ISH TecnologiaISH TecnologiaDesafio: Prover a Gestão de Segurança da

Informação

Armsthon Hamer dos Reis ZanelatoDiretor de Operações

Agenda

�Avaliar• Cenário: Tendências e ameaças em Segurança da Informação.

� Implantar• Topologia Corporativa: Ferramentas de Proteção.

�Gerenciar• Métricas de Segurança podem auxiliar nos esforços de

Conformidade;

• Serviços Gerenciados de Segurança.

Avaliar

Symantec Internet Security Threat Report XIV

Cenário das ameaças em 2009

Cyber criminososquerem a SUA

informação

• Foco em explorarusuários finais paraobter ganhosfinanceiros

Atividades Maliciosasbaseadas na Web

se aceleraram

• Principal vetor de atividades maliciosas

• Tem como alvowebsites com boa reputação e alto tráfego

Aumentou a sofisticação do Mercado Negro

• Infraestrutura bemorganizada para o comércio de informaçõesroubadas

Rápida adaptação àsmedidas de segurança

• Realocando operaçõespara novas áreasgeográficas

• Fugindo da proteção de segurança tradicional

Tendências principais – Atividade Global em2008

Ameaças Vulnerabilidades CódigoMalicioso

Spam/Phishing

• Falha na segurançade dados podemlevar ao roubo de identidades

• Roubo e perda sãoas principais causasde vazamento de dados de identidade

• As ameaçasaumentaram com o crescimento dabanda larga de Internet

• São 19% (5491) as vulnerabilidadesdocumentadas

• Vulnerabilidade maisatacada: Exploradapelo Downadup(conficker)

• 95% das vulnerabilidadesatacadas foram do lado do cliente

• Trojans são 68% do volume dos top 50 códigos maliciosos

• 66% de códigosmaliciosos empotencial se propagamm comoarquivosexecutáveiscompartilhados

• 76% phishing tem comoalvo serviçosfinanceiros

• Detectados 55.389 Websistes de phishing

• Detectado aumento de 192% no spam naInternet com 349.6 bilhões de mensagens

• 90% dos e-mail de spam são distribuídospor “Bot networks”

Fonte: Internet Security Threat Report, Volume XIV

Fluxo de um ataque

Ataques Web-based são hoje o principal vetor de atividade maliciosa na Internet

Websites sãocomprometidos

Visitantes sãoatacados

Códigosmaliciosos são

instalados

Informaçõesroubadas são

vendidas

Websites são comprometidos

• Atacantes localizam e comprometem um site de alto tráfego através de umavulnerabilidade específica do site ou da aplicação web que ele disponibiliza

• Uma vez que o site é comprometido os atacantes modificam as páginas paraque o conteúdo malicioso seja servido aos visitantes

Vulnerabilidades em aplicaçõesWeb

Vulnerabilidades específicasdos sites

Internet Security Threat Report, Volume XIV

Visitantes são atacados

• Em muitos casos os ataques são lançados de diferenteslocalizações do que a do site comprometido;

• As principais vulnerabilidades exploradas pelos ataques estãotanto no navegador como nos plug-ins e aplicações cliente;

• Muitos dos ataques baseados na Web exploramvulnerabilidades de média severidade.

Top Web-based attacks

Internet Security Threat Report, Volume XIV

Códigos maliciosos são instalados

• Em 2008 a Symantec bloqueou uma média de mais de 245 milhões de tentativas de ataque via código malicioso a cada mês;

• Mais de 60% das assinaturas Symantec para códigos maliciosos foramcriadas em 2008;

• Mais de 90% das ameaças descobertas em 2008 tem como objetivo roubode informação confidencial.

Internet Security Threat Report, Volume XIV

Informações roubadas são vendidas

• Informações de cartão de crédito (32%) e credenciais de contas de banco (19%) continuam a ser os itens mais anunciados no mercadonegro;

• A faixa de preços por informações de cartão de crédito permanecemconsistentes em 2008, variando de $0,06 a $30 por número de cartão;

• Contas de e-mail comprometidas podem prover acesso a outrasinformações confidenciais e recursos adicionais.

