Saturday, January 22, 2011

Risco, Vulnerabilidade, Ameaça e Impacto


[ Definição ]


Fonte dos conceitos abaixo: NIST SP 800-30 (tradução livre: Sandro Süffert).
  • Risco: probabilidade de uma fonte de ameaça explorar uma vulnerabilidade, resultando em um impacto para a organização;
  • Vulnerabilidade: falha ou fraqueza de procedimento, design, implementação, ou controles internos de um sistema que possa ser acidentamente ou propositalmente explorada, resultando em uma brecha de segurança ou violação da política de segurança do sistema;
  • Ameaça: possibilidade de um agente (ou fonte de ameaça) explorar acidentamente ou propositalmente umavulnerabilidade específica;
  • fonte de Ameaça: ou (1) uma intenção e método objetivando a exploração de uma vulnerabilidade ou (2) uma situação e método que pode acidentalmente disparar uma vulnerabilidade;
  • Análise de Ameaças: verificação das fontes de ameaça versus vulnerabilidades, para determinar as ameaças de um sistema em particular em um ambiente operacional particular.



[ Update - 26/01/2011 ]



Este update é só para sumarizar a importância de se conhecer o inimigo, com uma citação do General Sun Tzu (~ ano 400 AC):


"Se você conhece o inimigo e conhece a si mesmo, não precisa temer o resultado de cem batalhas. Se você se conhece mas não conhece o inimigo, para cada vitória ganha sofrerá também uma derrota. Se você não conhece nem o inimigo nem a si mesmo, perderá todas as batalhas"



[ Update - 22/01/2011 ]



O "Gerenciamento do Risco" deve ser acompanhado por um Confrontamento das Ameaças reais.

Gerenciar o risco sem conhecer (ou sem se importar em conhecer) as ameaças é pouco eficiente - mas infelizmente esta atividade pode manter uma equipe ou uma empresa ocupada tempo suficiente preenchendo formulários e checklists de forma que não seja necessário se ocupar em conhecer mais profundamente os problemas reais (tecnológicos, processuais ou pessoais) que afetam e fragilizam a organização.

Adivinhe: isto é tudo que as ameaças reais (insiders, competidores, crackers contratados, espiões, fraudadores,funcionários insatisfeitos,..) precisam para ficar sob o radar.

Em outras palavras, não basta usar sistemas contendo fórmulas (batidas ou mágicas) para mensurar o "Risco" e assim decidir o investimento em ações de proteção e detecção do seu programa de segurança.

Fred Cohen - citado recentemente por Richard Bejtlich, define esta questão de uma forma interessante: "Risk management: a guess multiplied by an approximation, taken to the power of an expert opinion."

Ou seja, costuma ser um bom começo.. pena que muitas empresas param por aí. Uma análise de risco super bem feita - com as melhores contramedidas a postos - não vai evitar que as "ameaças explorem as vulnerabilidades e resultem em impactos" muitas vezes não imaginados ou calculados anteriormente.

Por mais que você invista em prevenção e detecção, incidentes/fraudes/crimes continuarão ocorrendo.

Isto é verdade especialmente se a empresa não responde adequadamente aos incidentes por não possuir visibilidade real do que ocorre em sua rede e em seu negócio. Mais uma vez bato na mesma tecla - o FOCO deve estar na AMEAÇA..

Você precisa estar preparado para reagir e estudar o modus operandi dos seus adversários, e desta forma se posicionar melhor e investir de forma inteligente na prevenção e detecção, inclusive..

Organizar um time de Resposta a Incidentes (CSIRT/ETIR) eficiente, com foco no risco ao negócio e que interaja com as áreas clientes da empresa (Auditoria, TI, Inspetoria, Anti-Fraude, Compliance, RH, etc..) não é tarefa fácil. Mas isto proporcionará a médio prazo um foco na ameaça ao negócio, o que a faz perder dinheiro, informação - e assim perder valor de mercado, ser menos competitiva, etc..

