Leis e regulamentos que regem a Ciber-segurança

As medidas técnicas juntamente com as medidas organizacionais são os elementos básicos das medidas de segurança. Enquanto as medidas organizacionais se concentram principalmente no estabelecimento de regras e políticas numa organização, as medidas técnicas concentram-se principalmente em regras para a criação de sistemas e serviços de informação e comunicação.

No âmbito de medidas técnicas individuais, serão também demonstradas possíveis ferramentas de fonte aberta aplicáveis à medida em questão.

5.8.1 Segurança física

A segurança física centra-se principalmente na protecção dos bens técnicos de uma determinada entidade. Relativamente à segurança física, Maisner afirma que "o objectivo desta medida é principalmente impedir o acesso não autorizado a elementos individuais da infra-estrutura, salas de servidores, locais de trabalho dos administradores de sistemas, etc. O esforço é prevenir o roubo de bens directa e indirectamente relacionados com o sistema de informação, ou prevenir danos a equipamentos corpóreos e incorpóreos ou equipamento de espaços. Por último, mas não menos importante, tenta evitar uma fuga de informação e de dados. ”[1]

No âmbito da segurança física, o devedor deve

·      prevenir danos, roubo ou má utilização de bens ou interrupção do fornecimento de serviços do sistema de informação e comunicação,

·      determinar um perímetro de segurança física demarcando a área em que a informação é armazenada e processada e onde se encontram os bens técnicos do sistema de informação e comunicação,

·      aplicar meios de segurança física ao perímetro físico:

O termo perímetro de segurança física delineia um espaço designado ou os limites deste espaço. Tal espaço pode ser, por exemplo, um conjunto de instalações, as próprias instalações ou parte de uma instalação.

O local é um edifício ou outro espaço confinado. O limite das instalações significa um envelope de edifício, uma barreira física (vedação) ou outro limite visivelmente definido da área. Uma área protegida significa um espaço num edifício que está estruturalmente ou visivelmente delimitado de outra forma.

Os meios de segurança física podem incluir:

·      meios mecânicos de retenção (por exemplo, fechaduras, portas, grades, folhas, vidros e outros elementos estruturais e de construção de segurança, cofres-fortes de armários, portas de segurança e cofres-câmara,

·      sistema de inspecção de acesso à área segura [sistemas de alarme e de segurança electrónica, detectores (movimento, quebra de vidro, etc.) determinação das condições de entrada: elemento de identificação, PIN, biometria (ou uma combinação dos mesmos)],

·      equipamento de sinalização de segurança eléctrica (sistemas de segurança de alarme e de emergência - painéis de controlo de sinalização de segurança eléctrica, detectores de sinalização de segurança eléctrica, detectores de choque, sistemas de detecção de perímetro, sistemas de emergência, etc.),

·      sistemas especiais de televisão (sistemas de câmaras, sistemas de vigilância CCTV, etc.),

·      sistemas de detecção e alarme de incêndio (ligação ao equipamento de controlo e alarme, ou ao painel de controlo do alarme de segurança eléctrica),

·      equipamento que limita os efeitos dos incêndios e eventos naturais (sistemas de alarme, detectores de fumo, sistemas de extinção automática de incêndios, etc.),

·      equipamento para assegurar protecção contra falha de alimentação (fontes de alimentação de reserva - UPS, geradores diesel, etc.).

Também é possível implementar, por exemplo:

·      equipamento contra espionagem passiva e activa.[2]

As áreas onde a entrada/acesso deve ser limitada ou regulada do ponto de vista da segurança dos sistemas de informação e comunicação, incluem principalmente salas de servidores (primária, backup), espaços com elementos de rede (router, switch, etc.), armazéns de dados (salas de arquivo, armazéns NAS, etc.), instalações de administradores de TIC, etc.

Exemplo: A segurança física é uma das áreas onde as regras organizacionais são tipicamente violadas e onde são necessárias auditorias periódicas. Enquanto a maioria das outras actividades na organização são realizadas por administradores, a gestão do acesso físico é confiada a uma força de trabalho menos qualificada após a implantação da segurança, por exemplo, por razões de custo-benefício. Esta força de trabalho pode não estar a par de questões particulares de segurança.