Internet Security Threat Report, Volume XIV

Tendências das Ameaças – AtividadesMaliciosas

• Em 2008 os Estados Unidos foi o país com maior volume de atividademaliciosa com 23% do total.

• O Brasil subiu no ranking de 8o para 5o lugar de 2007 para 2008, com atuais 4% do volume de atividades maliciosas no mundo.

• Na medida que a Internet em banda larga cresce em certos países a sua participação na atividade maliciosa também cresce.

Internet Security Threat Report, Volume XIV

Implantar

Topologia Corporativa – Infraestrutura de TI

Rede local corporativa

Internet

Dmz

Wan

filialfilialfilial

Usuárioremoto

Topologia Corporativa – Ferramentas de Segurança

Proteção do Endpoint

Firewall

Virtual Private Network

Web Security

Intruder Prevention

UsuárioGerente de TI

Dm

z

Wan

filial

filial

filial

Intern

et

Corporate LAN

Intruder Prevention

Controle de acesso

Controle de Conformidade

Data Loss Prevention

Gerenciamento de Infraestrutura

Gerenciamento de Segurança

Host Security

Controle de Vulnerabilidades

Certificação e assinaturas digitais

Gerenciar

Desafios do Gestor de TI no cenário atual

� Lidar com a complexidade e heterogeneidade da topologia de Tecnologia da Informação;

� Lidar com diversos fornecedores de serviços, software e hardware;

� Manter a infraestrutura, os sistemas de TI e as informações da empresa sempre disponíveis e seguras, tudo isto com os usuários satisfeitos;

� Gerenciar o orçamento de TI;

Desafios do Gestor de TI no cenário atual

� Lidar com a dificuldade para seleção, gerenciamento, capacitação e retenção de Recursos Humanos;

� Lidar com uma cultura organizacional desvirtuada dos padrões de segurança;

� Lidar com as cobranças quanto ao retorno sobre os � Lidar com as cobranças quanto ao retorno sobre os investimentos na área de TI;

� Planejar e implementar novos projetos de TI, alinhados com a estratégia da empresa;

� Gerenciar a conformidade com os padrões e métodos adotados em TI (ISO 17799, ITIL, ISO 20000, ISO 27000, SOX, etc).

Gerenciamento de Segurança e Conformidade

� Métricas de Segurança podem auxiliar nos esforços de Conformidade:• O valor das Métricas de Segurança;• A metodologia para se obter Métricas de Segurança;• O Modelo de Maturidade de Segurança.

O valor das Métricas de Segurança

� O quão segura é sua organização hoje? Que métrica você utilizapara validar esta afirmação?

� O seu orçamento de Segurança da Informação priorizacorretamente os riscos e iniciativas de conformidades dentro daorganização?

� Sua postura de Segurança da Informação está melhorando oupiorando? Como você sabe?piorando? Como você sabe?

� Qual é a regra de métricas de Segurança da Informação nos seusprojetos atuais e futuros?

Tipos de Métricas de Segurança

Onde nós estamosem risco?

• Exemplos:

A segurança estámelhorando?

• Exemplos:

Valor dos Investimentos?

• Exemplos:

ImportanteImportante parapara o CIOo CIO

• Exemplos:• Percentual de

funções críticas emsistemas conformes

• Percentual de AtivosCríticos sob Análisede Riscos

• Percentual de AtivosCríticos com planode mitigação de riscos

• Exemplos:• Percentual de riscos

identificados e/oumitigados

• Percentual de riscosaceitos

• Percentual de riscosnão mitigados

• Exemplos:• Custo total de

propriedade do investimento (TCO)

• Gastos operacionaisx investimentos de capital

• Percentual dos gastos emSegurança daInformação x Orçamento de TI

Tipos de Métricas de Segurança

Segurança do Perímetro?

• Exemplos:• Taxa de

detecção de spam

Cobertura das ferramentas de

segurança?• Exemplos:• Percentual de

sistemas com antivirus

Disponibilidade/integridade?

• Exemplos:• Host Uptime

• Percentual de

Riscos de aplicações?

