Gestão de Riscos

Gesto de Riscos de Segurana
Jos Eduardo Malta de S Brando Joni da Silva Fraga

je.brandao@ipea.gov.br fraga@das.ufsc.br
SBSeg 2008 - Gesto de Riscos de Segurana
Sumrio
Motivao Conceitos Principais Padres Mticas
Common Vulnerability Scoring System (CVSS)
Estudo de Caso
05/09/2008
Jos Eduardo M. S. Brando / Joni S. Fraga
Motivao
05/09/2008
Qual o Risco ?
05/09/2008
Mitigao do Risco
05/09/2008
Por que Gerenciar Riscos ?

A noo correta dos riscos permite que se definam caminhos e ferramentas para mitig-los Os riscos podem ser identificados e reduzidos, mas nunca totalmente eliminados (Garfinkel et al. 2003)
05/09/2008
Quando Gerenciar os Riscos ?

comum a aplicao de ferramentas de anlise de risco em prottipos desenvolvidos em projetos de software cientficos ou comerciais Anlise de Vulnerabilidades Problemas encontrados: Vulnerabilidades inerentes tecnologia adotada
Deciso: troca da tecnologia ou aceitao de um risco maior do que o desejado ?
Tratar os riscos apenas no ponto de prottipo pode ser extremamente dispendioso e, em alguns casos, os resultados podem inviabilizar o prprio projeto As vulnerabilidades encontradas poderiam ter sido facilmente identificadas na etapa de planejamento do projeto.
05/09/2008
Conceitos Iniciais
05/09/2008
Propriedades de Segurana
Integridade:
garante que a informao no ser alterada ou destruda sem a autorizao adequada.
Confidencialidade:
garante que a informao no ser revelada sem a autorizao adequada.
Disponibilidade:
garante que a informao estar acessvel aos usurios legtimos quando solicitada.
05/09/2008
Violaes de Segurana
Quando h a quebra de uma ou mais propriedades de segurana
Violao de confidencialidade
Revelao no autorizada da informao
Violao de integridade
Modificao no autorizada da informao
Violao de disponibilidade
Negao de servio
05/09/2008
10
Vulnerabilidade
Defeito ou fraqueza no design ou na implementao de um sistema de informaes (incluindo procedimentos de segurana e controles de segurana associados ao sistema), que pode ser intencionalmente ou acidentalmente explorada, afetando a confidencialidade, integridade ou disponibilidade (Ross et al. 2005)
05/09/2008
11
Risco
o impacto negativo da explorao de uma vulnerabilidade, considerando a probabilidade do uso do mesmo e o impacto da violao (Stoneburner et al. 2002)
05/09/2008
12
Estimativa do Risco
O risco pode ser expressado matematicamente como uma funo da probabilidade de uma origem de ameaa (ou atacante) explorar uma vulnerabilidade potencial e do impacto resultante deste evento adverso no sistema e, conseqentemente, na empresa ou organizao.
05/09/2008
13
Gesto de Riscos
A gesto de riscos baseia-se em atividades coordenadas para direcionar e controlar uma organizao no que se refere a riscos (ISO/IEC Guide 73:2002) Envolve um processo criterioso e recursivo de documentao, avaliao e deciso durante todas as fases do ciclo de vida do projeto
05/09/2008
14
Estudo de caso
Ilustrao prtica da aplicao da gesto de riscos em um projeto cientfico Gesto de Riscos no Projeto de Composies de IDSs Adotou inicialmente a norma AS/NZ4360 e posteriormente adaptada para o padro ISO 27005 Ser apresentado em conjunto com a metodologia
05/09/2008
15
Principais Padres Relacionados Gesto de Riscos

Melhores Prticas Common Criteria (CC) Normas de Gesto de Riscos
NIST SP800-30 AS/NZS 4360, ISO 27005 e ISO 31000ca
05/09/2008
16
Melhores Prticas em SGI
05/09/2008
17
Famlia de Normas ISO 27000
05/09/2008
18
Norma ISO 27000

Est em desenvolvimento Ir definir os conceitos fundamentais e o vocabulrio de segurana da informao adotado na famlia de documentos ISO 27000
05/09/2008
19
Norma ISO 27001

Baseada na BS 17799-2 Foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gesto de Segurana da Informao (SGSI)
05/09/2008
20
Norma ISO 27002

Baseada na BS/ISO 17799-1 Introduz os conceitos de segurana da informao e faz uma discusso inicial a respeito das motivaes para o estabelecimento da gesto de segurana. Na maior parte do documento so detalhadas as prticas de segurana, que so associadas aos os objetivos de controles, e os controles de segurana citados na norma ISO 27001
05/09/2008
21
Norma ISO 27003

Em desenvolvimento baseada no anexo B da norma BS 7799-2 Basicamente um guia para a implantao do SGSI
05/09/2008
22
Norma ISO 27004

Em desenvolvimento Definir mtricas e medidas para o acompanhamento do SGSI
05/09/2008
23
Norma ISO 27006

Define critrios para as pessoas e empresas que faro a certificao e auditoria do SGSI Segue o padro da norma 17021
05/09/2008
24
Norma ISO 27007