O autor passou por várias situações em que, após um certo período de tempo, uma pessoa responsável pela gestão do acesso físico começou a conceder acesso a pessoas que não deveriam ter tido acesso às áreas (por exemplo, salas de servidores), por exemplo, apenas porque um gestor sénior solicitou o acesso à área protegida, embora não tivesse privilégios suficientes para ser aprovado.

Como parte da segurança física, é também possível utilizar ferramentas de código aberto. Em particular, estes envolverão casos de "implementação de balcões centrais de segurança, incluindo sistemas de vigilância por câmaras. Para este fim, podem ser utilizadas ferramentas concebidas para monitorizar elementos da rede (Icinga, Nagios e outros), complementadas por uma interface para sensores correspondentes, ligados a programas de transmissão e captura de sinais de vídeo de câmaras de segurança".[3]

5.8.2 Ferramenta para proteger a integridade das redes de comunicação

No âmbito da segurança física, alguns administradores são obrigados a fazê-lo:

·      assegurar a segmentação da rede de comunicação,

·      assegurar a gestão da comunicação dentro da rede de comunicação e do perímetro da rede de comunicação (ou seja, gerir o acesso seguro entre a rede interna e externa),

·      utilizar criptografia para assegurar a confidencialidade e integridade dos dados durante o acesso remoto, a administração remota ou o acesso à rede de comunicações utilizando tecnologias sem fios (ou seja, utilizar criptografia para assegurar, por exemplo, VPN, ligação ICT a Wi-Fi, etc.),

·      bloquear activamente a comunicação indesejada (por exemplo, filtros de spam, etc.),

·      para assegurar a segmentação da rede e gerir a comunicação entre os seus segmentos, utilizar um instrumento que assegure a protecção da integridade da rede de comunicação.

"A ferramenta para proteger a integridade das redes de comunicação significa aqui uma topologia de rede adequadamente concebida, incluindo a utilização de elementos de rede que permitam a segmentação de rede necessária e a filtragem do tráfego entre elementos individuais. O equipamento utilizado para alcançar estes requisitos são comutadores Ethernet, routers e firewalls. Se não for possível assegurar a segmentação da rede utilizando uma VLAN num switch editável, é possível assegurar a sua segurança utilizando vários switches mais pequenos não gerenciáveis, cada um dos quais implementa uma LAN física.

Ao segmentar algumas redes, é possível utilizar, por exemplo, os routers Turris (https://www.turris.cz/cs/), onde é garantida uma alta segurança (entre outras coisas devido ao firmware, que foi concebido no que diz respeito e para alcançar a máxima segurança possível) e também um baixo consumo de energia.

Roteadores/firewalls de software: www.ipcop.org/; https://www.ipfire.org/

Comutador Ethernet para ambiente virtualizado: http://www.openvswitch.org/".[4]

5.8.3 Ferramenta para verificação da identidade do utilizador

Como parte da segurança física, alguns administradores são obrigados a utilizar uma ferramenta para gerir e verificar a identidade dos utilizadores, administradores e aplicações de sistemas de informação e comunicação.

Esta ferramenta é actualmente um componente de todos os sistemas operativos comummente utilizados (Linux, iOS, Windows). Segundo o CSD, esta ferramenta deve assegurar

·       verificação da identidade pessoal (antes de iniciar as actividades no sistema de informação e comunicação),

·       gestão do número de possíveis tentativas de login falhadas,

·       resiliência dos dados de autenticação armazenados ou transmitidos contra roubo e utilização indevida não autorizada,

·       armazenamento de dados de autenticação de uma forma resistente a ataques offline,

·       re-verificação da identidade após um período especificado de inactividade,

·       a observância da confidencialidade dos dados de autenticação ao restaurar o acesso,

·       gestão centralizada da identidade.

