbito do Exército Brasileiro, as
atividades cartográficas relativas à elaboração de produtos, suprimento e
manutenção de material, e as decorrentes de convênios estabelecidos com órgãos
da administração pública;
- o Instituto Militar de Engenharia (IME), estabelecimento de ensino
responsável, no âmbito do Exército Brasileiro, pelo ensino superior de Engenharia e
pela pesquisa básica; e
- o recém ativado Núcleo do Centro de Defesa Cibernética do Exército (Nu
CDCiber), responsável pela implantação do Centro de Defesa Cibernética do
Exército.
4.1.3 A rede corporativa de dados, voz e imagem do Exército (EbNet)
O Exército Brasileiro possui um conjunto de redes privativas interligadas de
abrangência em todo território nacional, gerenciada pelo CITEx, possibilitando o
tráfego de dados, voz e vídeo que abrange, segundo informações deste centro, 712
organizações conectadas, 260 sítios de internet hospedados em seus bancos de
dados e recebendo cerca de 70.000 e-mails por dia, sendo, deste total, 90% SPAM
(CITEX, 2011).
Esta infra-estrutura de transmissão configura-se como parte integrante de um
sistema cujo produto principal é a informação, onde todos os recursos devem estar
direcionados para a cooperação e o trabalho coordenado (preceitos de um SC2).
Dentre os setores estratégicos elencados pela Estratégia Nacional de Defesa
(END), são previstas as capacitações cibernéticas de forma a fazer uso mais amplo
do espectro de usos industriais, educativos e militares. Dando ênfase maior, como
parte prioritária, ao uso das tecnologias de comunicação entre todos os contingentes
das Forças Armadas, ampliando e assegurando sua capacidade para atuar em rede.
(END, 2ª Edição, Ministério da Defesa, 2008).
48
4.1.4 Escopo da pesquisa
Durante a fase inicial de levantamento de dados, foram entrevistados um total
de 30 (trinta) militares responsáveis pela gerência de 16 (dezesseis) redes de
organizações militares interligadas.
As unidades as quais pertencem estes militares integram o braço operacional
do Exército, a Força Terrestre, são unidades que tem por missão a atuação em
ações de defesa externa e de garantia da lei e da ordem e, eventualmente, em
operações de paz. Além disto, são integrantes da Força de Ação Rápida (FAR) do
Exército Brasileiro, cuja principal característica é a alta mobilidade e o emprego
estratégico. Este detalhamento se torna importante devido a caracterização da
organização observada, situando-as em um contexto específico.
O perfil dos militares que responderam a este questionário foi o mais
diversificado possível, dada a variedade e as peculiaridades de cada unidade. Esta
característica possibilitou uma real visualização dos elementos envolvidos na
gerência de redes destas unidades.
Para obtermos um entendimento inicial sobre o contexto estudado,
iniciaremos com uma observação sobre a arquitetura de rede das organizações
analisadas, de modo a realizar sua classificação, onde, desta forma, confrontaremos
os cenários existentes com as hipóteses elencadas para este estudo de caso.
4.1.5 Arquiteturas de redes encontradas
De acordo com a pesquisa realizada, foram identificados dois perfis básicos
de arquiteturas de rede, demonstrados a seguir:
4.1.5.1 Arquitetura de Rede Tipo I:
Figura 4 – Arquitetura de Rede Tipo I
49
Neste tipo de rede, destaca-se a separação de 03 (três) redes distintas com a
utilização de um firewall, onde estas podem ser classificas da seguinte forma:
- Internet: rede insegura, possivelmente a maior fonte de ataques
cibernéticos;
- Rede Corporativa: rede parcialmente insegura, uma vez que outra
organização conectada a mesma rede e que não tenha dispositivos de segurança,
pode se tornar uma fonte potencial de ataques; e
- Rede Interna: rede composta dos ativos computacionais da organização
investigada, cujo objetivo é se tornar completamente segura.
4.1.5.2 Arquitetura de rede Tipo II:
Figura 5 – Arquitetura de Rede Tipo II
Com base nas questões desenvolvidas e nos perfis de redes encontrados,
podemos traçar algumas características em paralelo aos principais tópicos da
IRESER relacionados à segurança dos serviços, sistemas, aplicativos e sistemas
operacionais de rede:
“Art. 21. As OM que não tenham acesso à rede EBNet, mas possuam
Internet devem fazer uso do acesso remoto seguro para efetivar esse acesso.
