SlideShare uma empresa Scribd logo

Utilizando padroes abertos para coleta de informacoes e assessment em ativos tecnologicos - Igor Devulsky Prata (Módulo) - V SegInfo (2010)

SegInfo
SegInfo
Tecnologia
1 de 28
Baixar para ler offline
Utilizando padrões abertos para coleta de informações e Assessment em ativos tecnológicos. IGOR PRATA Analista de Segurança Laboratório de Pesquisa em Tecnologia e Conhecimento (KMLab) Módulo Security Solutions
1. APRESENTAÇÃO 2. CENÁRIO ATUAL 3. SCAP 4. OVAL 5. PROJETO MODSIC 6. REFERÊNCIAS
• Conhecimento gerado por diversas entidades creditadas. • Falta de padrões em comum (e abertos). • Cada solução de segurança lida com o conhecimento, análise e resultados de maneira própria. • Baixíssima interoperabilidade.
• Desenvolvido pelo NIST (National Institute of Standards and Technology) • Entidade Norte Americana Responsável por Padrões Tecnológicos • Responsável pela padronização de diversos procedimentos de segurança para o Governo dos EUA
COMBINAÇÃO DE VÁRIOS PADRÕES ABERTOS (componentes) Funcionalidades: 1. Enumeradores para falhas de software e questões relacionadas a segurança 2. Modelo de Análise de vulnerabilidades 3. Linguagem para descrição de sistemas e seus estados
• CVE Common Vulnerabilities and Exposures • CCE Common Configuration Enumeration • CPE Common Platform Enumeration • CVSS Common Vulnerability Scoring System • XCCDF Extensible Configuration Checklist Description Format • OVAL Open Vulnerability and Assessment Language
O conjunto de padrões possibilita: • Gerenciamento automático de vulnerabilidades • Medições de risco (measurament) • Validação de políticas de conformidade
Os padrões SCAP são amplamente difundidos. O SCAP Validation Program já apresenta diversas soluções homologadas. http://scap.nist.gov/validation/index.html FDCC Scanners:
• Mantido pela comunidade de segurança da informação • Padronizar a maneira de acessar e reportar o estado (configuração) de sistemas computacionais • Engloba uma linguagem para descrição de detalhes de sistemas e um repositório de conhecimento público • Composto por documentos (XSD) que descrevem uma linguagem para criação de scripts de coleta (XML)
Representação das informações de configurações de sistemas Análise para busca de estados específicos em sistemas. Apresentação dos resultados obtidos pela análise. Etapas de um processo de análise:
ESTADO DO SISTEMA (configuração) CONCEITO Usuário GUEST deve estar DESABILITADO Usuário GUEST DESABILITADO Object State Test DEFINITION
oval_definitions windows_definitions unix_definitions macos_definitions ... oval_system_characteristics windows_system_characteristics unix_system_characteristics macos_system_characteristics ... oval_results OVAL_Common
• Padroniza a maneira de coletar informações em sistemas e a forma de reportar os resultados • Facilita a automação do processo de coleta de informações • Proporciona maior interoperabilidade entre produtos ligados à segurança da informação • A linguagem é consistente e escalável
• Possui uma comunidade ativa de colaboradores pelo OVAL Board, que valida alterações na linguagem • O programa OVAL Adoption além de certificar, “treina” os vendors de segurança em TI nas melhores práticas • Já existe uma grande lista de empresas e produtos homologados para a linguagem: http://oval.mitre.org/adoption/productlist.html
• Executa coletas remotas (agentless) • Coleta distribuída • Agendador de tarefas • Probes desacopladas do núcleo do serviço • Auxilia um nicho tecnológico ainda mal explorado por outras soluções opensource
• Cooperação da comunidade em melhorias para o modSIC (desenvolvimento, feedback, testes, etc) • Melhor interoperabilidade entre soluções que carecem de um mecanismo de IT GRC • Confiabilidade no que é executado em um determinado datacenter pela transparência que um software opensource pode fornecer • Promover a popularização dos padrões SCAP (OVAL)
• Garantir compatibilidade com o Framework Mono • Eliminar dependências proprietárias no código • Reimplementar o modelo de acesso à base de dados • Aspectos de segurança: mecanismo de autenticação, criptografia do canal e das credenciais armazenadas • Documentação da API Lançamento: 1ª quinzena de Janeiro de 2011
• Make security Measurable and Manageble http://measurablesecurity.mitre.org • Mitre http://oval.mitre.org • NIST http://scap.nist.gov
www.modsic.org modsic@modulo.com iprata@modulo.com