Para verificar a identidade dos utilizadores, administradores e aplicações, o devedor utiliza:

1.     um mecanismo de autenticação que não se baseia apenas na utilização de um identificador e senha de conta, mas na autenticação multi-factor, com pelo menos dois tipos diferentes de factores,

2.     uma ferramenta para verificar a identidade dos utilizadores, administradores e aplicações, para utilizar autenticação criptográfica de chaves e garantir um nível de segurança semelhante[5] ,

3.     uma ferramenta de verificação de identidade de utilizadores, administradores e aplicações que utiliza um identificador de conta e uma palavra-passe para autenticação.[6]

Se uma conta e senha forem utilizadas para autenticação, as seguintes condições devem ser satisfeitas:

·       comprimento mínimo da palavra-passe:

·       possibilidade de introduzir uma palavra-passe de pelo menos 64 caracteres,

·       possibilidade de utilizar letras minúsculas e maiúsculas, números e caracteres especiais numa palavra-passe,

·       possibilidade de alterar uma senha, enquanto que o tempo entre duas alterações de senha não deve ser inferior a 30 minutos,

·       não permitir que utilizadores e administradores o façam:

·       alteração obrigatória de uma palavra-passe a intervalos máximos de 18 meses, enquanto que esta regra não se aplica às contas utilizadas para recuperar o sistema em caso de catástrofe,

·       forçar a alteração da palavra-passe por defeito imediatamente após a sua primeira utilização,

·       revogar imediatamente uma senha utilizada para restabelecer o acesso após a sua primeira utilização ou após um máximo de 60 minutos da sua criação,

·       incluir regras para a criação de palavras-passe seguras no plano de desenvolvimento da sensibilização para a segurança.

Exemplo: Recomendamos a utilização de demonstrações práticas para a formação de utilizadores. Por exemplo, as ferramentas CEWL ou CUPP. Ambas podem ser encontradas, por exemplo, na distribuição Linux Kali. A ferramenta CEWL pode criar um dicionário para um ataque de dicionário adaptado a uma organização específica, com base no conteúdo do seu website. A ferramenta CUPP pode então criar um dicionário à medida de um utilizador específico. De acordo com a experiência dos autores, estes exemplos práticos são muito benéficos para os utilizadores, uma vez que estes vêem praticamente que a sua palavra-passe utilizada até agora, que consiste, por exemplo, na data de nascimento e no nome do cão da família, pode efectivamente ser gerada se o atacante tiver informação suficiente sobre eles.

"Para autenticação prática do utilizador, a comunidade de código aberto oferece muito software compatível com os seus equivalentes comerciais. Estes são, por exemplo:

FreeRADIUS - http://freeradius.org/ /RADIUS

OpenLDAP - http://www.openldap.org/ /Microsoft AD, Oracle Internet Directory

Kerberos - https://www.gnu.org/software/shishi/

OpenDiameter - https://sourceforge.net/projects/diameter/

Todas estas ferramentas fornecem meios para impor a complexidade da palavra-passe especificada, bem como outros atributos exigidos pela CSA, quer por eles próprios através do login.conf, quer utilizando mecanismos externos tais como cracklib e dicionários de "palavras-passe" populares.[7]

5.8.4 Ferramenta de gestão de permissões de acesso

No âmbito da segurança física, alguns administradores são obrigados a utilizar uma ferramenta centralizada de gestão de permissões de acesso.

O termo permissão significa o direito de acesso a qualquer dos bens (tipicamente um sistema de informação ou comunicação, aplicações, etc.). Na prática, é uma ferramenta para "gestão de utilizadores e grupos" e uma ferramenta para definir permissões em ficheiros e directórios. Estas ferramentas são um componente proprietário de todos os sistemas operativos padrão.

Um instrumento centralizado de gestão de permissões de acesso destina-se a assegurar a gestão das permissões:

·       para o acesso aos bens individuais do sistema de informação e comunicação e

·       para ler dados, escrever dados e alterar permissões.

É aconselhável aplicar ferramentas de gestão centralizada dos direitos de acesso que comunicarão com um servidor central AAA (Autenticação, Autorização, Contabilidade).

Exemplo: É importante ter em mente a gestão das permissões de acesso ao conceber software. O autor conhece uma aplicação que tinha permissões muito gerais, e de facto apenas existiam nela os papéis de administrador e utilizador. O administrador foi autorizado a acrescentar utilizadores e administradores adicionais, e o utilizador foi autorizado a realizar outras actividades. No entanto, esta aplicação armazenou informações importantes sobre os clientes da organização. Uma vez que esta aplicação não permitia qualquer granularidade de permissões, todos os utilizadores, independentemente das suas necessidades empresariais reais, eram autorizados a aceder a qualquer parte da informação sobre os clientes. Esta situação acabou por resultar numa fuga de dados relacionados com um cliente específico.

