Select Menu

Anuncios !!

«
Proxima
Postagem mais recente
»
Anterior
Postagem mais antiga

Postado Por: Unknown Data: 11:13 / comentario : 0


Um profissional de Segurança deve ter sempre um conceito básicos para sempre se nortear em seu trabalho. Ele deve pensar fora do normal pois para ele não é suficiente apenas o recurso e serviço está funcionando, é preciso estar funcionando de maneira segura. Pegaremos de Exemplo uma Aplicação Web.
Hoje em dia o programador, a preocupação maior é o  funcionamento e a praticidade com que a sua aplicação vai rodar esquecendo de fundamentos básicos como atualização do seu apache por exemplo. Existem hoje alguns padrões para desenvolvimento seguro, boas praticas e informações sobre problemas de segurança já detectados, o problema é programadores tem prazos a cumprir e nem sempre possui experiencia suficiente para conseguir fazer uma aplicação segura.

 A segurança da Informação consiste em Três principais pilares:
  • Confiabilidade;
  • Integridade;
  • Disponibilidade.

Confiabilidade:

É simplesmente garantir que as informações não vaze,  que a informação apenas seja usada por entidades que tenha acesso autorizado. Conhecido também como sigilo.

Integridade:

É o principio que garante que a informação não seja alterada, deixando-a pura e livre de mudanças não autorizada.

Disponibilidade:

É a garantia que a informação estará Disponível, sempre que seus usuários necessitem dessa informação. A disponibilidade como sendo a propriedade de um sistema ou de um recurso do sistema ser acessível e utilizável sob demanda por uma entidade autorizada do sistema.

Elementos Ativos

É o que sustenta a operação do Negocio ( na Informática ) Pode ser classificado em:
  • Tangíveis 
  • Intangíveis 
  • Lógicos 
  • Físicos
  • Humanos

Tangíveis:

informações impressas, móveis, hardware  (Ex.: impressoras, escâneres);

Intangíveis: 

Marca de um produto, nome da empresa, confiabilidade de um órgão federal etc.;

Lógicos: 

informações armazenadas em uma rede, sistema ERP (sistema de gestão integrada) etc.;

Físicos: 

Galpão, sistema de eletricidade, estação de trabalho etc.;

Humanos: 

São os funcionários.

Você que um Segurança da informação, terá que conseguir encontra um sistema harmônico que   englobe todos esses processos. Lembre-se que cada caso é um caso.

Arquitetura de Segurança OSI – Recomendação X.800


Ataque à segurança é qualquer ação que comprometa a segurança da informação.

Mecanismo de segurança é um processo (ou um dispositivo que incorpore tal processo) projetado para detectar, impedir ou permitir a recuperação de um ataque à segurança.

Serviço de segurança tem por objetivo frustrar ataques à segurança utilizando-se de um ou mais mecanismos de segurança.

Vulnerabilidade

De acordo com a RFC 4949:

Vulnerabilidade: Uma falha ou fraqueza no projeto, implementação ou operação e gerenciamento de um sistema que poderia ser explorada para violar a política de segurança desse sistema.

As vulnerabilidades podem ser:
  • Vulnerabilidades de Hardware;
  • Vulnerabilidades de Software;
  • Vulnerabilidades de Armazenamento;
  • Vulnerabilidades de Comunicação;
  • Vulnerabilidades Humanas.
Comentarei as 3 mais importantes: 

Vulnerabilidade de Hardware:


 Gabinetes com defeito de Fabrica, ou com mal funcionamento, é tudo que você pode chutar quando não está funcionando corretamente.

Vulnerabilidade de Software:

São softwares que são feitos na maioria das vezes sem planejamento, com erros, bugs, esses erros gritantes ou não. Aqui se encaixa o conceitos de 0days que são os dias em entre a descoberta de uma falha até o dia em que o programador corrige a vulnerabilidade.

Vulnerabilidade de Humana:

Fator mais fraco do Elo, nesse fator você devera investir maior parte do seu esforços. O fator humano é realmente bem complexo. Treinamento adequado, limitação do que ele pode ou não fazer. Quais privilégios ele terá ? Por quanto tempo? Pra que ele precisa desses privilégios?

Ameaças:

Ameaça é algo que possa provocar danos à segurança da informação, prejudicar as ações da empresa e sua sustentação no negócio, Possível perigo que pode vir a explorar uma vulnerabilidade.

Que podem ser:
  • Externas: Todas tentativas de Ataques Vinda de fora do Ambiente.
  • Internas: Independente de estarem conectados na Internet ou não, São todas as tentativas vinda de Dentro do Ambiente.
O maior perigo é o que vem de dentro da sua empresa, o usuário é o principal vilão, mesmo que ele não saiba ou não tenha a intenção de prejudicar. 

Ataque:

Um ato inteligente que é uma tentativa deliberada de burlar serviços de segurança e violar a política de segurança de um sistema.

Serviço de Autenticação:

 A autenticação o que remete à confirmação da procedência de um objeto ou pessoa, neste caso, frequentemente relacionada com a verificação da sua identidade. Simplificando é a garantia de que a entidade se comunicando é aquela que ela afirma ser.

Possui dois passos:

Identificação: Geralmente um nome de usuário.

Verificação:
  • Algo que eu sei (Ex: senha)
  • Algo que eu possuo (Ex: Smart Card)
  • Algo que eu sou (Ex: Biometria)

 Autenticação forte usa duas ou mais informações de verificação distintas.



Marcadores:

Autor Unknown

Autodida no ramo de segurança da informação e analise Forense, é um estudante de redes de computadores, bloggeiro, amante dos binários e de café, !
«
Proxima
Postagem mais recente
»
Anterior
Postagem mais antiga

Nenhum comentário

Comentarios

Assinar: Postar comentários ( Atom )

Copyright © 2014, HCC | Todos os Direitos Reservados |