Segurança da Informação - Unisul

1- Explique o que seriam as estratégias de segurança privilégio mínimo e defesa em profundidade. Realize uma pesquisa na internet, em jornais, livros, revistas, periódicos, etc., sobre as estratégias de segurança privilégio mínimo e defesa em profundidade para exemplificar a sua explicação. (2,5 pontos)

Considerando que privilégio trata especificamente de qualquer função ou direito que um usuário ou programa tenha acesso. A estratégia privilégio mínimo baseia-se na restrição das permissões de acesso, permitindo o melhor controle dos privilégios, ou seja, os elementos de um sistema computacional devem ter apenas os privilégios e direitos de acesso necessários à execução de suas funções. Com relação à estratégia defesa em profundidade, podemos dizer que ela se utiliza de múltiplos mecanismos para aumentar o índice de segurança, prevenindo acidentes, podemos chamar de uma tática de camadas, desta forma caso um atacante passe por um mecanismo, existe a possibilidade de ele parar no próximo mecanismo. Esta estratégia se baseia no conceito de defesa robusta ou diversidade de defesas. A diferença entre elas está no fato de que a diversidade de defesas trabalha com mecanismos heterogêneos.

Exemplos de privilegio mínimo:

• Um sistema de filtragem de pacotes projetado para permitir apenas a entrada de pacotes para os serviços necessários, sendo este utilizado em grande escala, por sua simplicidade e eficiência;

• No contexto de Internet: Todo usuário não precisa acessar todos os serviços de Internet existentes, não precisa modificar todos os arquivos em seu sistema, não precisa saber a senha de root da máquina;

• Soluções de mercado como é o caso do Windows Azure da Microsoft já tratam as questões de privilégio mínimo, onde os clientes não obtêm acesso administrativo as suas maquinas virtuais, e, por padrão, o software é restrito à execução sob uma conta de baixo privilegio, reduzindo o potencial impacto, aumentando a sofisticação necessária de qualquer tentativa de ataque, exigindo a elevação de privilégios além de outras explorações.

Exemplos de defesa em profundidade:

• Em Salvador-BA no século XVIII foi utilizado este método, onde as preocupações de defesa voltaram-se para o mar, uma vez que os corsário estrangeiros ameaçavam a cidade, com isso deu-se inicio a um eficiente sistema de defesa em profundidade, com trincheiras, muralhas e fortificações, construídas em lugares estratégicos e armadas de acordo com a evolução da arte da guerra;

• Ferramentas importantes neste quesito são os antivírus e a utilização de Firewall, IDS (Sistema de detecção de invasão) e IPS (Sistema de prevenção de invasão) com redundância e diversidade de controles, um exemplo prático deste método seria a segurança em uma empresa onde temos: portão principal, recepção, guardas, grades, entrada no andar, área restrita.

Referências da pesquisa:

http://clayton.bs2.com.br/artigos/EstrategiasParaFirewall.pdf

https://dsiceventos.planalto.gov.br/app.eventos.arqs/EventoArqsBlobFileGetData.php?idnEntidade=199&seqArquivo=16

http://imasters.com.br/artigo/21213/windows/10-coisas-que-voce-precisa-saber-sobre-a-seguranca-do-azure

2- Em uma Empresa ocorreu o seguinte diálogo entre João e seu Gerente de TI.

JOÃO: - Vamos colocar criptografia assimétrica aqui na empresa; vai melhorar a vida de todos.

GERENTE DE TI: - Nós já utilizamos a criptografia simétrica e não precisamos de mudanças.

JOÃO: - A criptografia assimétrica faz várias coisas que a simétrica não faz. Seremos mais seguros com ela.

GERENTE DE TI: - Ok, João. Então me mostre as vantagens e o que posso fazer com a criptografia assimétrica.

Por meio deste pequeno diálogo é possível perceber que João recebeu de seu Gerente de TI a incumbência de explicar as vantagens da criptografia assimétrica em relação a simétrica. Desta forma, suponha que você seja o JOÃO nesta situação. Responda, portanto, a questão levantada pelo Gerente de TI. (2,5 pontos)

Diferentemente da criptografia simétrica que utiliza a mesma chave para criptografar e descriptografar dados, a criptografia assimétrica usa duas chaves diferentes, porém matematicamente relacionadas, para criptografar e descriptografar dados. Essas chaves são conhecidas como chaves privadas e chaves públicas. Em conjunto, essas chaves são conhecidas como par de chaves. A criptografia assimétrica é considerada mais segura do que a criptografia simétrica, porque a chave usada para criptografar os dados é diferente da que é usada para descriptografá-los. Com a criptografia assimétrica, somente uma parte mantém a chave privada. Essa parte é conhecida como o assunto. Todas as outras partes podem acessar a chave pública. Os dados criptografadas por meio da chave pública só podem ser descriptografados com o uso da chave privada. Por outro lado, os dados criptografados por meio da chave privada só podem ser descriptografados com o uso da chave pública. Por conseguinte, esse tipo de criptografia fornece confidencialidade e não-repúdio. Nossa empresa pode usar esse tipo de criptografia para fornecer autorização, usando a chave pública na criptografia dos dados, essa chave é disponibilizada publicamente. Desse modo, qualquer um pode criptografar os dados. No entanto, como apenas o assunto mantém a chave privada, podemos estar razoavelmente certos de que apenas o destinatário pretendido pode descriptografar e exibir os dados criptografados. Também poderemos usar este tipo de criptografia para fornecer autenticação, pois utilizando a chave privada para criptografar dados, apenas o assunto mantém essa chave. No entanto, todos podem descriptografar os dados porque a chave pública que descriptografa esses dados é disponibilizada

...