5.8.5 Ferramenta de protecção contra malware

Como parte da segurança física, alguns administradores são obrigados a estabelecer uma protecção contra códigos maliciosos:

·      assegurar (dada a importância dos bens) a utilização de um instrumento de protecção automática contínua de

·       monitorização e gestão da utilização de dispositivos amovíveis e suportes de dados,

·       monitorização e gestão da utilização de dispositivos amovíveis e suportes de dados,

·       gerir as permissões de execução do código,

·       realizar uma actualização regular e eficaz de uma ferramenta anti-malware.

"Protecção contra software malicioso distribuído através de correio electrónico. Uma solução proxy de e-mail de código aberto que fornece protecção contra software malicioso é o projecto ASSP (AntiSpam SMTP Proxy, https://sourceforge.net/projects/assp/), que permite uma configuração abrangente do comportamento de proxy de e-mail através de uma interface web.

Protecção contra software malicioso distribuído via web. Uma solução adequada é, por exemplo, o projecto HTTP AntiVirus Proxy (http://www.havp.org/) ou www.cacheguard.com. Também aqui é necessário assegurar uma protecção adequada das estações de trabalho finais, pois o tráfego encriptado não pode ser digitalizado em tempo real na posição "homem no meio".

Bloqueio do tráfego da sua rede, tanto ao nível da infra-estrutura de dados como ao nível de "firewalls pessoais" das estações finais. As regras de comunicação da rede devem ser definidas "de forma paranóica", ou seja, para permitir apenas o tráfego necessário para que o software legítimo funcione e proibir todo o resto. Contudo, a medida de um servidor, servidor proxy ou elemento de infra-estrutura de rede não substitui de forma alguma a protecção contra malware nas estações de trabalho endpoint, especialmente porque nem sempre pode interceptar tráfego encriptado que é desencriptado apenas no programa cliente".[8]

5.8.6 Ferramenta para a detecção de eventos de ciber-segurança

No âmbito da segurança física, alguns administradores são obrigados a implementar, dentro de uma rede de comunicação que inclui um sistema de informação e comunicação, uma ferramenta de detecção de eventos de ciber-segurança que assegure:

·       verificação e verificação dos dados transmitidos dentro da rede de comunicação e entre redes de comunicação,

·       verificação e verificação dos dados transmitidos no perímetro da rede de comunicação e

·       bloqueio de comunicações indesejadas.

"As saídas de muitas ferramentas de software podem ser utilizadas para detectar eventos de cibersegurança, incluindo analisadores de registo, tais como Logwatch (https://sourceforge.net/projects/logwatch/files/), Epylog (https://fedoraproject.org/wiki/Infrastructure/Fedorahosted-retirement), sistemas de detecção de intrusão, tais como OpenVAS (http://openvas.org/), Suricata (https://suricata-ids.org/), Snort (https://www.snort.org/) ou Samhain (‑lasamhna.de/Samoin)".[9]

5.8.7 Ferramenta para recolher e avaliar eventos de ciber-segurança

No âmbito da segurança física, alguns administradores são obrigados a utilizar uma ferramenta para recolher e avaliar continuamente eventos de ciber-segurança. Esta permite

·       a recolha e avaliação dos eventos,

·       pesquisa e agrupamento de registos relacionados,

·       fornecimento de informações para funções de segurança designadas sobre eventos de cibersegurança detectados,

·       avaliação de incidentes de cibersegurança, a fim de identificar incidentes de cibersegurança, incluindo o alerta precoce de funções de segurança identificadas,

·       redução dos casos de avaliação incorrecta de eventos através da actualização regular das definições de regras para:

·       utilização de informações obtidas por um instrumento de recolha e avaliação de eventos de ciber-segurança para o estabelecimento óptimo de medidas de segurança do sistema de informação e comunicação.