Para obter o acesso seguro, a seguinte sistemática deve ser realizada: (...)”
50
Neste caso, todas as Organizações Militares avaliadas possuem acesso à
rede corporativa do Exército, não necessitando do acesso através de redes virtuais
privadas (RVP).
“Art. 22. As OM que tiverem suas redes conectadas à EBNet e que
estiverem conectadas à Internet ou a outras redes inseguras devem fazer uso
de firewall para proteger essa conexão.”
Neste caso, as Organizações Militares avaliadas que possuem a arquitetura
de rede tipo I atendem a este requisito, segmentando as três categorias de redes
existentes, enquanto podemos observar que organizações que possuem a
arquitetura de rede tipo II, exposta na figura 5, separam a rede insegura (internet) da
interna e da rede corporativa, entretanto, permitem que a rede corporativa, por ter
sido considerada “segura”, possui total comunicação com a rede interna, situação
não desejada, uma vez que outras organizações conectadas a ela possam ser
vítimas de ataques cibernéticos.
4.1.5 Dos mecanismos de Autenticação e Controle de Acesso:
“Art. 41. O acesso aos dados e serviços corporativos de rede no
Exército, seja em conexões locais ou remotas, só pode ser concedido
mediante a verificação da autenticidade da identificação do usuário por meio
de técnicas de autenticação de rede.”
Nas organizações estudadas, todas restringem o acesso aos meios de TI
através do uso de senhas, entretanto, destas organizações, 31% (cinco
organizações) utilizam senhas compartilhada, não possibilitando a identificação
precisa dos usuários que efetuaram o acesso à determinado item computacional.
4.1.6 Da monitoração e registros de eventos:
“Art. 48. As normas de segurança da informação internas às OM devem
conter regras relativas ao modo de monitoração e registro de eventos de rede
considerados críticos.
Art. 49. Todos os computadores servidores e equipamentos de rede que
contenham dados ou executem serviços identificados pela análise de risco
51
como sendo elementos que necessitem proteção específica devem manter o
seu serviço de registro (logs) de eventos ativado.
Parágrafo único. Considerando o fato de que, em geral, ativar o serviço
de registro de eventos em sua plenitude pode incorrer no armazenamento de
dados desnecessários, deve-se, a princípio, configurar a monitoração apenas
dos eventos considerados essenciais e, à medida que a experiência e a
necessidade demonstrarem, outros eventos deverão ser acompanhados.
Art.50. A conclusão de que eventos devam ser registrados devem
resultar, preferencialmente, de análises de risco. Como eventos relevantes a
serem considerados, sugere-se a seguinte lista:
I - identificação dos usuários;
II - data e hora de entrada e saída no sistema;
III - número de tentativas de conexão;
(...)”
De acordo com o item anterior, apesar de realizarem o controle de acesso à
dispositivos e à internet, a identificação de usuários tende a ficar prejudicada, uma
vez que a correlação entre o acesso e o usuário que o realizou se torna impossível
de ser feita (levando em consideração que exista mais de um militar responsável por
aquele ativo).
Convêm ressaltar que a maior preocupação dos administradores encontrada
durante essa pesquisa, foi em relação à questão de monitoração e registro de
eventos, notadamente ao que diz respeito ao acesso à páginas da internet, uma vez
que as diretrizes existentes no âmbito do Exército Brasileiro, bem como em toda a
Administração Pública ressaltam a preocupação com o acesso a conteúdos
indevidos que possam vir a reduzam a produtividade, ou que sejam incompatíveis
com a seriedade e a responsabilidade esperada no ambiente de trabalho, além de
sites que apresentem conteúdos proibidos por lei, tais como racismo, pedofilia, entre
outros.
52
4.1.7 Das cópias de segurança:
“Art. 54. Toda rede do Exército deve normatizar e aplicar procedimentos
para execução periódica de cópias de segurança para salvaguardar os dados
da Unidade, assim como viabilizar a recuperação desses dados em situações
de violação dos originais.”
Apenas 13% das organizações estudadas não possuem um sistema
centralizado de compartilhamento de arquivos, onde a realização dos procedimentos
de cópias de segurança se dá de forma “Inicial”, não existindo processos
padronizados, muitos dos quais de iniciativas individuais.