Em desenvolvimento Definir critrios especficos para a auditoria dos processos do SGSI Baseada na norma ISO 19011
05/09/2008
25
O Modelo PDCA
Plan
Partes Interessadas
Do
Expectativas e requisitos de segurana da informao Implementao e Operao do SGSI
Estabelecimento do SGSI
Partes Interessadas
Manuteno e Melhoria do SGSI
Act
Monitoramento e anlise crtica do SGSI
Check
Segurana da informao gerenciada
05/09/2008
26
Plan
O ciclo do PDCA comea com o estabelecimento da poltica, dos objetivos, dos processos e dos procedimentos do SGSI, que sejam relevantes para a gesto de riscos e a melhoria da segurana da informao e que produzam resultados de acordo com as polticas e objetivos globais de uma organizao.
05/09/2008
27
Do
Envolve a implantao e a operao da poltica, dos controles, dos processos e dos procedimentos estabelecidos na primeira etapa
05/09/2008
28
Check
feita a avaliao e, quando aplicvel, a medio do desempenho de um processo frente poltica, aos objetivos e experincia prtica do SGSI, apresentando os resultados para a anlise crtica pela direo.
05/09/2008
29
Act
Cabe a execuo das aes corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da anlise crtica pela direo ou outra informao pertinente, para alcanar a melhoria contnua do SGSI. Aps esta etapa, o ciclo reiniciado, tomando como base o aprendizado do ciclo anterior. O resultado esperado da adoo do PDCA a segurana da informao devidamente gerenciada.
05/09/2008
30
10
Normas de Gesto de Riscos
05/09/2008
31
Common Criteria (CC)

Conjunto de normas ISO/IEC 14
Derivado do livro laranja (TCSEC), do CTCPEC (Canad) e do ITSEC (UE).
Metodologia de testes e acompanhamento de projeto de produtos de segurana (target of evaluation - TOE) Definio de perfs com requisitos de Segurana (protection profiles PP), independentes de implementao. Define conjunto de requisitos e especificaes para ser usado como base para avaliao de um TOE especfico (security targets - ST)
05/09/2008
32
Cerifificao CC
Produtos recebem uma certificao de nvel de garantia (Evaluation Assurance Level - EAL):
1. 2. 3. 4. 5. 6. 7.
teve seu funcionamento testado teve sua estrutura testada e envolve a cooperao do fabricante foi metodicamente testado e checado foi metodicamente projetado, testado e checado seja projetado e testado de maneira semi formal Foi projetado, verificado e testado de maneira semi formal foi projetado, verificado e testado de maneira formal
05/09/2008
33
11
NIST SP800-30
Risk Management Guide for Information Technology Systems (2002) Duas etapas:
avaliao de riscos (ou determinao dos riscos); e atenuao de riscos
05/09/2008
34
Processo de Avaliao
Entradas
Hardware Soft ware Interfac es de sistema Dados e informaes Pessoas Misso do sistema
Atividades de Avaliao de Riscos Passo 1. Caracterizao do Sistema
Sadas
Limite s do Si stema Funes do sistema Nveis crticos do sistema e dos dados Sensibilidade do sistema e dos dados
Histric o de ataques ao sistema Dados de agncias de inteligncia, mdia de massa, etc. Relatrios de avaliaes de risco anteriores Comentrios de auditoria Requisitos de segurana Resultados de testes de segurana Controles atuais Controles planejados Motivaes da s origens das ameaas Capacidade da ameaa Natureza das vulnerabilidades Controles atuais Anlise de impacto na misso Avaliao do nvel crtico dos ativos Nvel c rtico dos dados Sensibilidade dos dados Probabilidade de e xplorao de ameaa Magnitude de impacto Adequao de controles a tuais ou planejados
Passo 2. Identificao de Ameaas
Estabelecimento das Amea as
Passo 3. Identificao de Vulnerabilidades Passo 4. Anlise de Controle Passo 5. Determinao de Probabilidades Passo 6. Anlise de Impacto
Perda de Integridade Perda de Disponibilidade Perda de Confidencialidade
Lista de vulnerabilidades potencia is
Lista de controle s atuais e planejados
Valores de probabilidades
Taxa de Impacto
Passo 7. Determinao do Risco Passo 8. Recomendaes de Controle Passo 9. Documentao dos Resultados
Riscos e nveis de risc o associados
Cont roles recomendados
Relatrio de avaliao dos riscos
05/09/2008
35
Caracterizao do Sistema
Entradas
Hardware Software Interfaces de sistema Dados e informaes Pessoas Misso do sistema
Atividades de Avaliao de Riscos
Sadas
Limites do Sistema Funes do sistema Nveis crticos do sistema e dos dados Sensibilidade do sistema e dos dados
Passo 1. Caracterizao do Sistema
05/09/2008
36
12
Identificao de Ameaas
Entradas
Histrico de ataques ao sistema Dados de agncias de inteligncia, mdia de massa, etc.
Sadas
Passo 2. Identificao de Ameaas
Estabelecimento das Ameaas
05/09/2008
37
Identificao de Vulnerabilidades
Entradas
Sadas
Relatrios de avaliaes de risco anteriores Comentrios de auditoria Requisitos de segurana Resultados de testes de segurana
Passo 3. Identificao de Vulnerabilidades
Lista de vulnerabilidades potenciais
05/09/2008
38
Anlise de Controle
Entradas
Controles atuais Controles planejados
Atividades de Avaliao de Riscos Passo 4. Anlise de Controle
Sadas
Lista de c ontrole s atuais e planejados
05/09/2008
39
13
Determinao de Probabilidades
Entradas
Motivaes das origens das ameaas Capacidade da ameaa Natureza das vulnerabilidades Controles atuais
Sadas
Passo 5. Determinao de Probabilidades
Valores de probabilidades
05/09/2008
40
NIST SP800-30
Entradas
Anlise de impacto na misso Avaliao do nvel crtico dos ativos Nvel c rtico dos dados Sensibilidade dos dados
Atividades de Avaliao de Riscos Passo 6. Anlise de Impacto

Perda de Integridade Perda de Disponibilidade Perda de Confidencialidade
Sadas
Taxa de Impacto
05/09/2008
41
Determinao do Risco
Entradas Atividades de Avaliao de Riscos Sadas
Probabilidade de explorao de ameaa Magnitude de impacto Adequao de controles atuais ou planejados
Passo 7.
Determinao do Risco
Riscos e nveis de risco associados
05/09/2008
42
14
Recomendaes de Controle Documentao dos Resultados

