SlideShare uma empresa Scribd logo

V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessment em Ativos tecnológicos.”

Clavis Segurança da Informação
Clavis Segurança da Informação

Igor Devulsky Prata (Módulo)

1 de 28
Baixar para ler offline
Utilizando padrões abertos para coleta de informações e Assessment em ativos tecnológicos. IGOR PRATA Analista de Segurança Laboratório de Pesquisa em Tecnologia e Conhecimento (KMLab) Módulo Security Solutions
1. APRESENTAÇÃO 2. CENÁRIO ATUAL 3. SCAP 4. OVAL 5. PROJETO MODSIC 6. REFERÊNCIAS
• Conhecimento gerado por diversas entidades creditadas. • Falta de padrões em comum (e abertos). • Cada solução de segurança lida com o conhecimento, análise e resultados de maneira própria. • Baixíssima interoperabilidade.
• Desenvolvido pelo NIST (National Institute of Standards and Technology) • Entidade Norte Americana Responsável por Padrões Tecnológicos • Responsável pela padronização de diversos procedimentos de segurança para o Governo dos EUA
COMBINAÇÃO DE VÁRIOS PADRÕES ABERTOS (componentes) Funcionalidades: 1. Enumeradores para falhas de software e questões relacionadas a segurança 2. Modelo de Análise de vulnerabilidades 3. Linguagem para descrição de sistemas e seus estados
• CVE Common Vulnerabilities and Exposures • CCE Common Configuration Enumeration • CPE Common Platform Enumeration • CVSS Common Vulnerability Scoring System • XCCDF Extensible Configuration Checklist Description Format • OVAL Open Vulnerability and Assessment Language
O conjunto de padrões possibilita: • Gerenciamento automático de vulnerabilidades • Medições de risco (measurament) • Validação de políticas de conformidade
Os padrões SCAP são amplamente difundidos. O SCAP Validation Program já apresenta diversas soluções homologadas. FDCC Scanners: http://scap.nist.gov/validation/index.html
• Mantido pela comunidade de segurança da informação • Padronizar a maneira de acessar e reportar o estado (configuração) de sistemas computacionais • Engloba uma linguagem para descrição de detalhes de sistemas e um repositório de conhecimento público • Composto por documentos (XSD) que descrevem uma linguagem para criação de scripts de coleta (XML)
Etapas de um processo de análise: Representação das informações de configurações de sistemas Análise para busca de estados específicos em sistemas. Apresentação dos resultados obtidos pela análise.
ESTADO DO CONCEITO SISTEMA (configuração) Usuário GUEST Usuário GUEST Object deve estar DESABILITADO Test DESABILITADO State DEFINITION
OVAL_Common oval_definitions oval_system_characteristics oval_results windows_definitions windows_system_characteristics unix_definitions unix_system_characteristics macos_definitions macos_system_characteristics ... ...
• Padroniza a maneira de coletar informações em sistemas e a forma de reportar os resultados • Facilita a automação do processo de coleta de informações • Proporciona maior interoperabilidade entre produtos ligados à segurança da informação • A linguagem é consistente e escalável
• Possui uma comunidade ativa de colaboradores pelo OVAL Board, que valida alterações na linguagem • O programa OVAL Adoption além de certificar, “treina” os vendors de segurança em TI nas melhores práticas • Já existe uma grande lista de empresas e produtos homologados para a linguagem: http://oval.mitre.org/adoption/productlist.html
• Executa coletas remotas (agentless) • Coleta distribuída • Agendador de tarefas • Probes desacopladas do núcleo do serviço • Auxilia um nicho tecnológico ainda mal explorado por outras soluções opensource
• Cooperação da comunidade em melhorias para o modSIC (desenvolvimento, feedback, testes, etc) • Melhor interoperabilidade entre soluções que carecem de um mecanismo de IT GRC • Confiabilidade no que é executado em um determinado datacenter pela transparência que um software opensource pode fornecer • Promover a popularização dos padrões SCAP (OVAL)
• Garantir compatibilidade com o Framework Mono • Eliminar dependências proprietárias no código • Reimplementar o modelo de acesso à base de dados • Aspectos de segurança: mecanismo de autenticação, criptografia do canal e das credenciais armazenadas • Documentação da API Lançamento: 1ª quinzena de Janeiro de 2011
• Make security Measurable and Manageble http://measurablesecurity.mitre.org • Mitre http://oval.mitre.org • NIST http://scap.nist.gov
www.modsic.org modsic@modulo.com iprata@modulo.com

