O documento descreve o Security Content Automation Protocol (SCAP), que é uma lista de padrões gerenciada pelo NIST para padronizar a segurança em sistemas. O SCAP utiliza sete especificações principais como CVE, CVSS, XCCDF e OVAL para inventariar sistemas, identificar vulnerabilidades e monitorar a segurança. O documento também explica como ferramentas como OpenSCAP podem ser usadas para aplicar os padrões SCAP.
3. MOTIVAÇÃO
Estudar algo novo
Necessidade na Conviso
Desafios em ambientes complexos para manter segurança
Nerds Mode Extreme =)
4. AGENDA
Introdução ao SCAP
Os 7 anões ou componentes
Ferramentas para utilzação do SCAP
5. INTRODUÇÃO
SCAP (Security Content Automation Protocol) é uma lista de
padrões gerenciado pelo NIST. Foi criado para padronizar a
segurança em sistemas enterprise, como por exemplo verificar a
presença de atualizações, checar configurações e examinar
sistemas aparentemente invadidos.
6. PRINCIPAIS VALORES DO USO DO SCAP
Inventário
Identificar brechas de segurança no sistema
Monitorar o estado de segurança do sistema
Quantificar riscos
Uso de terminologias comum para plataformas, vulnerabilidades,
checagem de segurança entre outros.
Checagem de configurações
13. OS 7 ANÕES ( OU ESPECIFICAÇÕES ) ….
Enumeração
CVE®: Common Vulnerabilities and Exposures
CCE™: Common Configuration Enumeration
CPE™: Common Platform Enumeration
Linguagens
OVAL®: Open Vulnerability and Assessment Language
OCIL: Open Checklist Interactive Language
XCCDF: The eXtensible Configuration Checklist Description Format
Métricas
CVSS: Common Vulnerability Scoring System
17. CVE (COMMON VULNERABILITIES AND EXPOSURES)
Padronização pública da descrição das vulnerabilidades, com atualmente mais de 61 mil entradas
E uma média de 18 novas diariamente.
21. XCCDF
É o formato comum para a representação dos checklist de
configuração. Ele é independente de plataforma e pode ser de
forma manual ou automática.
22.
23. OVAL (OPEN VULNERABILITY AND
ASSESSMENT LANGUAGE)
É uma realização da comunidade de segurança para padronizar
como testar e relatar o estado dos sistemas. Inclui uma linguagem
bem granular e poderosa possibilitando a troca de informação da
comunidade.