Recomendados

V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessmen...
V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessmen...V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessmen...
V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessmen...Clavis Segurança da Informação
 
Técnicas de modelagem formal aplicadas na avaliação de sistemas biomédicos.
Técnicas de modelagem formal aplicadas na avaliação de sistemas biomédicos.Técnicas de modelagem formal aplicadas na avaliação de sistemas biomédicos.
Técnicas de modelagem formal aplicadas na avaliação de sistemas biomédicos.Misael Jr
 
ISO15408, Common Criteria 2.x - Overview
ISO15408, Common Criteria 2.x - OverviewISO15408, Common Criteria 2.x - Overview
ISO15408, Common Criteria 2.x - OverviewJairo Willian Pereira
 
Estudo sobre Portais Públicos como fontes confiáveis para inteligência de Fon...
Estudo sobre Portais Públicos como fontes confiáveis para inteligência de Fon...Estudo sobre Portais Públicos como fontes confiáveis para inteligência de Fon...
Estudo sobre Portais Públicos como fontes confiáveis para inteligência de Fon...Eduardo Moresi
 
O Emprego das Fontes Abertas no Âmbito da Inteligência Policial
O Emprego das Fontes Abertas no Âmbito da Inteligência PolicialO Emprego das Fontes Abertas no Âmbito da Inteligência Policial
O Emprego das Fontes Abertas no Âmbito da Inteligência Policialsarabhmg
 
Tecnicas de coleta de dados e instrumentos- Material maravilhoso
Tecnicas de coleta de dados e instrumentos- Material maravilhosoTecnicas de coleta de dados e instrumentos- Material maravilhoso
Tecnicas de coleta de dados e instrumentos- Material maravilhosoRosane Domingues
 
Desenvolvimento psico motor
Desenvolvimento psico motorDesenvolvimento psico motor
Desenvolvimento psico motorbecresforte
 
Desenvolvimento físico e psicomotor na 1a infância
Desenvolvimento físico e psicomotor na 1a infânciaDesenvolvimento físico e psicomotor na 1a infância
Desenvolvimento físico e psicomotor na 1a infânciaUNICEP
 

Recomendados

V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessmen...
V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessmen...V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessmen...
V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessmen...Clavis Segurança da Informação
 
Técnicas de modelagem formal aplicadas na avaliação de sistemas biomédicos.
Técnicas de modelagem formal aplicadas na avaliação de sistemas biomédicos.Técnicas de modelagem formal aplicadas na avaliação de sistemas biomédicos.
Técnicas de modelagem formal aplicadas na avaliação de sistemas biomédicos.Misael Jr
 
ISO15408, Common Criteria 2.x - Overview
ISO15408, Common Criteria 2.x - OverviewISO15408, Common Criteria 2.x - Overview
ISO15408, Common Criteria 2.x - OverviewJairo Willian Pereira
 
Estudo sobre Portais Públicos como fontes confiáveis para inteligência de Fon...
Estudo sobre Portais Públicos como fontes confiáveis para inteligência de Fon...Estudo sobre Portais Públicos como fontes confiáveis para inteligência de Fon...
Estudo sobre Portais Públicos como fontes confiáveis para inteligência de Fon...Eduardo Moresi
 
O Emprego das Fontes Abertas no Âmbito da Inteligência Policial
O Emprego das Fontes Abertas no Âmbito da Inteligência PolicialO Emprego das Fontes Abertas no Âmbito da Inteligência Policial
O Emprego das Fontes Abertas no Âmbito da Inteligência Policialsarabhmg
 
Tecnicas de coleta de dados e instrumentos- Material maravilhoso
Tecnicas de coleta de dados e instrumentos- Material maravilhosoTecnicas de coleta de dados e instrumentos- Material maravilhoso
Tecnicas de coleta de dados e instrumentos- Material maravilhosoRosane Domingues
 
Desenvolvimento psico motor
Desenvolvimento psico motorDesenvolvimento psico motor
Desenvolvimento psico motorbecresforte
 
Desenvolvimento físico e psicomotor na 1a infância
Desenvolvimento físico e psicomotor na 1a infânciaDesenvolvimento físico e psicomotor na 1a infância
Desenvolvimento físico e psicomotor na 1a infânciaUNICEP
 
