v seginfo: “utilizando padrões abertos para coleta de informações e assessment em ativos...
DESCRIPTION
Igor Devulsky Prata (Módulo)TRANSCRIPT
Utilizando padrões abertos para coleta de informações e Assessment em ativos tecnológicos.
IGOR PRATA Analista de SegurançaLaboratório de Pesquisa em Tecnologia e Conhecimento (KMLab) Módulo Security Solutions
1. APRESENTAÇÃO2. CENÁRIO ATUAL3. SCAP4. OVAL5. PROJETO MODSIC6. REFERÊNCIAS
• Conhecimento gerado por diversas entidadescreditadas.
• Falta de padrões em comum (e abertos).
• Cada solução de segurança lida com o conhecimento,análise e resultados de maneira própria.
• Baixíssima interoperabilidade.
• Desenvolvido pelo NIST (National Institute ofStandards and Technology)
• Entidade Norte Americana Responsável por Padrões Tecnológicos
• Responsável pela padronização de diversos procedimentos de segurança para o Governo dos EUA
COMBINAÇÃO DE VÁRIOS PADRÕES ABERTOS (componentes)
Funcionalidades:
1. Enumeradores para falhas de software e questões relacionadas a segurança
2. Modelo de Análise de vulnerabilidades
3. Linguagem para descrição de sistemas e seus estados
• CVE Common Vulnerabilities and Exposures
• CCE Common Configuration Enumeration
• CPE Common Platform Enumeration
• CVSS Common Vulnerability Scoring System
• XCCDF Extensible Configuration Checklist Description Format
• OVAL Open Vulnerability and Assessment Language
O conjunto de padrões possibilita:
• Gerenciamento automático de vulnerabilidades
• Medições de risco (measurament)
• Validação de políticas de conformidade
Os padrões SCAP são amplamente difundidos.
O SCAP Validation Program já apresenta diversassoluções homologadas.
http://scap.nist.gov/validation/index.html
FDCC Scanners:
• Mantido pela comunidade de segurança da informação
• Padronizar a maneira de acessar e reportar o estado (configuração) de sistemas computacionais
• Engloba uma linguagem para descrição de detalhes de sistemas e um repositório de conhecimento público
• Composto por documentos (XSD) que descrevem uma linguagem para criação de scripts de coleta (XML)
Representação das informações de configurações de sistemas
Análise para busca de estados específicos em sistemas.
Apresentação dos resultados obtidos pela análise.
Etapas de um processo de análise:
ESTADO DO SISTEMA
(configuração)CONCEITO
Usuário GUESTdeve estarDESABILITADO
Usuário GUEST
DESABILITADO
Object
State
Test
DEFINITION
oval_definitions
windows_definitions
unix_definitions
macos_definitions
...
oval_system_characteristics
windows_system_characteristics
unix_system_characteristics
macos_system_characteristics
...
oval_results
OVAL_Common
• Padroniza a maneira de coletar informações em sistemas e a forma de reportar os resultados
• Facilita a automação do processo de coleta de informações
• Proporciona maior interoperabilidade entre produtos ligados à segurança da informação
• A linguagem é consistente e escalável
• Possui uma comunidade ativa de colaboradores pelo OVAL Board, que valida alterações na linguagem
• O programa OVAL Adoption além de certificar, “treina” os vendors de segurança em TI nas melhores práticas
• Já existe uma grande lista de empresas e produtos homologados para a linguagem:
http://oval.mitre.org/adoption/productlist.html
• Executa coletas remotas (agentless)
• Coleta distribuída
• Agendador de tarefas
• Probes desacopladas do núcleo do serviço
• Auxilia um nicho tecnológico ainda mal explorado por outras soluções opensource
• Cooperação da comunidade em melhorias para o modSIC (desenvolvimento, feedback, testes, etc)
• Melhor interoperabilidade entre soluções que carecem de um mecanismo de IT GRC
• Confiabilidade no que é executado em um determinado datacenter pela transparência que um software opensource pode fornecer
• Promover a popularização dos padrões SCAP (OVAL)
• Garantir compatibilidade com o Framework Mono
• Eliminar dependências proprietárias no código
• Reimplementar o modelo de acesso à base de dados
• Aspectos de segurança: mecanismo de autenticação, criptografia do canal e das credenciais armazenadas
• Documentação da API
Lançamento: 1ª quinzena de Janeiro de 2011
• Make security Measurable and Manageblehttp://measurablesecurity.mitre.org
• Mitrehttp://oval.mitre.org
• NISThttp://scap.nist.gov
www.modsic.org
[email protected]@modulo.com