A ferramenta de recolha e avaliação de eventos de cibersegurança significa ferramentas que são referidas como SIEM (Security Incident and Event Management - Gestão de Incidentes e Eventos de Segurança).

Dentro da solução de código aberto SIEM, é possível utilizar, por exemplo, OSSIM/USM (https://www.alienvault.com/products/usm-anywhere/try-it-now), OSSEC (www.ossec.net/) ou logalyze (www.logalyze.com).[10]

5.8.8 Segurança da aplicação

No caso da segurança das aplicações, é dada atenção às aplicações que são utilizadas em sistemas de informação (seja dentro de um sistema informático, dispositivo móvel ou como uma aplicação web). A segurança das aplicações é assegurada, entre outras coisas, por testes de penetração de aplicações ou firewalls de aplicações.

Como parte da segurança física, alguns administradores são obrigados a realizar testes de penetração do sistema de informação e comunicação, concentrando-se em activos importantes, nomeadamente:

·       antes de serem postos em serviço e

·       em ligação com uma mudança significativa.

No âmbito da segurança dos pedidos, o devedor deve também assegurar a protecção permanente dos pedidos, informações e transacções contra:

·       actividade não autorizada,

·       negação das actividades realizadas.

"Firewalls de aplicação incluem, por exemplo, módulos de segurança de servidores web (www.modsecurity.org) ou OWASP Web Application Firewall. As ferramentas comerciais para testar a segurança das aplicações incluem, em particular, a ferramenta Nessus ‑(www.tenable.com/products/nessusvulnerabilityscanner). A ‑sua alternativa de código aberto é o projecto Open-VAS (www.openvas.org/)".[11]

5.8.9 Meios criptográficos

A criptografia (encriptação) é uma disciplina científica que trata da conversão de informação inteligível numa forma incompreensível para um destinatário se o destinatário não possuir as chaves com as quais é possível decifrar a informação.

Com a transferência de uma quantidade considerável de dados e informações para sistemas de TIC, é necessário prestar maior atenção às possibilidades de encriptação (confidencialidade do conteúdo) dos dados transmitidos.

No âmbito da segurança física, alguns administradores são obrigados, para proteger os bens do sistema de informação e comunicação, a

·      utilizar algoritmos criptográficos e chaves criptográficas actualmente robustos,

·      utilizar um sistema de gestão de chaves e certificados que:

·      promover o manuseamento seguro de meios criptográficos,

·      ter em conta as recomendações no domínio dos meios criptográficos emitidas pelo Gabinete (NÚKIB), publicadas no seu sítio web.

"A fim de assegurar uma cifragem suficientemente robusta do tráfego de rede, são utilizadas as bibliotecas OpenSSL (openssl.org), mas é necessário assegurar que estejam actualizadas e devidamente configuradas de modo a cumprir com os termos deste decreto. É necessário seguir os relatórios actuais sobre vulnerabilidades e actualizar sem demora as versões insatisfatórias das bibliotecas para variantes sem vulnerabilidades conhecidas. A este respeito, recomenda-se o projecto Bettercrypto (https://bettercrypto.org/), para ajudar os administradores a garantir a melhor segurança possível para os serviços e a criptografia que utilizam".[12]

5.8.10 Ferramenta para assegurar o nível de disponibilidade da informação

No âmbito da segurança física, alguns administradores são obrigados a implementar medidas para assegurar o nível de disponibilidade para garantir:

·       disponibilidade do sistema de informação e comunicação,

·       resiliência do sistema de informação e comunicação a incidentes de ciber-segurança que poderiam reduzir a sua disponibilidade,

·       disponibilidade de importantes recursos técnicos do sistema de informação e comunicação,

·       redundância de bens necessária para assegurar a disponibilidade do sistema de informação e comunicação.

A implementação de uma ferramenta para assegurar o nível de disponibilidade de informação cumpre um trunfo organizacional: a Gestão da Continuidade da Empresa (GCN).

"Para atingir o nível de disponibilidade prescrito, podem ser utilizadas tecnologias de cluster e de nuvem desenvolvidas como fonte aberta (KVM, OpenStack), ou a disponibilidade de um activo de substituição pode ser assegurada num determinado momento através de software de back-up/restore (https://sourceforge.net/projects/bacula/)".[13]