Dos 87% restantes, os procedimentos de realização de tais cópias podem ser
considerados como intuitivas, onde, devido a simplicidade de procedimentos, os
mesmo podem ser repetidos por todos os membros da equipe, porém, como não
são documentados, podem ocorrer períodos sem a realização destas cópias, ou
mesmo a sobreposição de arquivos indevidamente.
O levantamento realizado, utilizado como base para o entendimento da
situação organizacional dos sistemas de redes das organizações selecionadas como
amostras, permitiu uma contextualização dos resultados, revestindo-se de
importância na medida em que a operação de unidades em rede, no
compartilhamento de informações é uma premissa indissociável do conceito de
comando e controle, onde, conforme já apresentado, os requisitos de confiabilidade,
integridade, disponibilidade e autenticidade são cruciais no processo de tomada de
decisões.
Os resultados apresentados permitiram a confrontação das hipóteses
elencadas no capítulo I deste estudo com a realidade das amostras, cujos resultados
são os seguintes:
H0 – No universo estudado, nenhuma das organizações demonstrou
preocupação com a segurança dos seus ativos de TI;
Esta hipótese foi completamente refutada, uma vez que o conceito de
segurança, em sua mais pura forma, é parte integrante e presente no universo
militar, sendo aplicada diuturnamente no cotidiano e em todas suas atividades e
áreas afetas.
H1 – No universo estudado, algumas organizações apresentam a
preocupação com seus ativos de TI, bem como sistemas de segurança que
53
garantem os requisitos de segurança necessários (Confiabilidade, Integridade
e Disponibilidade);
Esta hipótese foi confirmada parcialmente, uma vez que a preocupação com
os ativos de TI existe, entretanto, as organizações estudadas não possuem sistemas
e procedimentos que possam, comprovadamente, garantir os requisitos de
segurança necessários.
H2 – No universo estudado, algumas organizações apresentam a
preocupação com seus ativos de TI, bem como sistemas de segurança que
garantem parcialmente os requisitos de segurança necessários (garantem,
porém podem apresentar oportunidades de melhoria).
Por fim, esta hipótese foi comprovada em sua plenitude. As organizações
apresentadas necessitam criar medidas, procedimentos operacionais e rotinas que
definam responsabilidades destinadas a manter a integridade de sua infraestrutura
de TI. Além disto, os procedimentos de segurança existentes podem ser ampliados,
e aperfeiçoados, de forma a garantir a confiabilidade das informações prestadas,
auxiliando a defesa do Exército Brasileiro no ambiente cibernético.
54
5 Discussão
O presente capítulo destina-se a apresentar a consolidação dos resultados
dos levantamentos realizados junto a militares integrantes das equipes de
Tecnologia da Informação (TI) de unidades do Exército Brasileiro, cujas redes estão
interligadas e suas organizações integram a mesma Grande Unidade tática de
combate.
De forma a determinar tendências e características destas unidades, foram
realizadas visitas técnicas às unidades observadas, afim de observar in loco o
ambiente computacional existente, bem como foram realizados questionamentos
sobre o mesmo e sobre a equipe existente para a administração, suporte e
manutenção do ambiente existente.
Após a consolidação dos questionários e dos aspectos observados durantes
as visitas realizadas, foi possível realizar um comparativo das características
existentes em cada organização visitada, classificando-as em duas arquiteturas de
rede (apresentadas no capítulo 4), bem como realizar um breve comparativo com as
tecnologias e metodologias elencadas no capítulo 3, do ponto de vista da segurança
cibernética, visando a proteção dos ativos computacionais existentes.
Ao realizar este comparativo, este estudo teve por enfoque a doutrina de que
a preocupação com a segurança deve ser um procedimento integrado à rotina, e
não uma preocupação isolada em um dado momento, bem como a sua verificação
periódica para checar se continuam efetivas contra os riscos para os quais foram
planejadas, bem como a influência dos integrantes das equipes de TI, gestores e
demais decisores, uma vez que estes são diretamente envolvidos no processo de
segurança cibernética.