Entradas Atividades de Avaliao de Riscos Sadas
Passo 8.
Recomendaes de Controle
Controles recomendados
Passo 9.
Documentao dos Resultados
Relatrio de avaliao dos riscos
05/09/2008
43
AS-NZS4360
Desenvolvida pelos governos da Austrlia e Nova Zelndia Serve de referncia para as normas atuais Guia de Aplicao: Risk Management Guidelines Companion to AS/NZS 4360:2004 - HB 436:2004
05/09/2008
44
Processo AS/NZS 4360 e ISO-3100

EST ABEL ECE R O CO N TE XT O
COMUNICAR E CONSULTAR
ANALI SAR O S RISC O S
A VALIAR O S RIS C OS
T R AT AR O S RIS C OS
AT E N UAO DO S R IS COS
MONITORAR E REVER
IDENT IF ICA R O S RISC OS
DETERMINAO DOS RISCOS
05/09/2008
45
15
Processo ISO 27005

DEFINIO DO CONTEXTO
ANLISE/AVALIAO DE RISCOS ANLISE DE RISCOS
IDENTIFICAO DE RISCOS
ESTIMATIVA DE RISCOS
AVALIAO DE RISCOS
PONTO DE DECISO 1 Avaliao satisfatria
No Sim
PONTO DE DECISO 2 Tratamento satisfatrio
TRATAMENTO DO RISCO No Sim
ACEITAO DO RISCO
MONITORAMENTO E ANLISE CRTICA DE RISCOS
COMUNICAO DO RISCO
05/09/2008
46
AS/NZS4360 x ISO 27005

ESTABELECER O CONTEXTO DEFINIO DO CONTEXTO
ANLISE/AVALIAO DE RISCOS
MONITORAR E REVER
IDENTIFICAR OS RISCOS
COMUNICAO DO RISCO
ANLISE DE RISCOS
IDENTIFICAO DE RISCOS
ANALISAR OS RISCOS
ESTIMATIVA DE RISCOS
AVALIAR OS RISCOS
AVALIAO DE RISCOS
PONTO DE DECISO 1 Avaliao satisfatria
No Sim
TRATAR OS RISCOS
ATENUAO DOS RISCOS P ONTO DE DECISO 2 Tratamento satisfatrio
TRATAMENTO DO RISCO No Sim ACEITAO DO RISCO
Normas AS/NZ4360 e ISO 31000

05/09/2008
Norma ISO 27005

47
Alinhamento da ISO 27005 com o PDCA

Plan
Definio do Contexto Anlise/Avaliao de Riscos Definio do Plano de Tratamento do Risco Aceitao do Risco Implementao do Plano de Tratamento do Risco Manter e Melhorar o Processo de Gesto de Riscos Act de Segurana da Informao
Do
Monitoramento Contnuo e Anlise Crtica de Riscos
Check
MONITORAMENTO E ANLISE CRTICA DE RISCOS
COMUNICAR E CONSULTAR
DETERMINAO DOS RISCOS
05/09/2008
48
16
Comunicao do Risco
Identificao das partes interessadas Papis e responsabilidades delimitados Desenvolver um plano de comunicao que permita a cada uma destas partes conhecer o andamento do processo e fornecer subsdios para seu desenvolvimento
05/09/2008
49
Comunicao do Risco Aplicada

1. 2.
3.
4. 5.
Membros do projeto de pesquisa pessoas diretamente relacionadas ao desenvolvimento do projeto; Membros do grupo de pesquisa pessoas que pertencem ao mesmo grupo de pesquisa, mas no esto diretamente relacionados pesquisa em desenvolvimento; Comunidade cientfica pessoas interessadas nos resultados da pesquisa, como membros de comits de programa e revisores de simpsios e peridicos, participantes de congressos cientficos e leitores dos trabalhos publicados; Instituies e rgos de pesquisa instituies e rgos de pesquisa aos quais o projeto de pesquisa est vinculado; Instituies e rgos de fomento responsveis pelo custeio do projeto.
05/09/2008
50
Plano de Comunicao e Consulta

Objetivos Estabelecimento de diretriz es e reviso contnua do projeto Identificao de possveis falhas, troca de experincias e obteno de crticas e sugestes Obteno de crticas e sugestes, identificao de novas aplicaes, troca de experincias e avaliao do projeto Participantes Membros do projeto de pesquisa Membros do grupo de pesquisa Comunidade cientfica Perspectivas dos Participantes Processo contnuo de avaliao dos riscos Conhecimento de novas tecnologias Divulgao e conhecimento de novas tecnologias Mtodos Usados Reunies peridicas e apresentao de relatrios tcnicos. Seminrios e encontros. Avaliao Auto-avaliao
Submisso de artigos cientficos para prospeco, public ao de resultados e apresentao de artigos.
Anlise peridica das contribuies apresentadas. Compilao e an lise das revises, sugestes e crticas dos artigos.
05/09/2008
51
17
Definio do Contexto
Parmetros bsicos, por meio dos quais sero identificados os riscos que precisam ser geridos e qual ser o escopo do restante do processo de gesto de riscos. Critrios que sero utilizados na identificao, avaliao, impacto e aceitao dos riscos.
Determinao das conseqncias de segurana e os mtodos usados para a anlise e avaliao dos riscos
Tem como entrada todas as informaes relevantes sobre a organizao, que sejam relevantes para a definio do contexto da gesto de riscos de segurana. Descrio dos objetivos do projeto e dos ambientes nos quais eles esto contextualizados
05/09/2008
52
Descrio do Projeto
As composies de IDSs envolvem a combinao de diversos sistemas de monitoramento que coletam e analisam dados de forma distribuda e oferecem a flexibilidade da configurao dinmica para atender a novas situaes, mesmo que temporrias.
05/09/2008
53
Definio dos Objetivos

O1: Deteco de Intruso Distribuda O2: Uso de Elementos Heterogneos O3: Composio Dinmica de IDSs O4: Adoo de Padres de Interoperabilidade O5: Segurana dos Elementos e da Composio
05/09/2008
54
18
Definio dos Critrios Bsicos