Recomendados

Utilizando padroes abertos para coleta de informacoes e assessment em ativos ...
Utilizando padroes abertos para coleta de informacoes e assessment em ativos ...Utilizando padroes abertos para coleta de informacoes e assessment em ativos ...
Utilizando padroes abertos para coleta de informacoes e assessment em ativos ...SegInfo
 
Uso de Critérios de Seleção para Frameworks Livres em Plataforma Java EE
Uso de Critérios de Seleção para Frameworks Livres em Plataforma Java EEUso de Critérios de Seleção para Frameworks Livres em Plataforma Java EE
Uso de Critérios de Seleção para Frameworks Livres em Plataforma Java EEMarco Antonio Maciel
 
Prof. Renato Nunes aula 04 - Modelagem de Sistemas - Caso de Uso
Prof. Renato Nunes aula 04 - Modelagem de Sistemas - Caso de UsoProf. Renato Nunes aula 04 - Modelagem de Sistemas - Caso de Uso
Prof. Renato Nunes aula 04 - Modelagem de Sistemas - Caso de UsoRenato Augusto
 
SCAP ( Security Content Automation Protocol ) na BSides São Paulo 2014
SCAP ( Security Content Automation Protocol ) na BSides São Paulo 2014SCAP ( Security Content Automation Protocol ) na BSides São Paulo 2014
SCAP ( Security Content Automation Protocol ) na BSides São Paulo 2014Rodrigo Montoro
 
Plano do projeto de software
Plano do projeto de softwarePlano do projeto de software
Plano do projeto de softwareDanilo Gois
 
Processo e Processo de Software
Processo e Processo de SoftwareProcesso e Processo de Software
Processo e Processo de SoftwareElaine Cecília Gatto
 
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_soxAuditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_soxSQLServerRS
 
TechNet Wiki Summit 2015 - DevOps
TechNet Wiki Summit 2015 - DevOpsTechNet Wiki Summit 2015 - DevOps
TechNet Wiki Summit 2015 - DevOpsAlan Carlos
 

Recomendados

Utilizando padroes abertos para coleta de informacoes e assessment em ativos ...
Utilizando padroes abertos para coleta de informacoes e assessment em ativos ...Utilizando padroes abertos para coleta de informacoes e assessment em ativos ...
Utilizando padroes abertos para coleta de informacoes e assessment em ativos ...SegInfo
 
Uso de Critérios de Seleção para Frameworks Livres em Plataforma Java EE
Uso de Critérios de Seleção para Frameworks Livres em Plataforma Java EEUso de Critérios de Seleção para Frameworks Livres em Plataforma Java EE
Uso de Critérios de Seleção para Frameworks Livres em Plataforma Java EEMarco Antonio Maciel
 
Prof. Renato Nunes aula 04 - Modelagem de Sistemas - Caso de Uso
Prof. Renato Nunes aula 04 - Modelagem de Sistemas - Caso de UsoProf. Renato Nunes aula 04 - Modelagem de Sistemas - Caso de Uso
Prof. Renato Nunes aula 04 - Modelagem de Sistemas - Caso de UsoRenato Augusto
 
SCAP ( Security Content Automation Protocol ) na BSides São Paulo 2014
SCAP ( Security Content Automation Protocol ) na BSides São Paulo 2014SCAP ( Security Content Automation Protocol ) na BSides São Paulo 2014
SCAP ( Security Content Automation Protocol ) na BSides São Paulo 2014Rodrigo Montoro
 
Plano do projeto de software
Plano do projeto de softwarePlano do projeto de software
Plano do projeto de softwareDanilo Gois
 
Processo e Processo de Software
Processo e Processo de SoftwareProcesso e Processo de Software
Processo e Processo de SoftwareElaine Cecília Gatto
 
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_soxAuditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_soxSQLServerRS
 