55
Em relação à composição das equipes, durante as entrevistas, muitos
entrevistados relataram a insuficiência do quantitativo de militares que compõem
estas equipes, dadas as atribuições e demais tarefas existentes e atribuídas à cada
equipe, julgando como insuficiente a quantidade de militares alocados para as
funções de TI, situação que pode levar a uma delegação das atividades de
acompanhamento e de gerência dos ativos a um segundo plano, configurando um
ambiente reativo às ameaças e riscos existentes.
Em contraponto a esta composição, grande parte dos militares alocados nesta
função (cerca de 95%) demonstram a satisfação com as atividades que realizam,
buscando a atualização de conhecimentos técnicos através da participação em
treinamentos, buscando, de tal forma a atualização constante das técnicas e
produtos de segurança existentes.
Dentre as técnicas e produtos de segurança utilizados e elencados durante a
observação e entrevistas, a utilização de um firewall, bem como um proxy de
aplicação encontram-se presentes em quase todas as redes observadas (nas redes
onde estes elementos não foram encontrados, a rede corporativa é separada
fisicamente do computador com acesso à rede pública, e este não continha nenhum
tipo de informação sensível). Entretanto, não foi observada uma rotina em relação
ao acompanhamento dos alertas e avisos gerados por estes dispositivos, nem de
testes de eficácia de suas regras.
De forma a contornar estes indícios, e consolidar as informações sobre os
sistemas de segurança das unidades, foi indicado a implementação de sistemas de
detecção de intrusão, bem como sistemas gerenciadores de logs, de forma a
consolidar uma base única de controle de eventos e dentro do possível, a
automatização de alguns procedimentos, como a atualização de sistemas e a
instalação de patches e correções, facilitando e otimizando a análise e a tomada de
decisões por parte da equipe de TI.
Recentemente, através de iniciativa do CCOMGEx, foram distribuídas
licenças para a implementação de um sistema antivírus baseado no modelo clienteservidor, visando a proteção das estações de trabalho e servidores de arquivos nas
organizações militares do Exército com uma solução corporativa e unificada em todo
o parque computacional do Exército.
56
Na amostra avaliada, a implementação da solução já está completa em cerca
de 80% das organizações avaliadas. As demais encontram-se em fase de
adequação para a implementação da solução.
Cabe ressaltar que as organizações avaliadas utilizam métodos criptográficos
para o armazenamento e a transmissão de informações sensíveis. Entretanto, os
mesmos não foram detalhados neste estudo por motivo de segurança e sigilo de
procedimentos.
Outro ponto de destaque neste estudo foi em relação a autenticação no
ambiente corporativo. Embora todas as unidades façam o uso de senhas para
acesso aos sistemas corporativos e para fins de acesso à internet, muitas vezes foi
observado o compartilhamento de senhas para tais acessos, atitude que pode vir a
dificultar possíveis auditorias e a devida atribuição de responsabilidades.
A medida que a consolidação das informações foi sendo realizada, destacouse a falta do uso de metodologias estruturadas e de diretrizes internas a fim de
apoiar e regulamentar o uso e a gerência dos meios computacionais nas
organizações avaliadas. Itens como a existência de um comitê de auditoria interna, a
realização de uma análise de risco no âmbito de TI não foram encontrados.
Além disto, de forma incipiente, foi encontrada em algumas unidades a
existência de um plano diretor de tecnologia da informação (PDTI), onde é feito todo
o planejamento para a área de TI, seu custo médio, o planejamento de
investimentos em treinamentos e atualização tecnológica, bem como a freqüência da
realização de simpósios de segurança da informação, entre outros.
A ausência de tais metodologias e de documentação normativa são indícios
que podem ser usados para classificar o nível de maturidade destas organizações
no que diz respeito em como a gestão de TI e as ações de segurança cibernéticas
são realizadas: tendo por base o estudo realizado, estes procedimentos ocorrem
quase que exclusivamente com base nos conhecimentos prévios de cada
executante, onde, no caso de ausência do responsável pela realização de
determinado procedimento, existe a chance de execução com falhas por outro
militar, ou, até mesmo, pode acarretar na não realização do mesmo, por falta de
conhecimento
ou
até
mesmo
por
falta
de
procedimentos
devidamente
documentados, onde, de acordo com a referenciação realizada com o uso da
metodologia Cobit, podem ser caracterizados como processos que são realizados de
forma unicamente repetitiva, porém de forma intuitiva.