• Exemplos:• Número de

vulnerabilidades/aplicações

ImportanteImportante parapara o CISOo CISO

spam

• Número de vírusdetectados

• Número de ataques daInternet

sistemas com antivirus

• Nível de aplicação de patches

• Percentual de Sistemas com instalaçãopadrão

• Cobertura do escaneamentovulnerabilidades

• Percentual de downtime devido a incidente

• MTBF/MTR

/aplicações

• Número de aplicaçõesanalisadas x número de aplicaçõestotais

Qual a métrica mais adequada para o CISO

�Security Officer:• Métricas operacionais

o Ajuda a enxergar o quadro geral da operação de segurança dainformação.

• Métricas de conformidadeo Medidas contra suas normas/requerimentos/padrões.o Medidas contra suas normas/requerimentos/padrões.

• Métricas de projetoo Mostra o retorno no investimento de segurança da informação;o Derivadas das métricas operacionais.

• Necessita de métricas para informar e aconselhar o gerente senior no gerenciamento dos riscos e melhoriasnos processos de segurança

Qual a métrica mais adequada para o CIO

�Gestor de TI:• Métricas de projeto• Métricas de conformidade• Algumas métricas operacionais

o Especialmente as que se relacionam com outras funções de TI (Exemplo: vulnerabilidades de aplicações).(Exemplo: vulnerabilidades de aplicações).

• Riscos:o Onde estão os riscos?o Qual a nossa postura de segurança?

• Métricas de Tempoo Eficiência Operacional.

• Métricas Financeiraso Aumento de produtividade, redução de custos.

Metodologia: CIS Security Metrics - Exemplos

• Tempo médio para descoberta de um incidente• % de incidentes detectados pelos controles

internos

Gerenciamento deIncidentes

• Percentual de sistemas com vulnerabilidades nãoconhecidasVulnerabilidades

• Conformidade com a política de patches• Tempo médio para implantar patches críticos

Gerenciamento dePatches • Tempo médio para implantar patches críticosPatches

• Cobertura da análise de riscos• Cobertura da análise de vulnerabilidadesSegurança de Aplicações

• % de mudanças com revisão de segurança• % de mudanças com exceções de segurança

Gerenciamento de Configurações

• Percentual dos gastos com Segurança de TI x orçamento de TIMétricas Financeiras

Fonte: Center for Internet Security, 2009

Quanto investimento é suficiente paraSegurança da Informação?

� Resposta:� Gastando muito pouco em

segurança (postergando custos) maximizam-se os custos de falha(falso senso de segurança)2;

“Nós gastamos milhões em segurança da informação e nada de ruim acontece. É por causa dos milhões que nós gastamos ou por causa que nada de mau iriaacontecer de qualquer forma?”1

(falso senso de segurança)2;� Gastando muito em segurança

(antecipando os custos) reduz oscustos de falha, mas maximiza o custo total do programa (caçandofantasmas);

� O ponto de cruzamento entre oscustos de antecipação e falharepresentam a segurançaotimizada. 1 CSO Magazine: “What is Security Worth” (2006)

2 Information Risk Executive Council Audit Director Roundtable (2005)

Quão “otimizada” é a sua Arquitetura de Segurança?

Segura

• Orientada a eventos

• Proteção reativa• Segurança Básica

Conforme

• Desenvolvimentoda Política

• Algumapadronização

• Conformidadecom padrõesexternos

Proativa

• SegurançaProativa

• Visão centralizada• A segurança

habilita a conformidade

Otimizada

• Multi nível e correlacionada

• Conformidadeautomatizada

• Eficiencia de custo

Modelo de Maturidade de SegurançaModelo de Maturidade de Segurança

com padrõesexternos

conformidade• Audite uma vez,

reporte muitas• Maior integração

custo

Custo e Riscos ElevadosBaixa postura de segurança

Custo e Riscos ReduzidosElevada postura de segurança

Como implementar uma arquitetura otimizadade Segurança da Informação?

