DevSecOps

1 nov, 2010

Por que se preocupar com a segurança?

Publicidade

Você já deve ter ouvido falar que hoje vivemos na era da informação, ou seja, grande parte das empresas têm na informação o seu principal ativo.
Perder ou ter informação furtada causa grandes prejuízos financeiros e,
até mesmo, um impacto negativo à imagem da empresa.

Considere, por exemplo, as informações dos correntistas de um banco. A
perda de tais informações certamente compromete todo o negócio da
instituição, bem como afeta também sua imagem perante a sociedade.
Provavelmente ninguém mais confiará suas economias a esse banco!

Todos os dias, pessoas e empresas são vítimas de tentativas de ataques,
cujo objetivo é o roubo ou a destruição de dados e informações. Em
algumas situações, o roubo é feito por crackers, na maioria jovens
que têm o intuito de revelar as informações furtadas e publicá-las em
sites, mostrando, assim, a fragilidade da empresa atacada. Sobre a atuação dos crackers, leia aqui a matéria “Invasão
de rede foi planejada por anos”
, de Felipe Zmoginski, do Plantão
INFO On-Line, publicada em 11 de maio de 2007.

Vulnerabilidade, Ameaça e Ataque

Quando se fala em segurança computacional, convém que você conheça
alguns conceitos básicos.

Uma vulnerabilidade representa qualquer fragilidade dentro de um
sistema, rede ou procedimento de atuação, que possa ser explorada,
causando perdas ou danos à organização.

Uma ameaça é, portanto, a possibilidade de exploração de uma
vulnerabilidade.

Um ataque, por sua vez, representa a materialização
de uma ameaça.

Para explicar melhor cada uma das três definições acima, vamos usar um
simples exemplo. Suponha que você esteja acessando um site por meio de
uma conexão não segura. O fato de essa conexão não ser segura representa
uma vulnerabilidade. Uma possível ameaça poderia ser a captura, por
alguém não autorizado, das informações que trafegam por essa conexão. Um
ataque, nesse caso, poderia ser feito com o uso de um sniffer, que
pode capturar e analisar os pacotes.

Dado este exemplo de ataque, podemos dizer que ele é do tipo passivo. Ou seja, baseia-se na escuta e no monitoramento
de transmissões, não envolvendo alterações das mensagens trafegadas.
Contudo, há ataques que são chamados ativos, os quais, nesse caso,
envolvem modificação de mensagens, falsificação de dados ou até mesmo a
interrupção de serviços.

Modalidades de Ameaça

Toda e qualquer comunicação pode estar sujeita à ocorrência de algumas
modalidades de ameaça, as quais podem ser agrupadas em quatro
categorias: interrupção, interceptação, modificação e fabricação,
vejamos abaixo cada uma delas:

  • Interrupção: caracteriza-se pela possibilidade de tornar
    um bem ou ativo indisponível, inutilizável. Um exemplo de interrupção
    pode ser a destruição de um servidor ou disco de armazenamento
  • Interceptação: caracteriza-se pela obtenção de informações
    por meio do acesso não-autorizado de pessoa, sistema ou programa. A
    escuta de uma conversa telefônica é um exemplo desse tipo de ameaça.
  • Modificação: representa situações em que dados são
    alterados por pessoa não-autorizada. Um exemplo disso é a alteração do
    conteúdo de mensagens transmitidas por meio de uma rede de interconexão
  • Fabricação: difere um pouco da modificação, por
    representar situações em que dados falsos são produzidos e inseridos nos
    ativos de uma organização. Você pode tomar como exemplo a situação em
    que um cracker, após invadir um sistema de vendas pela Internet de uma
    empresa, cria pedidos falsos.

Alguns conceitos

Quando se fala em segurança computacional, alguns serviços precisam ser
implementados como forma de garantir a proteção dos bens ativos de uma
empresa, assim como prevenir que as informações enviadas por esta, para
os seus clientes, parceiros ou fornecedores, sejam capturadas por
pessoas não-autorizadas.

Podemos agrupar os serviços de segurança nas seguintes categorias:
confidencialidade, integridade, autenticidade, controle de acesso e
disponibilidade.

A confidencialidade visa a proteger as informações contra acessos
não-autorizados. Em outras palavras, mesmo que uma pessoa ou programa
capture as mensagens transmitidas pela rede, é importante que essas
mensagens estejam em uma forma ininteligível.

A integridade, por sua vez, busca proteger a comunicação de
dados, evitando que as mensagens transmitidas sofram modificações por
pessoas ou programas não-autorizados.

Já o serviço de autenticidade tem por objetivo garantir que os
envolvidos em uma comunicação sejam autênticos; isto é, que nenhum deles
esteja se passando por alguém que não é. Imagine, por exemplo, que você
esteja conversando com um amigo por meio de um serviço de mensagens
instantâneas. Qual a garantia que você tem de que a pessoa que você está
realmente conversando é de fato seu amigo?

No controle de acesso o intuito é definir regras, limitando o
acesso físico ou lógico aos ativos da empresa somente àquelas pessoas
devidamente autorizadas. O controle de acesso físico engloba os
mecanismos e medidas de proteção contra acesso não-autorizado, visando a
proteção de equipamentos, documentos, suprimentos e pessoas, entre
outros recursos.

A disponibilidade preocupa-se em manter os serviços de uma
empresa disponíveis sempre que solicitados por acessos autorizados. O
objetivo é proteger os recursos computacionais das ameaças de
interrupção. Nesse caso, são implementadas soluções que promovam o
aumento de disponibilidade como, por exemplo, a replicação de serviços, a
redundância de canais de comunicação e a utilização de clusters.

Exemplos de controle da segurança da informação para empresas:

  •  Redação de instruções

Regras básicas sobre a segurança da informação da
empresa.

  •  Atualização de software

Sistemas operacionais, aplicações (correio eletrônico,
navegadores da Internet).

  •  Realização de cópias de segurança.
  •  Software de segurança da informação (proteção
    antivirus e firewalls).
  •  Senhas para a rede e os servidores

Em quanto tempo são trocadas? Como devem ser? Fechar a conta de correio eletrônico e eliminar o identificador
de usuário ao finalizar a relação trabalhista.

  •  Proteção física dos equipamentos

Guardar os servidores em uma sala fechada sob chave, contar
com marcas de segurança, proceder ao  vazamento dos discos rígidos.