Defesa Becker
Defesa BeckerDefesa Becker
Defesa BeckerChristian Becker
 
Introdução à Qualidade e Testes Ágeis de Software
Introdução à Qualidade e Testes Ágeis de SoftwareIntrodução à Qualidade e Testes Ágeis de Software
Introdução à Qualidade e Testes Ágeis de SoftwareClaudia Melo
 
Teste de software
Teste de softwareTeste de software
Teste de softwareRafael Sanches
 
Apresentação testes white box
Apresentação testes white boxApresentação testes white box
Apresentação testes white boxBárbara Cabral da Conceição, CTFL
 
Engenharia de Testes
Engenharia de TestesEngenharia de Testes
Engenharia de TestesUFPA
 
Uso de Critérios de Seleção para Frameworks Livres em Plataforma Java EE
Uso de Critérios de Seleção para Frameworks Livres em Plataforma Java EEUso de Critérios de Seleção para Frameworks Livres em Plataforma Java EE
Uso de Critérios de Seleção para Frameworks Livres em Plataforma Java EEMarco Antonio Maciel
 
Migração para Software Livre
Migração para Software LivreMigração para Software Livre
Migração para Software LivreMagno A. Cavalcante
 
Validando a Segurança de Software
Validando a Segurança de SoftwareValidando a Segurança de Software
Validando a Segurança de SoftwareJeronimo Zucco
 
2 engenharia de software
2 engenharia de software2 engenharia de software
2 engenharia de softwareFelipe Bugov
 
CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor...
CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor... CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor...
CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor...TI Safe
 
Apresentação sobre a COSINF
Apresentação sobre a COSINFApresentação sobre a COSINF
Apresentação sobre a COSINFAllyson Barros
 
Segurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwaresSegurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwaresLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
O que é Teste de Software?
O que é Teste de Software?O que é Teste de Software?
O que é Teste de Software?testedesoftwarepe
 
TechNet Wiki Summit 2015 - DevOps
TechNet Wiki Summit 2015 - DevOpsTechNet Wiki Summit 2015 - DevOps
TechNet Wiki Summit 2015 - DevOpsAlan Carlos
 
Plano do projeto de software
Plano do projeto de softwarePlano do projeto de software
Plano do projeto de softwareDanilo Gois
 
Processo e Processo de Software
Processo e Processo de SoftwareProcesso e Processo de Software
Processo e Processo de SoftwareElaine Cecília Gatto
 
CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...
CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...
CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...TI Safe
 
Fatores de Qualidade de MacCall e ISO/IEC 9126
Fatores de Qualidade de MacCall e ISO/IEC 9126Fatores de Qualidade de MacCall e ISO/IEC 9126
Fatores de Qualidade de MacCall e ISO/IEC 9126Elaine Cecília Gatto
 
Segurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareSegurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareConviso Application Security
 
Aula 03 de engenharia de software uespi 2011-1
Aula 03 de engenharia de software uespi 2011-1Aula 03 de engenharia de software uespi 2011-1
Aula 03 de engenharia de software uespi 2011-1Erivelton Silva Rocha
 

Mais conteúdo relacionado

Semelhante a Utilizando padroes abertos para coleta de informacoes e assessment em ativos tecnologicos - Igor Devulsky Prata (Módulo) - V SegInfo (2010)

Introdução à Qualidade e Testes Ágeis de Software
Introdução à Qualidade e Testes Ágeis de SoftwareIntrodução à Qualidade e Testes Ágeis de Software
Introdução à Qualidade e Testes Ágeis de SoftwareClaudia Melo
 
Engenharia de Testes
Engenharia de TestesEngenharia de Testes
Engenharia de TestesUFPA
 
Uso de Critérios de Seleção para Frameworks Livres em Plataforma Java EE
Uso de Critérios de Seleção para Frameworks Livres em Plataforma Java EEUso de Critérios de Seleção para Frameworks Livres em Plataforma Java EE
Uso de Critérios de Seleção para Frameworks Livres em Plataforma Java EEMarco Antonio Maciel
 
Validando a Segurança de Software
Validando a Segurança de SoftwareValidando a Segurança de Software
Validando a Segurança de SoftwareJeronimo Zucco
 
2 engenharia de software
2 engenharia de software2 engenharia de software
2 engenharia de softwareFelipe Bugov
 
CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor...
CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor... CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor...
CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor...TI Safe
 
Apresentação sobre a COSINF
Apresentação sobre a COSINFApresentação sobre a COSINF
Apresentação sobre a COSINFAllyson Barros
 