Conseqncias
Confidencialidade - Informaes crticas so reveladas a usurios no autorizados Integridade - Informaes crticas so alteradas ou eliminadas por usurios no autorizados Disponibilidade - Elementos de software ou hardware tm sua performance reduzida ou seu funcionamento interrompido.
Fatores de riscos associados s questes:

qual a ameaa (explorao de vulnerabilidades); o que pode ocorrer (conseqncias); e como pode ocorrer (ataque).
Clculo dos riscos:

Adoo das mtricas bsicas do CVSS
Aceitao dos Riscos

Riscos Baixos. Os riscos Mdios, cujos controles para sua reduo sejam Altos, tambm podero ser aceitos.
05/09/2008
55
Identificao de Riscos
Determinar os eventos que possam causar perdas potenciais
Como, onde e por que ?
Identificar:
Ameaas Controles existentes Vulnerabilidades Conseqncias
Dificuldades:
Critrios subjetivos
Referncias:
Literatura Cientfica Consulta comunidade
Usurios, parceiros, interessados Submisso de trabalhos e Feedback de revises
05/09/2008
56
Registro de riscos: IDSs Distribudos

Ameaa
Negao de Servio
O que pode ocorrer

Afeta a disponibilidade do sistema
Como pode ocorrer

Desativao de Eleme ntos por ataque s diretos, explorando vulnerabilidades
Possveis Controles
Referncias
Uso de mecanismos automticos [ Yegne swaran et al. 2004] para deteco de falhas de [ Ptacek and Newsha m 1998] funciona ment o e Re ativa o [ Dacier 2002] automtica dos elementos [ Yu e Frincke, 2004] Replicao de eleme ntos FIltrage m de tr fe go
Mascarame nto
Ofuscao
Sele o dinmica de novos eleme ntos Eleme ntos maliciosos envi am Cont role do fluxo e filtra gem da grande quant idade de dados quant idade de me nsa gens que falsos exceda m dete rminad o li mite Afeta a integridade e priva cidade Um el eme nto malic ioso pode se Autent icao mtua dos [ Yegne swaran et al. 2004] do sistema passar por um elemento eleme ntos verdadeiro Afeta o dese mpenho do sistema Eleme nto ma licioso envia Cont role do fluxo e filtra gem da [ Yegne swaran et al. 2004] grande quant idade de dados quant idade de me nsa gens que falsos para ofuscar o proce sso de exceda m dete rminad o li mite deteco Eleme nto ma licioso envia Mecanismos de correlao de pequena qua ntidade de dados dados eficientes falsos para ofuscar o proce sso de deteco Tentativa de localizao Cont role de acesso nos (scanning) furtiva ou coordenada meca nismos de registro e dos eleme ntos pesquisa para localizao dos eleme ntos Uso do maior nmero possvel de eleme ntos a fim de detec tar tentat ivas de scanning
05/09/2008
57
19
Agrupamento dos Riscos

Risco Ameaa RS1.1 Espionagem RS1.2 Espionagem RS1.3 Negao de Servio RS1.4 Negao de Servio RS1.5 Mascaramento RS1.6 Ataque de E vaso RS1.7 Ataque de Insero RS1.8 Ofuscao RS1.9 Ofuscao RS1.10 Ofuscao RS1.11 Filtragem de Alertas RS1.12 RS1.13 Comprometimento de Elementos de IDS Interrupo ou desvio de conexo (hijacking) Co mo pode ocorrer Atacantes intercep tam as mensagens de alerta trocadas entre os elementos de IDS Elementos comprometidos so usados para coletar e enviar informaes Confidencialidade sigilosas Desativao de Elementos por ataques diretos, explorando Disponibilidade vulnerabilidades Disponibilidade Elementos maliciosos en viam grande quantidade de dados falsos Integridade e Confidencialidade Um elemento malicioso pode se passar por um elemento verdadeiro O sistema alvo aceita pacotes que o IDS rejeita. Atacante envia pacotes Disponibilidade truncados ou com uma ordem trocada para iludir o sensor O IDS aceita pacotes que so rejeitados pelo sistema alvo. Atacante envia Disponibilidade pacotes diretamente ao sensor a fim de iludi-lo. Elemento malicioso envia grande quantidade de dados falsos para ofuscar Disponibilidade o processo de deteco Elemento malicioso envia pequena quantidade dados falsos para ofuscar o Disponibilidade processo de deteco Disponibilidade Tentativa de localizao (scanning) furtiva ou coordenada dos elementos Disponibilidade, In tegridade e Atacantes intercep tam mensagens com alertas sobre suas atividades, Confidencialidade descartando-as, redirecionand o-as ou alterando-as seletivamente Disponibilidade, In tegridade e Atacantes alteram o cdigo ou a configurao do elemento Confidencialidade Confidencialidade Disponibilidade, In tegridade e Atacantes intercep tam ou desviam uma conexo entre elementos de IDS Confidencialidade Conseqncias
05/09/2008
58
Agrupamento dos Controles

