Semelhante a Utilizando padroes abertos para coleta de informacoes e assessment em ativos tecnologicos - Igor Devulsky Prata (Módulo) - V SegInfo (2010)
Semelhante a Utilizando padroes abertos para coleta de informacoes e assessment em ativos tecnologicos - Igor Devulsky Prata (Módulo) - V SegInfo (2010) (20)
Utilizando padroes abertos para coleta de informacoes e assessment em ativos tecnologicos - Igor Devulsky Prata (Módulo) - V SegInfo (2010)
1.
2. Utilizando padrões abertos para coleta
de informações e Assessment em ativos
tecnológicos.
IGOR PRATA
Analista de Segurança
Laboratório de Pesquisa em Tecnologia e Conhecimento (KMLab)
Módulo Security Solutions
4. • Conhecimento gerado por diversas entidades
creditadas.
• Falta de padrões em comum (e abertos).
• Cada solução de segurança lida com o conhecimento,
análise e resultados de maneira própria.
• Baixíssima interoperabilidade.
5.
6. • Desenvolvido pelo NIST (National Institute of
Standards and Technology)
• Entidade Norte Americana Responsável por Padrões
Tecnológicos
• Responsável pela padronização de diversos
procedimentos de segurança para o Governo dos EUA
7. COMBINAÇÃO DE VÁRIOS PADRÕES ABERTOS
(componentes)
Funcionalidades:
1. Enumeradores para falhas de software e
questões relacionadas a segurança
2. Modelo de Análise de vulnerabilidades
3. Linguagem para descrição de sistemas e seus
estados
8. • CVE Common Vulnerabilities and Exposures
• CCE Common Configuration Enumeration
• CPE Common Platform Enumeration
• CVSS Common Vulnerability Scoring System
• XCCDF Extensible Configuration Checklist Description Format
• OVAL Open Vulnerability and Assessment Language
9. O conjunto de padrões possibilita:
• Gerenciamento automático de vulnerabilidades
• Medições de risco (measurament)
• Validação de políticas de conformidade
10. Os padrões SCAP são amplamente difundidos.
O SCAP Validation Program já apresenta diversas
soluções homologadas.
http://scap.nist.gov/validation/index.html
FDCC Scanners:
11. • Mantido pela comunidade de segurança da informação
• Padronizar a maneira de acessar e reportar o estado
(configuração) de sistemas computacionais
• Engloba uma linguagem para descrição de detalhes de
sistemas e um repositório de conhecimento público
• Composto por documentos (XSD) que descrevem uma
linguagem para criação de scripts de coleta (XML)
12. Representação das informações
de configurações de sistemas
Análise para busca de estados
específicos em sistemas.
Apresentação dos resultados
obtidos pela análise.
Etapas de um processo de análise:
16. • Padroniza a maneira de coletar informações em
sistemas e a forma de reportar os resultados
• Facilita a automação do processo de coleta de
informações
• Proporciona maior interoperabilidade entre produtos
ligados à segurança da informação
• A linguagem é consistente e escalável
17. • Possui uma comunidade ativa de colaboradores pelo
OVAL Board, que valida alterações na linguagem
• O programa OVAL Adoption além de certificar, “treina”
os vendors de segurança em TI nas melhores práticas
• Já existe uma grande lista de empresas e produtos
homologados para a linguagem:
http://oval.mitre.org/adoption/productlist.html
18.
19.
20. • Executa coletas remotas (agentless)
• Coleta distribuída
• Agendador de tarefas
• Probes desacopladas do núcleo do serviço
• Auxilia um nicho tecnológico ainda mal explorado por
outras soluções opensource
21.
22.
23.
24.
25. • Cooperação da comunidade em melhorias para o
modSIC (desenvolvimento, feedback, testes, etc)
• Melhor interoperabilidade entre soluções que carecem
de um mecanismo de IT GRC
• Confiabilidade no que é executado em um determinado
datacenter pela transparência que um software
opensource pode fornecer
• Promover a popularização dos padrões SCAP (OVAL)
26. • Garantir compatibilidade com o Framework Mono
• Eliminar dependências proprietárias no código
• Reimplementar o modelo de acesso à base de dados
• Aspectos de segurança: mecanismo de autenticação,
criptografia do canal e das credenciais armazenadas
• Documentação da API
Lançamento: 1ª quinzena de Janeiro de 2011
27. • Make security Measurable and Manageble
http://measurablesecurity.mitre.org
• Mitre
http://oval.mitre.org
• NIST
http://scap.nist.gov