57
6 Conclusões e Trabalhos Futuros
6.1 Conclusões
Os fatos encontrados e apresentados no capítulo anterior consolidam os
resultados deste estudo, revelando o panorama computacional existente nas
organizações militares estudadas como amostras, não só durante o processo de
desenvolvimento desta monografia, bem como durante todo o decorrer do curso.
Fato importante a ser destacado é o crescimento da consciência de segurança
da informação demonstrado pelas organizações, tendo como referência os estudos
realizados no início do curso, durante a sua fase de estudo, composta por suas
disciplinas e o início e término da fase de pesquisa, a qual culmina com a
consolidação deste estudo.
Embora a área de segurança da informação seja vasta, esta pequena
contribuição na área organizacional de sistemas de rede, visa colaborar com a
segurança de redes de forma prática e direta, não buscando se tornar uma “verdade
absoluta” neste quesito, tendo em vista a vastidão da área e das diversas
peculiaridades existentes em cada ambiente, mas sim como um ponto de partida
para a ampliação dos controles e metodologias existentes, buscando indicar um
“norte” a ser seguido, e como os sistemas de segurança de rede podem ser
organizados.
Este estudo de caso elenca métodos, procedimentos e regulamentações que
podem ser usadas como referências para a organização dos sistemas de redes de
unidades do Exército Brasileiro, onde, devido a sua presença em todas as regiões
do território brasileiro e, conseqüentemente, suas peculiaridades possam influenciar
na gestão destas redes.
58
Um dos fatores decisivos para a elaboração deste estudo de caso foi a busca
por algo que pudesse ser aplicado a um ambiente de trabalho, aproveitando assim,
a experiência, frustrações e adequações que somente um ambiente em produção
pode oferecer. A realização deste estudo e de suas pesquisas contribuiu de tal
maneira para o enriquecimento profissional, além da possibilidade de visualização
prática deste estudo e suas implicações, ampliando os quesitos de segurança na
instituição.
Podemos concluir que, apesar do sentimento de segurança da informação
encontrado estar em considerável crescimento, ainda precisa evoluir de forma a
garantir com eficácia a segurança das informações e das redes corporativas do
Exército Brasileiro, principalmente em unidades vocacionadas para o combate, uma
vez que os sistemas de informação fazem parte de forma cada vez mais intrínseca a
estrutura de comando destas unidades, tornando-se essencial para o bom
desempenho de suas missões.
Existe ainda um longo caminho a ser trilhado, principalmente no que diz respeito
ao arcabouço documental das organizações estudadas e no uso de metodologias
para uma gerência eficaz, uma vez que no campo de conhecimento técnico, o
estudo revela que existe mão-de-obra motivada e que busca a atualização de seus
conhecimentos e que acompanha a implementação de novas tecnologias de
segurança, visando garantir a segurança de suas redes da melhor forma possível.
6.2 Trabalhos Futuros
Este estudo teve como abrangência a organização de tais sistemas em
unidades militares vocacionadas para o combate. Ao final deste trabalho, o autor
pode observar como existem diversas camadas de segurança que podem ser
implementadas de formas de mitigar riscos na área de Segurança da Informação,
seja através de processos tecnológicos, da conscientização de pessoal, mudanças
de hábitos ou da implementação de metodologias.
Este autor, na busca de uma ligação entre estes pontos de contato, sugere
que os próximos passos a serem investigados tenham por base a implementação de
sistemas pró-ativos e, possivelmente automatizados, dotados de um conjunto de
regras e com a capacidade de “aprendizado”, de forma a aumentar a eficácia dos
meios de segurança de TI, bem como na implementação de metodologias de
59
desenvolvimento de código seguro, objeto que não foi alvo deste estudo, uma vez
que a amostra estudada não tem por escopo o desenvolvimento de sistemas
corporativos para uso no Exército.
60
Referências e Fontes Consultadas
ABNT - ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Apresentação de
relatórios técnico-científicos: NBR 10719. ABNT: Rio de Janeiro, 1989. 9 p.
ABNT - ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Tecnologia da
Informação – Técnicas de Segurança – Código de Práticas para a Segurança
da Informação: NBR ISSO/IEC 2702. ABNT: Rio de Janeiro, 2005. 140 p.
ALLEN, Julia et al. Securing Network Servers. Estados Unidos, Abril de 2010. 54p.
Disponível em: http://www.sei.cmu.edu/library/abstracts/reports/00sim010.cfm .