Item Controle CS1 Autenticao CS2 Assinatura CS3 Controle de Acesso CS4 Controle de fluxo CS5 Criptografia CS6 Deteco de falhas CS7 Filtragem de Trfego CS8 Reativao automtica Sensores baseados em aplicao CS10 Timestamps e cache CS11 Anlise de Contedo CS12 Correlao de dados CS9 Referncias Custo [Yegneswaran et al. 2004] [Demchenko et al 2005] [Yu et al., 2005] [Lindqvist and Jonsson 1998] BAIXO [Han e Zheng, 2000] [Demchenko et al 2005] [Yu et al., 2005] [Dacier 2002] BAIXO [Demchenko et al 2005] [Yu et al., 2005] [Yegneswaran et al. 2004] BAIXO [Lindqvist and Jonsson 1998] [Yegneswaran et al. 2004] [Ptacek and Newsham 1998] [Dacier BAIXO 2002] [Feiertag et al., 2000b] [Frincke, 2000] [Mell et al 2000] [Dacier 2002] [Demchenko et al 2005] [Yu et al., 2005] BAIXO [Yegneswaran et al. 2004] [Ptacek and Newsham 1998] [Dacier 2002] [Demchenko et al 2005] [Yu et al., 2005] [Feiertag et al., 2000a, 2000b] [Esfandiari e Tosic, 2004, 2005] [Wang et al., BAIXO 2004] [Yegneswaran et al. 2004] [Ptacek and Newsham 1998] [Dacier 2002] [Feiertag et al., 2000a, BAIXO 2000b] [Yegneswaran et al. 2004] [Ptacek and Newsham 1998] [Dacier 2002] [Feiertag et al., 2000a, 2000b] [Esfandiari e Tosic, 2004, 2005] [Wang et al., 2004] [Ptacek and Newsham 1998] BAIXO BAIXO
[Demchenko et al 2005] [Yu et al., 2005] BAIXO [Demchenko et al 2005] [Yu et al., 2005] MDIO [Yegneswaran et al. 2004] [Dacier 2002] MDIO [Yegneswaran et al. 2004] [Feiertag et al., 2000a, 2000b] [Esfandiari e Tosic, 2004, 2005] [Wang CS13 Distribuio de sistemas MDIO et al., 2004] CS14 Diversidade [Ptacek and Newsham 1998] MDIO CS15 Poltica de Segurana [Lindqvist and Jonsson 1998] [Feiertag et al., 2000a, 2000b] MDIO [Yegneswaran et al. 2004] [Ptacek and Newsham 1998] [Dacier 2002] [Dacier 2002] [Feiertag et CS16 Replicao MDIO al., 2000a, 2000b] [Esfandiari e Tosic, 2004, 2005] [Wang et al., 2004] CS17 Seleo dinmica [Yegneswaran et al. 2004] [Ptacek and Newsham 1998] [Dacier 2002] MDIO [Lindqvist and Jonsson 1998] [Han e Zheng, 2000] [Charfi e Mezini, 2005] [Feiertag et al., 2000a, CS18 Gerenciamento MDIO 2000b] [Demchenko et al 2005] [Yu et al., 2005] [Frincke, 2000] CS19 Uso de recursos exclusivos [Mell et al 2000] [Dacier 2002] ALTO
05/09/2008
59
Estimativa de Riscos
Dados que iro auxiliar na deciso sobre quais riscos sero tratados e as formas de tratamento com melhor eficincia de custos Todo risco tem um custo e este custo pode ser quantificado de forma mais ou menos precisa
05/09/2008
60
20
Metodologias para a Estimativa de Riscos

Qualitativa
Escala com atributos qualificadores que descrevem a magnitude das potenciais conseqncias e a probabilidade destas conseqncias ocorrerem
Quantitativa
Escala de valores numricos tanto para conseqncias, quanto para a probabilidade
Combinao de ambas
05/09/2008
61
Probabilidades
A probabilidade de um evento ocorrer durante um perodo de tempo determinado expressa por um nmero entre zero e um. Quanto maior for o perodo de tempo considerado, maior ser a probabilidade. Calculadas por meio de anlises de dados de ataques ou ameaas.
Experincias na prpria empresa Coletneas adquiridas de organizaes especializadas.
05/09/2008
62
Common Vulnerability Scoring System CVSS

Adotado pelo NIST para a classificao de vulnerabilidades no National Vulnerability Database (NVD) Permite calcular os riscos que uma vulnerabilidade inflige no ambiente real Dispensa dados estatsticos precisos sobre ataques anteriores ou anlises financeiras complexas. Aplicado ao inventrio atualizado dos ativos, sistemas e servios de TI.
05/09/2008
63
21
Metodologia do CVSS
Critrios qualitativos para a caracterizao das vulnerabilidades Trs reas:
Mtricas bsicas Mtricas temporais Mtricas ambientais
As caractersticas so valoradas e processadas para obter uma pontuao final ajustada, que ir representar as ameaas que uma vulnerabilidade apresenta em determinado instante de tempo para um ambiente especfico Pontuao entre 0 (sem riscos) e 10 (maior risco) Classificao:
Baixo: 0 3 Mdio: 4 7 Alto: acima de 7
05/09/2008
64
Mtricas Bsicas
CARACTERSTICA CLASSIFICAO Local Acesso COMPLEXIDADE Rede Adjacente Rede Remota Alta Complexidade de Acesso Mdia Baixa Mltiplas Autenticao nica Desnecessria Nenhuma Impacto na Confidencialidade Parcial Completa IMPACTO Nenhuma Impacto na Integridade Parcial Completa Nenhuma Impacto na Disponibilidade Parcial Completa PESO 0,395 0,646 1,0 0,35 0,61 0,71 0,45 0,56 0,704 0 0,275 0,660 0 0,275 0,660 0 0,275 0,660
05/09/2008
65
Complexidade
Vetor de Acesso (AV) Autenticao (AU) Complexidade de Acesso (AC) 20 * AC * AU * AV
05/09/2008
66
22
Impacto:
Confidencialidade (CI) Integridade (II) Disponibilidade (AI) 10,41 * ( 1 - (1 - CI) * (1 - II) * (1 - AI))
05/09/2008
67
Risco Bsico
( 0,6 * Impacto + 0,4 * Complexidade 1,5 ) * f(Impacto) f(Impacto), ter o valor 0 (zero) se o Impacto for igual a zero. Caso contrrio, receber o valor 1,176.
05/09/2008
68
Mtricas Temporais
CARACTERSTICA CLASSIFICAO No Comprovado Prova de Conceito Explorabilidade MTRICAS TEMPORAIS Funcional Alta No Definida Correo Oficial Correo Temporria Nvel de Remediao Contorno Sem Soluo No Definida No Confirmada No Corroborada Grau de Confiana Confirmada No Definida PESO 0,85 0,90 0,95 1,0 1,0 0,87 0,90 0,95 1,0 1,0 0,90 0,95 1,0 1,0
05/09/2008
69
23
Risco Temporal
Explorabilidade (EX), Nvel de Remediao (RL) Grau de Confiana (RC) Risco Bsico * EX * RL * RC
05/09/2008
70
Mtricas Ambientais
CARACTERSTICA CLASSIFICAO Nenhum Baixo Potencial Dano Colateral MTRICAS AMBIENTAIS Baixo a Mdio Mdio a Alto Alto No Definida Nenhum 1% a 25% Distribuio dos Alvos 26% a 75% Acima de 75% No Definida Requisitos de Confidencialidade, Integridade e Disponibilidade Baixa Mdia Alta No Definida
05/09/2008
PESO 0 0,1 0,3 0,4 0,5 1,0 0 0,25 0,75 1,0 1,0 0,5 1,0 1,51 1,0
71
Variveis das Mtricas Ambientais