É uma situação muito interessante, a do "Incident Responder" - ele sempre começa perdendo - e somente às vezes sai ganhando.. É impossível prever todos os possíveis vetores de ataque dentro dada a alta complexidade e conectividade de uma organização moderna - a vantagem do ataque sobre a defesa é imensa e você sempre vai perder antes de ganhar. Talvez o único jeito de ganhar é passar a perceber as reais ameaças, reagir a elas, e contra-atacar (na justiça, de preferência).

Tratar os incidentes de segurança que afetam o negócio (levando-os ou não à justiça) é o que proporcionará ao CSIRT e à empresa o conhecimento das intenções, oportunidades e capacidades de seus verdadeiros adversários (ameaças). A maioria das empresas que não está em verticais com riscos financeiros mais explícitos (Financeiro/Telecom) precisa passar por um incidente sério para começar a se mover neste sentido. Quem nunca viu isto acontecer?
  • O que promove mais a Segurança da Informação, a Sarbanes Oxley, o PCI ou um concorrente roubando informações estratégicas que podem levar a empresa à falência?
  • O que melhora a capacidade de detecção de incidentes, normas governamentais - por mais bem estruturadas que sejam - ou a perda de confidencialidade de dados sensíveis como nos recentes envolvendo o Wikileaks?
  • O que motiva investimentos contínuos em defesa cibernética de infraestruturas críticas, regras escritas e controle de acesso de classe militar ou reagir à possibilidade de ameaças como o StuxNet?
Aos interessados que chegaram até aqui, recomendo uma excelente abordagem dos aspectos econômicos/comportamentais dos criminosos cibernéticos postada hoje por Craig Wright - Criminal Specialization as a corollary of Rational Choice. <= Food for Tought

Para o desdobramento dos componentes da Ameaça, continue lendo abaixo..

[ Update - 14/10/2009 ]

Novo post da série sobre "Security Intelligence" no blog do SANS - desta vez tratando de conceitos como indicadores de ataque, comportamento dos adversários, progressão do ataque (aka kill chain) - leitura recomendada!


[ Update - 23/08/2009 ]

Uma série de posts de Michael Cloppert estão introduzindo o assunto "Security Intelligence".

Ele define alguns termos interessantes (além dos já expostos neste post) . Por exemplo, ele apresenta os seguintes sub-conceitos da Ameaça:

Intenção: tende a ser dependente de indústria. Roubo de dados, por exemplo. Não pode ser influenciado por ações de Segurança.

Oportunidade: timing apropriado e conhecimento do alvo.

Capacidade: é a habilidade financeira, humana e técnica de alcançar o objetivo de ataque e aproveitar a oportunidade.

[ Post Original - 07/06/2009 ]


Em uma conversa recente com um cliente sobre atividades de 'Análise de Risco', percebi que os conceitos de Risco, Vulnerabilidade, Ameaça e Impacto ainda confundem muita gente experiente na área de Segurança da Informação.

Este post tem a intenção de apresentar estes conceitos e propor uma abordagem que considero ideal para abordar este desafio em uma empresa.

Fonte dos conceitos abaixo:
NIST SP 800-30 (tradução livre minha).
  • Risco: probabilidade de uma fonte de ameaça explorar uma vulnerabilidade, resultando em um impacto para a organização;
  • Vulnerabilidade: falha ou fraqueza de procedimento, design, implementação, ou controles internos de um sistema que possa ser acidentamente ou propositalmente explorada, resultando em uma brecha de segurança ou violação da política de segurança do sistema;
  • Ameaça: possibilidade de um agente (ou fonte de ameaça) explorar acidentamente ou propositalmente uma vulnerabilidade específica;
  • fonte de Ameaça: ou (1) uma intenção e método objetivando a exploração de uma vulnerabilidade ou (2) uma situação e método que pode acidentalmente disparar uma vulnerabilidade;
  • Análise de Ameaças: verificação das fontes de ameaça versus vulnerabilidades, para determinar as ameaças de um sistema em particular em um ambiente operacional particular.
A execução apropriada de uma "classificação dos ativos" seguida de uma "análise de risco" real em uma organização complexa é uma tarefa intangível - para não dizer impossível - dada a quantidade de fatores desconhecidos na equação de risco. É verdade que normalmente isto leva a estimativas que ficam bonitas em relatórios e dashboards e powerpoints..