Último acesso em Julho de 2011.
ALVES, José Ricardo Rodrigues Teixeira. Estudo sobre a Guerra da Informação na
China. In: Simpósio de Vigilância de Fronteiras, Brasília. 2011. 33p. Ensaio.
AMARAL, Vivianne. A estratégia rede nas organizações: dinâmicas de coordenação
e operação. Disponível em: http://www.contentdigital.com.br/entrevistas/03.asp.
Último acesso em Junho de 2011.
ANDRESS, Jason; WINTERFELD, Steve. Cyber Warfare: Techniques, tatics and
tools for security practitioners. 1. ed. Estados Unidos. Syngress, 2011. 321p.
61
ANNUNCIAÇÃO, João Wander Nascimento de. Ciberwar: uma proposta genérica de
ações defensivas para a Marinha do Brasil. Rio de Janeiro: Escola de Guerra
Naval, 2003. 15p.
BASTOS, Murilo. Dicionário de Biblioteconomia e Arquivologia. Briquet de Lemos.
2008.
BRASIL. Decreto no. 6.703, de 18 de Dezembro de 2008. Aprova a Estratégia
Nacional de Defesa e dá outras providências.
BRASIL,
Exército
Brasileiro.
Arma
de
Comunicações.
Disponível
em:
http://www.exercito.gov.br/web/guest/comunicacoes. Último acesso em Julho
de 2011.
BRASIL, Exército Brasileiro. Centro Integrado de Tecnologia do Exército. Palestra
proferida pelo Exmo. Sr. General de Divisão Emílio Carlos Acocella no III
Seminário de Defesa, durante a Latin America Aerospace and Defence 2011.
BRASIL, Exército Brasileiro. Departamento de Ciência e Tecnologia. Portaria no.
003, de 31 de Janeiro de 2007. Aprova as Instruções Reguladoras sobre
Auditoria de Segurança de Sistemas de Informação do Exército Brasileiro – IR
13-09.
BRASIL, Exército Brasileiro. Departamento de Ciência e Tecnologia. Portaria no.
011, de 29 de Março de 2010. Aprova o Plano de Migração para Software Livre
do Exército Brasileiro, 3ª Edição.
CARVALHAIS, André Melo. Introdução à Guerra Cibernética: a necessidade de um
despertar brasileiro para o assunto. In: Simpósio de Guerra Eletrônica do
Instituto Tecnológico de Aeronáutica, 9., São José dos Campos. 2007. 4p.
COX, Kerry; Gerg, Christopher. Managing security with Snort and IDS tools. O'Reilly
Series. O'Reilly Media, Inc..2004.288p.
62
FELIX, Jorge Armando. Guia de Referência para a segurança das infraestruturas
críticas da informação. Versão 01, de Novembro de 2010. 151p.
FERNANDES, Jorge Henrique Cabral. Sistemas, Informação & Comunicação:
GSIC050. Curso de Especialização em Gestão da Segurança da Informação e
Comunicações: 2009/2011. Departamento de Ciências da Computação da
Universidade de Brasília. 2010. 51p.
FULP, Errin W. Firewall Architectures for High-Speed Networks. Techinical Report.
DOE Network Research PI Meeting. September 2005. Disponível em:
http://www.cs.wfu.edu/~fulp/ewfPub.html. Último acesso em Agosto de 2011.
HERZOG, P. Open source security testing methodology manual (OSSTMM).
Disponível em: http://www.isecom.org/osstmm/. Último acesso em Julho de
2011.
ISACA. COBIT 4.1 – Controls Objectives for Information and related Technology.
Disponível
em:
http://www.isaca.org/Knowledge-Center/cobit/Documents
/cobit41-portuguese.pdf . Último acesso em Agosto de 2011.
MANDARINO JUNIOR, Rafael.; CANONGIA, Claudia. Guia de Referência para a
segurança das infraestruturas críticas da informação. Versão 01, de Novembro
de 2010. 151p.
NEVES, Eduardo Borba e DOMINGUES, Clayton Amaral. Manual de Metodologia da
Pesquisa Científica. Rio de Janeiro: EB/CEP, 2007.
NIST - NATIONAL INSTITUTE OF STANDARTS AND TECHNOLOGY. Technical
Guide to Information Security Testing and Assessment. Special Publication 800115. Estados Unidos, setembro de 2008. Disponível em: http://www.nist.gov.