Potencial Dano Colateral (CD)
Nenhum; Baixo, se h danos fsicos, perda de lucros ou de produtividade leves; de Baixo a Mdio, com danos fsicos, perda de lucros ou de produtividade moderados; de Mdio a Alto, se houver danos fsicos, perda de lucros ou de produtividade significativos; Alto, quando h a possibilidade de danos fsicos, perda de lucros ou de produtividade catastrficos.
Distribuio dos Alvos (TD)

Baixo, entre 1% e 25%; Mdia, entre 26% e 75%; Alta, acima de 75%; e Nenhum
Requisitos de Segurana
Requisito de Confidencialidade (CR) Requisito de Integridade (IR) Requisito de Disponibilidade (AR)
05/09/2008
72
24
Ajuste Temporal
Risco Temporal recalculado, substituindo o Risco Bsico pelo Impacto Ajustado Impacto Ajustado: min ( 10, 10,41 * ( 1 - (1 - CI*CR) * (1 - II*IR) * (1 - AI*AR)))
05/09/2008
73
Risco Ambiental
(( Ajuste Temporal + ( 10 - Ajuste Temporal ) * CD ) * TD )
05/09/2008
74
Exemplo: Vulnerabilidade CVE2008-1947 do Tomcat

Vetor de Acesso (AV) = Remota = 1,0 Complexidade de Acesso (AC) = Mdia = 0,61 Autenticao (AU) = Desnecessria = 0,704 Impacto na Confidencialidade (CI) = Nenhuma = 0 Impacto na Integridade (II) = Parcial = 0,275 Impacto na Disponibilidade (AI) = Nenhuma = 0 Mtricas Temporais = No Definidas = 1 Potencial Dano Colateral (CD) = Baixo = 0,1 Distribuio dos Alvos (TD) = 5% = 0,25 Requisito de Disponibilidade (AR) = Alta = 1,51 Requisito de Integridade (IR) = Alta = 1,51 Requisito de Confidencialidade (CR) = Alta = 1,51
05/09/2008
75
25
Clculo do Risco Bsico

Impacto
10,41 * ( 1 - (1 - CI) * (1 - II) * (1 - AI)) = 10,41 * ( 1 - (1 - 0) * (1 - 0,275) * (1 - 0)) = 2,9
Complexidade
20 * AC * AU * AV = 20 * 1 * 0,61 * 0,704 = 8,6
Risco Bsico
( 0,6 * Impacto + 0,4 * Complexidade - 1,5 ) * f(Impacto) = (0,6 * 2,86 + 0,4 * 8,6 - 1,5) * 1,176 = 4,3
Risco Bsico Mdio

05/09/2008
76
Clculo do Risco Temporal

Impacto Ajustado
min(10, 10,41 * ( 1 - (1 - CI*CR) * (1 - II*IR) * (1 - AI*AR))) = min(10, 10,41 * ( 1 - (1 - 0 * 1,51) * (1 - 0,275 * 1,51) * (1 - 0 * 1,51))) = 4,3
Risco Bsico Ajustado

(0,6 * 4,3 + 0,4 * 8,6 - 1,5) * 1,176 = 5,3
Risco Temporal
Risco Bsico * EX * RL * RC = 5,3 * 1 * 1 * 1 = 5,3
Risco Temporal Mdio

05/09/2008
77
Clculo do Risco Ambiental

Risco Ambiental
(( Ajuste Temporal + ( 10 - Ajuste Temporal ) * CD ) * TD ) = (( 5,3 + ( 10 - 5,3) * 0,1) * 0,25 ) = 1,4
Risco Ambiental Baixo
05/09/2008
78
26
Distribuio das Vulnerabilidades do Tomcat

22 20 18 16
Vulnerabilidades
14 12 10 8 6 4 2 2 1 0 2 0 1 1 2000 2001
9 0 3
2002
15 4 0 3
2003
8
2004
0 1
Baixo Mdio Alto
0 2005
Ano
2006
1 1 1
5 2
2007 2008
05/09/2008
79
Nveis de Risco de Segurana

Item 1.1 1.2 1.3 1.4 1.5 1.6 1.7 1.8 1.9 1.10 1.11 1.12 1.13 Acesso REMOTO LOCAL REMOTO REMOTO LOCAL REMOTO REMOTO REMOTO REMOTO REMOTO REMOTO LOCAL REMOTO Complexidade de Acesso BAIXA ALTA BAIXA BAIXA ALTA BAIXA BAIXA BAIXA BAIXA BAIXA ALTA ALTA ALTA Autenticao DESNECESSRIA NICA DESNECESSRIA DESNECESSRIA NICA DESNECESSRIA DESNECESSRIA DESNECESSRIA DESNECESSRIA DESNECESSRIA DESNECESSRIA NICA DESNECESSRIA Impacto na Confidencialidade COMPLETA COMPLETA NENHUMA NENHUMA COMPLETA NENHUMA NENHUMA NENHUMA NENHUMA NENHUMA COMPLETA COMPLETA COMPLETA Impacto na Integridade NENHUMA NENHUMA PARCIAL NENHUMA PARCIAL NENHUMA NENHUMA NENHUMA NENHUMA NENHUMA COMPLETA COMPLETA COMPLETA Impacto na Disponibilidade NENHUMA NENHUMA COMPLETA COMPLETA NENHUMA PARCIAL PARCIAL PARCIAL PARCIAL PARCIAL PARCIAL COMPLETA COMPLETA Score 7,8 3,8 8,5 7,8 4,5 5,0 5,0 5,0 5,0 5,0 7,3 6,0 7,6 Nvel de Risco ALTO BAIXO ALTO ALTO MDIO MDIO MDIO MDIO MDIO MDIO ALTO MDIO ALTO
05/09/2008
80
Avaliao de Riscos
Tomar decises Resultados da anlise de risco
Identificao Estimativa de Riscos
Consideraes
Propriedades Importncia para o negcio ou projeto Custo-benefcio
Ao trmino da avaliao verificado se seu resultado satisfatrio