Dito isto, acredito que uma abordagem de tratamento ou análise de ameaças é mais efetivo quando executado apropriadamente pelo time de Segurança de Informações - isto envolve várias ações:
  • A detecção e mitigação das vulnerabilidades presentes em sistemas críticos é o mínimo a ser feito.
  • O histórico dos incidentes tratados (post-mortem...), as ações tomadas contra as fontes de ameaça identificadas e o entendimento e mitigação de seu modus operandi são fundamentais.
  • O envolvimento com outras áreas da empresa que lidam com Risco da Tecnologia ou da Informação é primordial
  • O constante convencimento da importância em diminuir o esforço e foco nas vulnerabilidades (O COMO) e atacar de frente as ameaças (O QUEM - veja este excelente post do Richard Beijtlich sobre o assunto) - incluindo a penalização interna (RH) ou envolvimento do Jurídico para ações externas.
  • A empresa somente é capaz de responder adequadamente quando se esforça em conhecer progressivamente todos os fatores desta equação: que vulnerabilidades possui, a que ameaças está suscetível, quais agentes estão envolvidos e qual são os impactos históricos e possíveis da exploração destas ameaças.
  • Isto não acontece magicamente quando apenas os aspectos tecnológicos de vulnerabilidades ou uma "análise de risco" tradicional é executada por esforços isolados da área de Segurança da Informação (com tradicionais cobranças eventuais das áreas de Compliance e Auditoria).
Para uma abordagem realista e eficiente dos desafios de segurança da informação para os negócios da empresa exige uma abordagem ampla com foco nas ameaças. Por experiência própria, isto funciona melhor quando é institucionalizado um fórum inter-departamental com um grupo de trabalho técnico e outro executivo.

A frequência recomendada é de um dia inteiro por semana e as possíveis áreas envolvidas são: Segurança da Informação, Risco, Auditoria, Compliance, Governança, Anti-Fraude, Segurança Empresarial, Jurídico e Recursos Humanos. Se você acha isto intangível na sua organização, comece com uma hora por semana com 2 ou 3 das áreas citadas..

Com esta linha em ação, é possível mover a Segurança da Informação da sua função tradicional (FW,IDS,AV,Controle de Acesso,...) e trazê-la para um campo estratégico de proteção dos
interesses da empresa/órgão de seus adversários e ameaças reais.

Observação: este é um dos posts mais acessados através de pesquisas no google (pelos termos que compõem o título do artigo)

No comments:

Post a Comment

Labels

forense (50) resposta a incidentes (40) segurança em profundidade (27) vulnerabilidade (26) treinamento (22) cyberwar (18) conferência (16) forense de memória (15) hackers (15) malware (15) blogs (14) vazamento de informações (13) windows (13) china (11) criptografia (11) ddos (11) dns (11) google (11) microsoft (11) ferramenta (10) memoria (10) botnet (9) csirt (9) exploit (9) forense de disco (9) forense de rede (9) ftk (9) legislação (9) phishing (9) 0-day (8) NIST (8) accessdata (8) encase (8) evento (8) linux (8) negação de serviço (8) netwitness (8) sans (8) volatility (8) cert.br (7) correlacionamento (7) desafios (7) ferramentas (7) forense corporativa (7) kaspersky (7) livros (7) pci (7) twitter (7) usa (7) APURA (6) Guidance Software (6) espionagem industrial (6) governo (6) iccyber (6) internet explorer (6) metasploit (6) monitoração (6) pageviews (6) privacidade (6) techbiz (6) 0day (5) CDCiber (5) blackhat (5) brasil (5) dlp (5) falha (5) fbi (5) ids (5) inteligencia (5) memoryze (5) modelagem de ameaças (5) métricas (5) patch (5) pdf (5) policia federal (5) python (5) registry (5) richard bejtlich (5) rsa (5) segurança de rede (5) siem (5) skype (5) CyberCrime (4) Enscript (4) algoritmo (4) android (4) anti-forense (4) anti-virus (4) arcsight (4) auditoria (4) backtrack (4) campus party (4) ccc (4) certificação digital (4) ciberespionagem (4) defacement (4) firefox (4) fud (4) mandiant (4) md5 (4) nsa (4) online (4) pentest (4) programação (4) safe browsing (4) sandbox (4) slowloris (4) ssl (4) storm worm (4) stuxnet (4) trojan (4) wikileaks (4) windows7 (4) .gov (3) adobe reader (3) ameaça (3) backdoor (3) blackberry (3) ceic (3) chrome (3) ciberguerra (3) cloud (3) conscientização (3) crackers (3) cymru (3) dan geer (3) defesa (3) drive-by (3) engenharia social (3) enisa (3) estatísticas (3) evidence (3) exploit kit (3) fast flux (3) forense digital (3) gsi (3) hardware (3) htcia (3) https (3) imperva (3) intel (3) ips (3) java (3) live cd (3) logs (3) man in the middle (3) networkminer (3) perícia digital (3) processo (3) ransomware (3) registro (3) reportagem (3) revista (3) risco (3) secunia (3) segurança (3) shodan (3) sox (3) sql injection (3) truecrypt (3) verizon (3) virus (3) vista (3) voip (3) .mil (2) BSIMM (2) Encase Enterprise (2) JDFSL (2) TPM (2) Virustotal (2) XSS (2) aduc (2) amazon (2) apache (2) apple (2) autenticação (2) bloqueador de escrita (2) breno silva (2) bruce schneier (2) bundestrojaner (2) cache poisoning (2) caine (2) carders (2) carnegie mellon (2) carolina dieckmann (2) carving (2) censura (2) cipav (2) cofee (2) coldboot (2) comodogate (2) conficker (2) consciência situacional (2) cooperação (2) core (2) cucko´s egg (2) cuda (2) cyberwarfare (2) database security (2) digital intelligence (2) direito digital (2) dnschanger (2) dpf (2) dsic (2) engenharia elétrica (2) engenharia reversa (2) etir (2) expressões regulares (2) f-response (2) finfisher (2) fingerprinting (2) flash (2) ftkimager (2) full disclosure (2) fuzzy (2) gsm (2) hacktivismo (2) hbgary (2) heap spray (2) iOS (2) immunity (2) impacto (2) insecure magazine (2) insiders (2) interceptação (2) iphone (2) irc (2) irã (2) jaquith (2) loic (2) mac (2) mastercard (2) mestrado (2) mobile (2) ms08-067 (2) openioc (2) openssl (2) otan (2) palantir (2) paypal (2) pcap (2) pdgmail (2) portugal (2) presidência (2) prisão (2) proxies (2) ptfinder (2) rbn (2) recompensa (2) recuperação (2) regripper (2) relatório (2) resumo (2) rio de janeiro (2) ross anderson (2) russia (2) securid (2) segurança por obscuridade (2) shell (2) sift (2) snort (2) snowden (2) sorteio (2) spam (2) spyeye (2) sql (2) ssd (2) stealth (2) suricata (2) sysinternals (2) tecnologia (2) tools (2) trend micro (2) unb (2) usb (2) virtualização (2) visa (2) waf (2) winen (2) wireless (2) worm (2) wpa (2) wpa2 (2) xry (2) zeus (2) .edu (1) .pac (1) 3g (1) ABNT (1) AR-Drone (1) AppleGate (1) Asterisk (1) Audit Viewer (1) BIOS (1) CCDCOE (1) CEF (1) CERT (1) CSI Cyber (1) CarbonBlack (1) Craig Wright (1) DC3 (1) Diginotar (1) Dilma (1) DoD (1) FACE (1) FRED (1) Facebook (1) Fred Cohen (1) GPU (1) Gene Spafford (1) HP (1) ICOFCS (1) ICS (1) IDMEF (1) IJDCF (1) IJDE (1) IJOFCS (1) INFOSEG (1) IODEF (1) IPv6 (1) ISO (1) MAEC (1) MCT (1) MMEF (1) Michael Cloppert (1) Ministério da Defesa (1) Netwtiness (1) OVAL (1) PL84/99 (1) RH2.5 (1) RNP (1) SDDFJ (1) SbSeg (1) Seccubus (1) Stratfor (1) TED (1) TJX (1) Tallinn (1) USCyberPatriot (1) USSTRATCOM (1) VERIS (1) VRT (1) WPS (1) WiPhire (1) Wifi Protected Setup (1) XMLHttpRequest (1) YARA (1) a5/1 (1) a5/3 (1) active defense (1) adeona (1) adhd (1) adobe flash (1) aes (1) afflib (1) akamai (1) alemanha (1) ambev (1) anti-theft (1) antisec (1) anubisnetworks (1) apt (1) apwg (1) aquisição (1) arbor (1) armoring (1) artefatos (1) artillery (1) asprox (1) assinaturas (1) atenção seletiva (1) attack (1) aurora (1) australia (1) autonomous systems (1) avg (1) avi rubin (1) avware (1) awards (1) baixaki (1) bbc (1) bear trap (1) belkasoft (1) bgp (1) birthday attack (1) bitlocker (1) black tulip (1) blackhat seo (1) blacklist (1) blind sql injection (1) bluepex (1) bluepill (1) breaking point (1) bulk_extractor (1) byod (1) c2c (1) capacidade (1) carbon black (1) careto (1) carnivore (1) cbs (1) cellebrite (1) celular (1) centera (1) cerberus (1) certificações (1) cheat sheet (1) chris paget (1) chromium (1) citrix (1) clean pipe (1) cliff stoll (1) cloudfare (1) cloudflare (1) cloudshield (1) cnasi (1) cnet (1) cnn (1) codenomicon (1) coleta (1) comodo (1) comodobr (1) compliance (1) comsic (1) convenção de budapeste (1) convergence (1) copa do mundo (1) corey johnson (1) cpbr (1) crime na rede (1) crise (1) cristine hoepers (1) cuckoo (1) cyberattack (1) cyberbunker (1) daemonlogger (1) dam (1) dancho danchev (1) darkmarket (1) dcom (1) decaf (1) decaf v2 (1) decloack (1) deepweb (1) defcon (1) deutche telekom (1) dfrws (1) digitask (1) dimmit (1) diário oficial (1) dnsbl (1) dnssec (1) dou (1) downadup (1) drdos (1) drwxr (1) dsd (1) dumpcap (1) dumpit (1) duqu (1) e-evidence (1) ediscovery (1) eff (1) elcomsoft (1) emc (1) emprego (1) energia (1) enigma (1) entrevista (1) escola nacional de defesa cibernetica (1) eset (1) esteganografia (1) estonia (1) etld (1) eventos (1) evil maid (1) evilgrade (1) exercito (1) exploit-db (1) extorsão (1) f-secure (1) falso positivo (1) fantastico (1) fatal error (1) fecomercio (1) fernando carbone (1) ff4 (1) finlândia (1) firmware (1) flame (1) flexispy (1) foremost (1) forense de vídeo (1) forensic focus (1) forensic magazine (1) forensics.wiki.br (1) forensicswiki (1) força bruta (1) fraude (1) full disk encryption (1) g1 (1) gauss (1) gcih (1) ghostnet (1) globo (1) gmail (1) gpcode (1) gpl (1) gps (1) grampo (1) guardium (1) guerra (1) guilherme venere (1) hackerazzi (1) hackingteam (1) hakin9 (1) hardening (1) harlan carvey (1) hash (1) helix (1) hitler (1) holanda (1) honeynet (1) honeypot (1) hope (1) hosts (1) hotmail (1) httpry (1) iPhoneTracker (1) idefense (1) ig (1) impressoras (1) india (1) info exame (1) insecure maganize (1) intenção (1) interpol (1) into the boxes (1) investimento (1) ioerror (1) iphone forensics (1) ironport (1) isc2 (1) israel (1) j2ee (1) jacomo dimmit (1) jailbreak (1) javascript (1) jesse kornblum (1) jotti (1) junho 2008 (1) kaminsky (1) kasumi (1) kgb (1) kits (1) klaus steding-jessen (1) kntools (1) kraken (1) langner (1) lime (1) limites (1) lista (1) lm (1) locaweb (1) lockheed martin (1) lynis (1) lógica (1) mac memory reader (1) mac memoryze (1) macosx (1) magic lantern (1) map (1) marcapasso (1) marcelo caiado (1) marcos ferrari (1) mawlare (1) mbr (1) mcafee (1) mcgraw (1) memscript (1) metasploitable (1) mindmap (1) mit (1) mitigação (1) mitm (1) moonsols (1) moxie (1) mrtg (1) ms08-033 (1) nac (1) nessus (1) netcontinuum (1) netflow (1) networking (1) ngrep (1) nit (1) nmap (1) norma (1) norse (1) notebook (1) ntlm (1) ntop (1) ntp (1) nuclear (1) obama (1) oi (1) oisf (1) oiss (1) olimpiadas (1) openbts (1) openvas (1) oportunidade (1) oracle (1) orkut (1) otp (1) owasp (1) packers (1) panda (1) pattern matching (1) payback (1) pcre (1) pedofilia (1) pentesting (1) perforce (1) pericia (1) perl (1) perícia (1) pfsense (1) pgp disk (1) phonecrypt (1) pki (1) ploks (1) poisoning attack (1) policia civil (1) polypack (1) port knocking (1) português (1) post-mortem (1) postgres (1) prefeitura (1) premiação (1) preparação (1) princeton (1) provedores (1) ps3 (1) psn (1) psyb0t (1) pushpin (1) pwn2own (1) pymail (1) quebra de sigilo (1) r2d2 (1) rainbow tables (1) rar (1) realengo (1) reação (1) record (1) referência (1) regex (1) registry viewer (1) remnux (1) renato maia (1) renault (1) reversing labs (1) roi (1) rootkit (1) router (1) rpc (1) ruby (1) sanitização (1) santoku (1) sc magazine (1) scada (1) scanner (1) scm (1) secerno (1) second life (1) security (1) securityonion (1) senasic (1) sentrigo (1) sep (1) sequestro de dados (1) sha1 (1) shadowserver (1) shmoocon (1) siemens (1) sites (1) skorobogatov (1) slideshare (1) smartcard (1) snapcell (1) software (1) sony (1) sotirov (1) sp (1) spamhaus (1) spidertrap (1) spoofing (1) squid (1) sri (1) ssdeep (1) sseguranca (1) sslstrip (1) sting (1) stj (1) street view (1) sucuri (1) superinteressante (1) são paulo (1) t-mobile (1) takedown (1) teamcymru (1) technosecurity (1) telefônica (1) terra (1) terrorismo (1) timeline (1) tizor (1) tls (1) token (1) topcell gsm (1) tresor (1) trustwave (1) tse (1) turquia (1) txtBBSpy (1) umass (1) unix (1) urna eletrônica (1) us-cert (1) usenix (1) userassist (1) vazamentos (1) venda de senhas (1) venere (1) verdasys (1) verisign (1) videntifier (1) visualização (1) visualize (1) vivo (1) vm (1) votação (1) vulnerability (1) wargaming (1) wasc (1) web 2.0 (1) weblabyrinth (1) websense (1) whitelisting (1) whois (1) wigle (1) win32dd (1) winacq (1) windbg (1) windd (1) winifixer (1) wipe (1) wired (1) wireshark (1) wlan (1) wordpress (1) wrf (1) xerxes (1) xp (1) zdi (1) zlob (1)