TechNet Wiki Summit 2015 - DevOps
TechNet Wiki Summit 2015 - DevOpsTechNet Wiki Summit 2015 - DevOps
TechNet Wiki Summit 2015 - DevOpsAlan Carlos
 
Microprofile - Facilitando o desenvolvimento de Microserviços
Microprofile - Facilitando o desenvolvimento de MicroserviçosMicroprofile - Facilitando o desenvolvimento de Microserviços
Microprofile - Facilitando o desenvolvimento de MicroserviçosIvan Junckes Filho
 
Conceito de analise de desenvolvivento de sistemas
Conceito de analise de desenvolvivento de sistemasConceito de analise de desenvolvivento de sistemas
Conceito de analise de desenvolvivento de sistemasluanrjesus
 
Analise de Requisitos
Analise de RequisitosAnalise de Requisitos
Analise de Requisitoselliando dias
 
Migração para Software Livre
Migração para Software LivreMigração para Software Livre
Migração para Software LivreMagno A. Cavalcante
 
Capítulo 11 - Como desenvolver sistemas de informação e gerenciar projetos
Capítulo 11 - Como desenvolver sistemas de informação e gerenciar projetosCapítulo 11 - Como desenvolver sistemas de informação e gerenciar projetos
Capítulo 11 - Como desenvolver sistemas de informação e gerenciar projetosEverton Souza
 
Testes Funcionais e Estruturais utilizando Selenium IDE e Cobertura
Testes Funcionais e Estruturais utilizando Selenium IDE e CoberturaTestes Funcionais e Estruturais utilizando Selenium IDE e Cobertura
Testes Funcionais e Estruturais utilizando Selenium IDE e CoberturaTiago Antônio da Silva
 
Monitoramento de malware em Windows NT 6.x - 64bits
Monitoramento de malware em Windows NT 6.x - 64bitsMonitoramento de malware em Windows NT 6.x - 64bits
Monitoramento de malware em Windows NT 6.x - 64bitsArthur Paixão
 
Plano de projeto de software - SISCONI
Plano de projeto de software - SISCONIPlano de projeto de software - SISCONI
Plano de projeto de software - SISCONIocfelipe
 
Construindo aplicações Cloud Native em Go
Construindo aplicações Cloud Native em GoConstruindo aplicações Cloud Native em Go
Construindo aplicações Cloud Native em GoAlvaro Viebrantz
 
Plano de projeto de software - SISCONI
Plano de projeto de software - SISCONIPlano de projeto de software - SISCONI
Plano de projeto de software - SISCONIocfelipe
 
BIODATA: SOFTWARE WEB PARA GERENCIAMENTO DE COLETA DE DADOS BIOMÉDICOS
BIODATA: SOFTWARE WEB PARA GERENCIAMENTO DE COLETA DE DADOS BIOMÉDICOSBIODATA: SOFTWARE WEB PARA GERENCIAMENTO DE COLETA DE DADOS BIOMÉDICOS
BIODATA: SOFTWARE WEB PARA GERENCIAMENTO DE COLETA DE DADOS BIOMÉDICOSAdilmar Dantas
 
Apresentação sobre a COSINF
Apresentação sobre a COSINFApresentação sobre a COSINF
Apresentação sobre a COSINFAllyson Barros
 
Manual
ManualManual
ManualJose Moniz
 
01 introducaocaats
01 introducaocaats01 introducaocaats
01 introducaocaatsPortal_do_Estudante_aud
 
Apresentação testes white box
Apresentação testes white boxApresentação testes white box
Apresentação testes white boxBárbara Cabral da Conceição, CTFL
 
Fatores de Qualidade de MacCall e ISO/IEC 9126
Fatores de Qualidade de MacCall e ISO/IEC 9126Fatores de Qualidade de MacCall e ISO/IEC 9126
Fatores de Qualidade de MacCall e ISO/IEC 9126Elaine Cecília Gatto
 
Palestra big data_e_mineracao_dedados_5agosto13-versaoslideshare
Palestra big data_e_mineracao_dedados_5agosto13-versaoslidesharePalestra big data_e_mineracao_dedados_5agosto13-versaoslideshare
Palestra big data_e_mineracao_dedados_5agosto13-versaoslidesharepccdias
 