05/09/2008
81
27
Nveis de Risco Iniciais

ALTO: 69%
BAIXO: 6%
MDIO: 25%
05/09/2008
82
Tratamento do Risco
Identificao de opes de tratamento Avaliao das opes Preparao para a implementao dos tratamentos selecionados Lista de riscos ordenados por prioridade Opes de tratamento
Reduo Reteno Evitao Transferncia
Riscos residuais
05/09/2008
83
Riscos Tratados
Risco Controles
Acesso LOCAL REMOTO LOCAL REMOTO REMOTO REMOTO REMOTO REMOTO LOCAL REMOTO REMOTO REMOTO REMOTO REMOTO REMOTO REMOTO REMOTO REMOTO LOCAL REMOTO
Complexidade de Acesso ALTA ALTA ALTA BAIXA BAIXA BAIXA BAIXA BAIXA ALTA ALTA ALTA ALTA ALTA BAIXA ALTA ALTA ALTA ALTA ALTA ALTA
Autenticao NICA NICA NICA DESNECESSRIA DESNECESSRIA DESNECESSRIA DESNECESSRIA DESNECESSRIA NICA DESNECESSRIA DESNECESSRIA DESNECESSRIA DESNECESSRIA DESNECESSRIA DESNECESSRIA NICA DESNECESSRIA NICA NICA DESNECESSRIA
Im pacto na Confidencialidade NENHUMA NENHUMA PARCIAL NENHUMA NENHUMA NENHUMA NENHUMA NENHUMA COMPLETA NENHUMA NENHUMA NENHUMA NENHUMA NENHUMA NENHUMA NENHUMA NENHUMA PARCIAL PARCIAL NENHUMA
Impacto na Integridade NENHUMA NENHUMA NENHUMA NENHUMA NENHUMA NENHUMA NENHUMA NENHUMA PARCIAL NENHUMA NENHUMA NENHUMA NENHUMA NENHUMA NENHUMA NENHUMA NENHUMA NENHUMA NENHUMA PARCIAL
Impacto na Escore Disponibilidade NENHUMA NENHUMA NENHUMA PARCIAL PARCIAL PARCIAL PARCIAL PARCIAL NENHUMA PARCIAL PARCIAL PARCIAL PARCIAL PARCIAL PARCIAL PARCIAL PARCIAL NENHUMA PARCIAL PARCIAL 0,0 0,0 1,0 5,0 5,0 5,0 5,0 5,0 4,5 2,6 2,6 2,6 2,6 5,0 2,6 2,1 2,6 2,1 2,4 4,0
Nvel de Risco BAIXO BAIXO BAIXO MDIO MDIO MDIO MDIO MDIO MDIO BAIXO BAIXO BAIXO BAIXO MDIO BAIXO BAIXO BAIXO BAIXO BAIXO MDIO
1.1 1.1 1.2 1.3 1.3 1.3 1.3 1.4 1.5 1.6 1.6 1.7 1.7 1.8 1.9 1.10 1.10 1.11 1.12 1.13
C19 C5 C4 C6 + C8 C16 C7 C17 C4 C1 C9 C14 C9 C14 C4 C12 C3 C13 C2 + C5 C16 C5
05/09/2008
84
28
Avaliao e Seleo dos Tratamentos de Segurana

Risco 1.1 1.1 1.2 1.3 1.3 1.3 1.3 1.4 1.5 1.6 1.6 1.7 1.7 1.8 1.9 1.10 1.10 1.11 1.12 1.13 Controles C19 C5 C4 C6 + C8 C16 C7 C17 C4 C1 C9 C14 C9 C14 C4 C12 C3 C13 C2 + C5 C16 C5 Escore Original 7,8 7,8 3,8 8,5 8,5 8,5 8,5 7,8 4,5 5 5 5 5 5 5 5 5 7,3 6 7,6 Escore Tratado 0,0 0,0 1,0 5,0 5,0 5,0 5,0 5,0 4,5 2,6 2,6 2,6 2,6 5,0 2,6 2,1 2,6 2,1 2,4 4,0 Nvel de Risco Original ALTO ALTO BAIXO ALTO ALTO ALTO ALTO ALTO MDIO MDIO MDIO MDIO MDIO MDIO MDIO MDIO MDIO ALTO MDIO ALTO Nvel de Risco Tratado BAIXO BAIXO BAIXO MDIO MDIO MDIO MDIO MDIO MDIO BAIXO BAIXO BAIXO BAIXO MDIO BAIXO BAIXO BAIXO BAIXO BAIXO MDIO Custo ALTO BAIXO BAIXO BAIXO MDIO BAIXO MDIO BAIXO BAIXO BAIXO MDIO BAIXO MDIO BAIXO MDIO BAIXO MDIO BAIXO MDIO BAIXO Aplicao No Sim Sim Sim No Sim No Sim Sim Sim No Sim No Sim No Sim No Sim Sim Sim
05/09/2008
85
Aceitao do Risco
Anlise do risco residual Registro formal e responsabilizao Resultados nem sempre satisfatrios Fatores como tempo e custos podem justificar a aceitao dos riscos
05/09/2008
86
Comparativo dos Nveis de Risco de Segurana