Análise de Riscos e dos processos de

segurança

Aplicação de Ferramentas e

processos de Controlee Conformidade

Monitoramento e resposta a incidentes

e Conformidade

Correlação de eventose conformidade

automatizada e com visão centralizada

Gerenciamentoatravés de Métricas de Segurança que façamsentido a organização

Soluções

� Adoção de estratégias para SIMPLIFICAÇÃOSIMPLIFICAÇÃO e CONSOLIDAÇÃO CONSOLIDAÇÃO das ferramentas de controle de Segurança e Conformidade de TI;

�� CENTRALIZAÇÃOCENTRALIZAÇÃO do gerenciamento de Segurança e Conformidade com utilização de Métricas de Segurança que façam sentido para a organização;que façam sentido para a organização;

�� Estratégia 1Estratégia 1: Montagem de uma infraestrutura própria para gestão otimizada de Segurança da Informação com Ferramentas, Processos e Recursos Humanos;

�� EstratégiaEstratégia 2:2: adoção de Serviços Gerenciados de Segurança da Informação em parte ou em todo o processo de Segurança da Informação.

Serviços Gerenciados de Segurança daInformação

� Conjunto de ferramentasferramentas, métodosmétodos, processosprocessos, pessoaspessoas e infraestruturainfraestruturade TI que visam o monitoramento e/ou gerenciamento proativo gerenciamento proativo da infraestrutura de rede e segurança da informação de nossos clientes através de nosso SecuritySecurity OperationsOperationsCenter Center – SOC/Network SOC/Network OperationOperation Center Center -- NOCNOC

Qual a infraestrutura do SOC/NOC ISH?

� Infra-estrutura física adequada para prestação de serviços em regime 24 x 7;

� Soluções e ferramentas dos principais fabricantes de segurança e networking;

� Pessoal altamente capacitado e certificado nas principais soluções do mercado;principais soluções do mercado;

� Metodologia de Trabalho ISH, desenvolvida com mais de 12 anos de experiência;

� Certificação ISO 9001:2000;� Equipes residentes em Vitória, São Paulo e Brasília (BH

em implantação).

O que o SOC/NOC da ISH pode fazer?

� Análise de Riscos e Vulnerabilidades;� Gerenciamento de ferramentas de segurança,

servidores e redes;� Correlação de eventos de segurança da informação;� Gerenciamento de conformidade;� Monitoramento 24 x 7: disponibilidade, desempenho e � Monitoramento 24 x 7: disponibilidade, desempenho e

segurança de ativos de rede, servidores e serviços;� Resposta a incidentes com atuação

remota e/ou in loco;

� Recuperação de desastres;� Geração de relatórios e estatísticas;� Suporte de 3º nível sob demanda.

Pessoas

Processos

Ferramentas

Quais as soluções, modalidades e níveis de serviços ofertados?

� Serviços Gerenciados Ofertados - Security as a Service:� Firewall/VPN� IPS/IDS� Segurança do EndPoint� Messaging Security

� Modalidades Ofertadas:� Locação de hardware e software� Monitoramento via SOC/NOC

com alertas� Administração remota/local de

infraestrutura de TI e segurança da informação

� Resposta a incidentes� Messaging Security� Web Security� Data Loss Prevention - DLP� Conformidade� Backup/restore� Coleta e correlação de eventos

de segurança da informação� Aceleração de redes e

aplicações� Switching/Routing/IP Telephony

� Resposta a incidentes� Outsourcing� Suporte de 3º nível

� Níveis de Serviços Ofertados:� Monitoramento: 24 x 7 com

alertas via e-mail e/ou telefone� Administração, suporte e resposta

a incidentes: 24 x 7 ou 8 x 5

Benefícios com Serviços Gerenciados

� Menor custo total de propriedade;� Pessoal interno com maior foco no

negócio da empresa;� Maior nível de especialização nos

serviços;� Melhor nível de monitoração de eventos

de segurança;� Maior rapidez na resposta a incidentes;� Maior rapidez na resposta a incidentes;� Maior disponibilidade dos serviços (24x7);� Gerenciamento e Monitoramento Pró-

Ativo e PREVENTIVO;� Parceiro com visão independente da

postura de administração da infraestrutura e segurança da empresa;

� Menor quantidade com maior qualidade dos controles internos através da aplicação de Métricas de Segurança.

E se as ferramentas falharem?

�Responder� Como estar preparado se as ferramentas falharem

Assunto para nosso próximo encontro …Assunto para nosso próximo encontro …

Obrigado!Obrigado!

Armsthon Hamer dos Reis Zanelatoarmsthon@ish.com.br

http://twitter.com/ishtecnologia