Redes2 aula02
Redes2 aula02Redes2 aula02
Redes2 aula02John Paul John Paul
 
2 engenharia de software
2 engenharia de software2 engenharia de software
2 engenharia de softwareFelipe Bugov
 
Introdução à Qualidade e Testes Ágeis de Software
Introdução à Qualidade e Testes Ágeis de SoftwareIntrodução à Qualidade e Testes Ágeis de Software
Introdução à Qualidade e Testes Ágeis de SoftwareClaudia Melo
 
Bsides SP 2022 - EPSS - Final.pptx
Bsides SP 2022 - EPSS - Final.pptxBsides SP 2022 - EPSS - Final.pptx
Bsides SP 2022 - EPSS - Final.pptxClavis Segurança da Informação
 
Cloud Summit Canada com Rodrigo Montoro
Cloud Summit Canada com Rodrigo MontoroCloud Summit Canada com Rodrigo Montoro
Cloud Summit Canada com Rodrigo MontoroClavis Segurança da Informação
 

Mais conteúdo relacionado

Semelhante a V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessment em Ativos tecnológicos.”

Microprofile - Facilitando o desenvolvimento de Microserviços
Microprofile - Facilitando o desenvolvimento de MicroserviçosMicroprofile - Facilitando o desenvolvimento de Microserviços
Microprofile - Facilitando o desenvolvimento de MicroserviçosIvan Junckes Filho
 
Conceito de analise de desenvolvivento de sistemas
Conceito de analise de desenvolvivento de sistemasConceito de analise de desenvolvivento de sistemas
Conceito de analise de desenvolvivento de sistemasluanrjesus
 
Analise de Requisitos
Analise de RequisitosAnalise de Requisitos
Analise de Requisitoselliando dias
 
Capítulo 11 - Como desenvolver sistemas de informação e gerenciar projetos
Capítulo 11 - Como desenvolver sistemas de informação e gerenciar projetosCapítulo 11 - Como desenvolver sistemas de informação e gerenciar projetos
Capítulo 11 - Como desenvolver sistemas de informação e gerenciar projetosEverton Souza
 
Testes Funcionais e Estruturais utilizando Selenium IDE e Cobertura
Testes Funcionais e Estruturais utilizando Selenium IDE e CoberturaTestes Funcionais e Estruturais utilizando Selenium IDE e Cobertura
Testes Funcionais e Estruturais utilizando Selenium IDE e CoberturaTiago Antônio da Silva
 
Monitoramento de malware em Windows NT 6.x - 64bits
Monitoramento de malware em Windows NT 6.x - 64bitsMonitoramento de malware em Windows NT 6.x - 64bits
Monitoramento de malware em Windows NT 6.x - 64bitsArthur Paixão
 
Plano de projeto de software - SISCONI
Plano de projeto de software - SISCONIPlano de projeto de software - SISCONI
Plano de projeto de software - SISCONIocfelipe
 
Construindo aplicações Cloud Native em Go
Construindo aplicações Cloud Native em GoConstruindo aplicações Cloud Native em Go
Construindo aplicações Cloud Native em GoAlvaro Viebrantz
 
Plano de projeto de software - SISCONI
Plano de projeto de software - SISCONIPlano de projeto de software - SISCONI
Plano de projeto de software - SISCONIocfelipe
 
BIODATA: SOFTWARE WEB PARA GERENCIAMENTO DE COLETA DE DADOS BIOMÉDICOS
BIODATA: SOFTWARE WEB PARA GERENCIAMENTO DE COLETA DE DADOS BIOMÉDICOSBIODATA: SOFTWARE WEB PARA GERENCIAMENTO DE COLETA DE DADOS BIOMÉDICOS
BIODATA: SOFTWARE WEB PARA GERENCIAMENTO DE COLETA DE DADOS BIOMÉDICOSAdilmar Dantas
 
Apresentação sobre a COSINF
Apresentação sobre a COSINFApresentação sobre a COSINF
Apresentação sobre a COSINFAllyson Barros
 