100,00% 90,00% 80,00% 70,00% 60,00% 50,00% 40,00% 30,00% 20,00% 10,00% 0,00%
0 14 25
22
Riscos Originais Alto Mdio Baixo
2
Riscos Tratados
05/09/2008
87
29
Monitoramento e Anlise Crtica dos Riscos

Os riscos no so estticos Monitorao para verificar a eficcia das estratgias de implementao e mecanismos de gerenciamento utilizados no tratamento dos riscos Processo contnuo e dinmico Mudanas organizacionais ou externas
Alteram o contexto da anlise Reviso completa da gesto de riscos
Revises peridicas
05/09/2008
88
Consideraes sobre o Estudo de Caso

Identificao de riscos nas composies de IDSs; Anlise e avaliao dos riscos de segurana; Tratamentos para riscos operacionais discutidos na literatura cientfica; Identificao de riscos e tratamentos associados a IDSs distribudos; Identificao de riscos e tratamentos associados ao uso de COTS; e Identificao de riscos e tratamentos associados composio dinmica de IDSs. A gesto de riscos tambm pode ser aplicada em outras etapas do projeto, como na avaliao dos produtos utilizados no desenvolvimento do prottipo.
05/09/2008
89
Concluses
Com a utilizao da metodologia de gesto de riscos, espera-se a identificao e o tratamento da maioria das vulnerabilidades conhecidas e pertinentes s solues adotadas em um projeto de Tecnologia da Informaes. Isso sem dvida auxilia no entendimento dos problemas de segurana que seriam enfrentados, tendo como conseqncia a melhoria do projeto como um todo. Infelizmente, no possvel garantir que o projeto seja totalmente seguro. Contudo, podemos afirmar que, com a realizao de boas prticas de gesto de risco, so tomadas todas as medidas preventivas necessrias atenuao do impacto negativo que possveis vulnerabilidades infringiriam ao projeto.
05/09/2008
90
30
Contatos:
Jos Eduardo Malta de S Brando
je.brandao@ipea.gov.br
Joni da Silva Fraga

fraga@das.ufsc.br
05/09/2008
91
31

Gestão de Riscos

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Gestão de Riscos

Transféré par

Droits d'auteur :

Formats disponibles

Gesto de Riscos de Segurana

Jos Eduardo Malta de S Brando Joni da Silva Fraga

SBSeg 2008 - Gesto de Riscos de Segurana

Jos Eduardo M. S. Brando / Joni S. Fraga

SBSeg 2008 - Gesto de Riscos de Segurana

Jos Eduardo M. S. Brando / Joni S. Fraga

SBSeg 2008 - Gesto de Riscos de Segurana

Jos Eduardo M. S. Brando / Joni S. Fraga

SBSeg 2008 - Gesto de Riscos de Segurana

Jos Eduardo M. S. Brando / Joni S. Fraga

SBSeg 2008 - Gesto de Riscos de Segurana

Por que Gerenciar Riscos ?

Jos Eduardo M. S. Brando / Joni S. Fraga

SBSeg 2008 - Gesto de Riscos de Segurana

Quando Gerenciar os Riscos ?

Jos Eduardo M. S. Brando / Joni S. Fraga

SBSeg 2008 - Gesto de Riscos de Segurana

Jos Eduardo M. S. Brando / Joni S. Fraga

SBSeg 2008 - Gesto de Riscos de Segurana

Jos Eduardo M. S. Brando / Joni S. Fraga

SBSeg 2008 - Gesto de Riscos de Segurana

Jos Eduardo M. S. Brando / Joni S. Fraga

SBSeg 2008 - Gesto de Riscos de Segurana

Jos Eduardo M. S. Brando / Joni S. Fraga

SBSeg 2008 - Gesto de Riscos de Segurana

Jos Eduardo M. S. Brando / Joni S. Fraga

SBSeg 2008 - Gesto de Riscos de Segurana

Jos Eduardo M. S. Brando / Joni S. Fraga

SBSeg 2008 - Gesto de Riscos de Segurana

Jos Eduardo M. S. Brando / Joni S. Fraga

SBSeg 2008 - Gesto de Riscos de Segurana

Jos Eduardo M. S. Brando / Joni S. Fraga

SBSeg 2008 - Gesto de Riscos de Segurana

Principais Padres Relacionados Gesto de Riscos

Jos Eduardo M. S. Brando / Joni S. Fraga

SBSeg 2008 - Gesto de Riscos de Segurana

Melhores Prticas em SGI

Jos Eduardo M. S. Brando / Joni S. Fraga

SBSeg 2008 - Gesto de Riscos de Segurana

Famlia de Normas ISO 27000

Jos Eduardo M. S. Brando / Joni S. Fraga

SBSeg 2008 - Gesto de Riscos de Segurana

Norma ISO 27000

Jos Eduardo M. S. Brando / Joni S. Fraga

SBSeg 2008 - Gesto de Riscos de Segurana

Norma ISO 27001

Jos Eduardo M. S. Brando / Joni S. Fraga

SBSeg 2008 - Gesto de Riscos de Segurana

Norma ISO 27002

Jos Eduardo M. S. Brando / Joni S. Fraga

SBSeg 2008 - Gesto de Riscos de Segurana

Norma ISO 27003

Jos Eduardo M. S. Brando / Joni S. Fraga

SBSeg 2008 - Gesto de Riscos de Segurana

Norma ISO 27004

Jos Eduardo M. S. Brando / Joni S. Fraga

SBSeg 2008 - Gesto de Riscos de Segurana

Norma ISO 27006

Jos Eduardo M. S. Brando / Joni S. Fraga

SBSeg 2008 - Gesto de Riscos de Segurana

Norma ISO 27007

Jos Eduardo M. S. Brando / Joni S. Fraga

SBSeg 2008 - Gesto de Riscos de Segurana