Último acesso em Junho de 2011.
NORTHCUTT, Stephen; NOVAK, Judy. Network Intrusion Detection. Estados
Unidos, 3a ed. Sams, 2002. 512p.
63
ROBREDO, Jaime. Da Ciência da Informação aos Sistemas Humanos de
Informação. Brasília: Thesauros. 2005.
RODRIGUES, Bermardo Maia. Windows Hardening. Brasil, Fevereiro de 2008.
Disponível
em:
http://www.csirt.pop-mg.rnp.br/docs/hardening/windows.html.
Último acesso em Julho de 2011.
SILVEIRA, Klaubert Herr. Desafios para os sistemas de Detecção de Intrusos (IDS).
Boletim bimestral sobre segurança de redes. Rede Nacional de Pesquisa.
Novembro
de
2000.
Disponível
em:
http://www.rnp.br/newsgen/
0011/ids.html#ng-2. Último acesso Setembro de 2011.
SILVA, Alexandro. Proteção Client-side: testando a eficácia das ferramentas de
proeção Microsoft para estações de trabalho e desktops. Disponível em:
http://blog.alexos.com.br/?p=2687&lang=pt-br. Último acesso em Julho de
2011.
VACCA, John R. (org.). Computer and Information Security Handbook. Estados
Unidos. Morgan Kaufmann Publishers. 877 p. ISBN 978-0-12-374354-1.
VASCONCELLOS, E.P.G. Contribuições ao estudo da estrutura administrativa. Tese
de Doutorado, FEA/USP, 1972.
VIEGAS NUNES, Paulo F. Impacto das Novas Tecnologias no Meio Militar: A Guerra
de Informação. Congresso Internacional da Imprensa Militar: Lisboa, 1999.
Disponível
em:
http://www.exercito.pt/am/ie/publicac/corpodoc/maico01n.htm
Último acesso em Junho de 2011.
64
Apêndice A – Modelo de questionário
O presente questionário tem por finalidade levantar dados acerca do
ambiente de tecnologia da informação as organizações militares do Exército
Brasileiro.
Integra o trabalho de conclusão curso do 1º Tenente OTT Infor FAGNER DA
SILVA DE JESUS, como requisito parcial para conclusão das atividades de PósGraduação – Especialização em Gestão de Segurança da Informação e
Comunicações da Universidade de Brasília (UnB) em conjunto com o Gabinete de
Segurança Institucional da Presidência da República (GSI/PR).
65
MINUTAINUTA
MINISTÉRIO DA DEFESA
EXÉRCITO BRASILEIRO
COMANDO MILITAR DO LESTE
BRIGADA DE INFANTARIA PÁRA-QUEDISTA
COMANDO DA BRIGADA DE INFANTARIA PÁRA-QUEDISTA
QUESTIONÁRIO DE TECNOLOGIA DA INFORMAÇÃO (PDTI)
1. Diagnóstico de TI na OM
a. Rede de Computadores
- Descrever de forma sucinta a rede da OM (abrangência, Nr e tipo de elementos
ativos de rede, tipos de enlaces, etc);
- Tipo de acesso à EBNet (ponto de presença, VPN, etc);
- Tipo de acesso à Internet (via EBNet, próprio da OM, etc);
- Número e tipo de servidores de rede.
b. Sistemas Operacionais (SO)
- Quais os SO utilizados na OM (Windows, Linux, etc).
c. Softwares de Escritório
- Quais os softwares de escritório utilizados pela OM (Word, PowerPoint, Excel,
BrOffice, etc).
d. Serviços Utilizados
- Principais serviços utilizados (correio eletrônico, Protweb, etc).
66
e. Segurança de Rede
- Método(s) de segurança empregado(s) (Firewall, Proxy, IDS, etc);
- Método(s) de autenticação utilizado(s) (Diretório LDAP, Active Directory,
Autenticação descentralizada, senhas compartilhadas, etc).
f. Pessoal de TI na OM
- Qual o efetivo atual do pessoal de TI na OM (quantidade, cargo, especialidades)?
- Qual é o nível de capacitação atual do pessoal de TI na OM (cursos que
possuem)?
g. Outras informações julgadas necessárias
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________
___________________________________________________________________