Fatores de Qualidade de MacCall e ISO/IEC 9126
Fatores de Qualidade de MacCall e ISO/IEC 9126Fatores de Qualidade de MacCall e ISO/IEC 9126
Fatores de Qualidade de MacCall e ISO/IEC 9126Elaine Cecília Gatto
 
Palestra big data_e_mineracao_dedados_5agosto13-versaoslideshare
Palestra big data_e_mineracao_dedados_5agosto13-versaoslidesharePalestra big data_e_mineracao_dedados_5agosto13-versaoslideshare
Palestra big data_e_mineracao_dedados_5agosto13-versaoslidesharepccdias
 
2 engenharia de software
2 engenharia de software2 engenharia de software
2 engenharia de softwareFelipe Bugov
 
Introdução à Qualidade e Testes Ágeis de Software
Introdução à Qualidade e Testes Ágeis de SoftwareIntrodução à Qualidade e Testes Ágeis de Software
Introdução à Qualidade e Testes Ágeis de SoftwareClaudia Melo
 

Semelhante a V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessment em Ativos tecnológicos.” (20)

Microprofile - Facilitando o desenvolvimento de Microserviços
Microprofile - Facilitando o desenvolvimento de MicroserviçosMicroprofile - Facilitando o desenvolvimento de Microserviços
Microprofile - Facilitando o desenvolvimento de Microserviços
 
Conceito de analise de desenvolvivento de sistemas
Conceito de analise de desenvolvivento de sistemasConceito de analise de desenvolvivento de sistemas
Conceito de analise de desenvolvivento de sistemas
 
Analise de Requisitos
Analise de RequisitosAnalise de Requisitos
Analise de Requisitos
 
Migração para Software Livre
Migração para Software LivreMigração para Software Livre
Migração para Software Livre
 
Capítulo 11 - Como desenvolver sistemas de informação e gerenciar projetos
Capítulo 11 - Como desenvolver sistemas de informação e gerenciar projetosCapítulo 11 - Como desenvolver sistemas de informação e gerenciar projetos
Capítulo 11 - Como desenvolver sistemas de informação e gerenciar projetos
 
Testes Funcionais e Estruturais utilizando Selenium IDE e Cobertura
Testes Funcionais e Estruturais utilizando Selenium IDE e CoberturaTestes Funcionais e Estruturais utilizando Selenium IDE e Cobertura
Testes Funcionais e Estruturais utilizando Selenium IDE e Cobertura
 
Monitoramento de malware em Windows NT 6.x - 64bits
Monitoramento de malware em Windows NT 6.x - 64bitsMonitoramento de malware em Windows NT 6.x - 64bits
Monitoramento de malware em Windows NT 6.x - 64bits
 
Plano de projeto de software - SISCONI
Plano de projeto de software - SISCONIPlano de projeto de software - SISCONI
Plano de projeto de software - SISCONI
 
Construindo aplicações Cloud Native em Go
Construindo aplicações Cloud Native em GoConstruindo aplicações Cloud Native em Go
Construindo aplicações Cloud Native em Go
 
Plano de projeto de software - SISCONI
Plano de projeto de software - SISCONIPlano de projeto de software - SISCONI
Plano de projeto de software - SISCONI
 
BIODATA: SOFTWARE WEB PARA GERENCIAMENTO DE COLETA DE DADOS BIOMÉDICOS
BIODATA: SOFTWARE WEB PARA GERENCIAMENTO DE COLETA DE DADOS BIOMÉDICOSBIODATA: SOFTWARE WEB PARA GERENCIAMENTO DE COLETA DE DADOS BIOMÉDICOS
BIODATA: SOFTWARE WEB PARA GERENCIAMENTO DE COLETA DE DADOS BIOMÉDICOS
 
Apresentação sobre a COSINF
Apresentação sobre a COSINFApresentação sobre a COSINF
Apresentação sobre a COSINF
 
Manual
ManualManual
Manual
 
01 introducaocaats
01 introducaocaats01 introducaocaats
01 introducaocaats
 
Apresentação testes white box
Apresentação testes white boxApresentação testes white box
Apresentação testes white box
 
Fatores de Qualidade de MacCall e ISO/IEC 9126
Fatores de Qualidade de MacCall e ISO/IEC 9126Fatores de Qualidade de MacCall e ISO/IEC 9126
Fatores de Qualidade de MacCall e ISO/IEC 9126
 
Palestra big data_e_mineracao_dedados_5agosto13-versaoslideshare
Palestra big data_e_mineracao_dedados_5agosto13-versaoslidesharePalestra big data_e_mineracao_dedados_5agosto13-versaoslideshare
Palestra big data_e_mineracao_dedados_5agosto13-versaoslideshare
 
Redes2 aula02
Redes2 aula02Redes2 aula02
Redes2 aula02
 
2 engenharia de software
2 engenharia de software2 engenharia de software
2 engenharia de software
 
Introdução à Qualidade e Testes Ágeis de Software
Introdução à Qualidade e Testes Ágeis de SoftwareIntrodução à Qualidade e Testes Ágeis de Software
Introdução à Qualidade e Testes Ágeis de Software
 

Mais de Clavis Segurança da Informação

Resposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo MontoroResposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo MontoroClavis Segurança da Informação
 
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoDesenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
Big Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - ApresentaçãoBig Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
A maldição do local admin - 10o Workshop SegInfo - Apresentação
A maldição do local admin - 10o Workshop SegInfo - ApresentaçãoA maldição do local admin - 10o Workshop SegInfo - Apresentação
A maldição do local admin - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
Adoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
Adoção do PCI no Brasil - 10o Workshop SegInfo - ApresentaçãoAdoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
Adoção do PCI no Brasil - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis Segurança da Informação
 
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Clavis Segurança da Informação
 
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapManobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapClavis Segurança da Informação
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Clavis Segurança da Informação
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoClavis Segurança da Informação
 
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força BrutaEntendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força BrutaClavis Segurança da Informação
 
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapDescobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapClavis Segurança da Informação
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFGerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFClavis Segurança da Informação
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Clavis Segurança da Informação
 

Mais de Clavis Segurança da Informação (20)

Bsides SP 2022 - EPSS - Final.pptx
Bsides SP 2022 - EPSS - Final.pptxBsides SP 2022 - EPSS - Final.pptx
Bsides SP 2022 - EPSS - Final.pptx
 
Cloud Summit Canada com Rodrigo Montoro
Cloud Summit Canada com Rodrigo MontoroCloud Summit Canada com Rodrigo Montoro
Cloud Summit Canada com Rodrigo Montoro
 
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo MontoroResposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
 
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoDesenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
 
Big Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - ApresentaçãoBig Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
 
A maldição do local admin - 10o Workshop SegInfo - Apresentação
A maldição do local admin - 10o Workshop SegInfo - ApresentaçãoA maldição do local admin - 10o Workshop SegInfo - Apresentação
A maldição do local admin - 10o Workshop SegInfo - Apresentação
 
Adoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
Adoção do PCI no Brasil - 10o Workshop SegInfo - ApresentaçãoAdoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
Adoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
 
Palestra GlobalSign
Palestra GlobalSignPalestra GlobalSign
Palestra GlobalSign
 
Palestra Clavis - Octopus
Palestra Clavis - OctopusPalestra Clavis - Octopus
Palestra Clavis - Octopus
 
Palestra Exceda - Clavis 2016
Palestra Exceda - Clavis 2016Palestra Exceda - Clavis 2016
Palestra Exceda - Clavis 2016
 
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
 
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
 
Webinar # 21 – Análise Forense de Redes
Webinar # 21 – Análise Forense de Redes Webinar # 21 – Análise Forense de Redes
Webinar # 21 – Análise Forense de Redes
 
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapManobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
 
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força BrutaEntendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
 
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapDescobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFGerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
 

V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessment em Ativos tecnológicos.”

  • 1.
  • 2. Utilizando padrões abertos para coleta de informações e Assessment em ativos tecnológicos. IGOR PRATA Analista de Segurança Laboratório de Pesquisa em Tecnologia e Conhecimento (KMLab) Módulo Security Solutions
  • 3. 1. APRESENTAÇÃO 2. CENÁRIO ATUAL 3. SCAP 4. OVAL 5. PROJETO MODSIC 6. REFERÊNCIAS
  • 4. • Conhecimento gerado por diversas entidades creditadas. • Falta de padrões em comum (e abertos). • Cada solução de segurança lida com o conhecimento, análise e resultados de maneira própria. • Baixíssima interoperabilidade.
  • 5.
  • 6. • Desenvolvido pelo NIST (National Institute of Standards and Technology) • Entidade Norte Americana Responsável por Padrões Tecnológicos • Responsável pela padronização de diversos procedimentos de segurança para o Governo dos EUA
  • 7. COMBINAÇÃO DE VÁRIOS PADRÕES ABERTOS (componentes) Funcionalidades: 1. Enumeradores para falhas de software e questões relacionadas a segurança 2. Modelo de Análise de vulnerabilidades 3. Linguagem para descrição de sistemas e seus estados
  • 8. • CVE Common Vulnerabilities and Exposures • CCE Common Configuration Enumeration • CPE Common Platform Enumeration • CVSS Common Vulnerability Scoring System • XCCDF Extensible Configuration Checklist Description Format • OVAL Open Vulnerability and Assessment Language
  • 9. O conjunto de padrões possibilita: • Gerenciamento automático de vulnerabilidades • Medições de risco (measurament) • Validação de políticas de conformidade
  • 10. Os padrões SCAP são amplamente difundidos. O SCAP Validation Program já apresenta diversas soluções homologadas. FDCC Scanners: http://scap.nist.gov/validation/index.html
  • 11. • Mantido pela comunidade de segurança da informação • Padronizar a maneira de acessar e reportar o estado (configuração) de sistemas computacionais • Engloba uma linguagem para descrição de detalhes de sistemas e um repositório de conhecimento público • Composto por documentos (XSD) que descrevem uma linguagem para criação de scripts de coleta (XML)
  • 12. Etapas de um processo de análise: Representação das informações de configurações de sistemas Análise para busca de estados específicos em sistemas. Apresentação dos resultados obtidos pela análise.
  • 13.
  • 14. ESTADO DO CONCEITO SISTEMA (configuração) Usuário GUEST Usuário GUEST Object deve estar DESABILITADO Test DESABILITADO State DEFINITION
  • 15. OVAL_Common oval_definitions oval_system_characteristics oval_results windows_definitions windows_system_characteristics unix_definitions unix_system_characteristics macos_definitions macos_system_characteristics ... ...
  • 16. • Padroniza a maneira de coletar informações em sistemas e a forma de reportar os resultados • Facilita a automação do processo de coleta de informações • Proporciona maior interoperabilidade entre produtos ligados à segurança da informação • A linguagem é consistente e escalável
  • 17. • Possui uma comunidade ativa de colaboradores pelo OVAL Board, que valida alterações na linguagem • O programa OVAL Adoption além de certificar, “treina” os vendors de segurança em TI nas melhores práticas • Já existe uma grande lista de empresas e produtos homologados para a linguagem: http://oval.mitre.org/adoption/productlist.html
  • 18.
  • 19.
  • 20. • Executa coletas remotas (agentless) • Coleta distribuída • Agendador de tarefas • Probes desacopladas do núcleo do serviço • Auxilia um nicho tecnológico ainda mal explorado por outras soluções opensource
  • 21.
  • 22.
  • 23.
  • 24.
  • 25. • Cooperação da comunidade em melhorias para o modSIC (desenvolvimento, feedback, testes, etc) • Melhor interoperabilidade entre soluções que carecem de um mecanismo de IT GRC • Confiabilidade no que é executado em um determinado datacenter pela transparência que um software opensource pode fornecer • Promover a popularização dos padrões SCAP (OVAL)
  • 26. • Garantir compatibilidade com o Framework Mono • Eliminar dependências proprietárias no código • Reimplementar o modelo de acesso à base de dados • Aspectos de segurança: mecanismo de autenticação, criptografia do canal e das credenciais armazenadas • Documentação da API Lançamento: 1ª quinzena de Janeiro de 2011
  • 27. • Make security Measurable and Manageble http://measurablesecurity.mitre.org • Mitre http://oval.mitre.org • NIST http://scap.nist.gov