TechNet Wiki Summit 2015 - DevOps
TechNet Wiki Summit 2015 - DevOpsTechNet Wiki Summit 2015 - DevOps
TechNet Wiki Summit 2015 - DevOpsAlan Carlos
 
Plano do projeto de software
Plano do projeto de softwarePlano do projeto de software
Plano do projeto de softwareDanilo Gois
 
CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...
CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...
CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...TI Safe
 
Fatores de Qualidade de MacCall e ISO/IEC 9126
Fatores de Qualidade de MacCall e ISO/IEC 9126Fatores de Qualidade de MacCall e ISO/IEC 9126
Fatores de Qualidade de MacCall e ISO/IEC 9126Elaine Cecília Gatto
 
Aula 03 de engenharia de software uespi 2011-1
Aula 03 de engenharia de software uespi 2011-1Aula 03 de engenharia de software uespi 2011-1
Aula 03 de engenharia de software uespi 2011-1Erivelton Silva Rocha
 

Semelhante a Utilizando padroes abertos para coleta de informacoes e assessment em ativos tecnologicos - Igor Devulsky Prata (Módulo) - V SegInfo (2010) (20)

Defesa Becker
Defesa BeckerDefesa Becker
Defesa Becker
 
Introdução à Qualidade e Testes Ágeis de Software
Introdução à Qualidade e Testes Ágeis de SoftwareIntrodução à Qualidade e Testes Ágeis de Software
Introdução à Qualidade e Testes Ágeis de Software
 
Teste de software
Teste de softwareTeste de software
Teste de software
 
Apresentação testes white box
Apresentação testes white boxApresentação testes white box
Apresentação testes white box
 
Engenharia de Testes
Engenharia de TestesEngenharia de Testes
Engenharia de Testes
 
Uso de Critérios de Seleção para Frameworks Livres em Plataforma Java EE
Uso de Critérios de Seleção para Frameworks Livres em Plataforma Java EEUso de Critérios de Seleção para Frameworks Livres em Plataforma Java EE
Uso de Critérios de Seleção para Frameworks Livres em Plataforma Java EE
 
Migração para Software Livre
Migração para Software LivreMigração para Software Livre
Migração para Software Livre
 
Validando a Segurança de Software
Validando a Segurança de SoftwareValidando a Segurança de Software
Validando a Segurança de Software
 
2 engenharia de software
2 engenharia de software2 engenharia de software
2 engenharia de software
 
CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor...
CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor... CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor...
CLASS 2022 - Rodrigo Riella (Lactec) e Claudio Hermeling (TI Safe) - A impor...
 
Apresentação sobre a COSINF
Apresentação sobre a COSINFApresentação sobre a COSINF
Apresentação sobre a COSINF
 
Segurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwaresSegurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwares
 
O que é Teste de Software?
O que é Teste de Software?O que é Teste de Software?
O que é Teste de Software?
 
TechNet Wiki Summit 2015 - DevOps
TechNet Wiki Summit 2015 - DevOpsTechNet Wiki Summit 2015 - DevOps
TechNet Wiki Summit 2015 - DevOps
 
Plano do projeto de software
Plano do projeto de softwarePlano do projeto de software
Plano do projeto de software
 
Processo e Processo de Software
Processo e Processo de SoftwareProcesso e Processo de Software
Processo e Processo de Software
 
CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...
CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...
CLASS 2022 - Maiko Oliveira (Microsoft) - Convergência TO E TI, proteção tota...
 
Fatores de Qualidade de MacCall e ISO/IEC 9126
Fatores de Qualidade de MacCall e ISO/IEC 9126Fatores de Qualidade de MacCall e ISO/IEC 9126
Fatores de Qualidade de MacCall e ISO/IEC 9126
 
Segurança em Desenvolvimento de Software
Segurança em Desenvolvimento de SoftwareSegurança em Desenvolvimento de Software
Segurança em Desenvolvimento de Software
 
Aula 03 de engenharia de software uespi 2011-1
Aula 03 de engenharia de software uespi 2011-1Aula 03 de engenharia de software uespi 2011-1
Aula 03 de engenharia de software uespi 2011-1
 

Utilizando padroes abertos para coleta de informacoes e assessment em ativos tecnologicos - Igor Devulsky Prata (Módulo) - V SegInfo (2010)

  • 1.
  • 2. Utilizando padrões abertos para coleta de informações e Assessment em ativos tecnológicos. IGOR PRATA Analista de Segurança Laboratório de Pesquisa em Tecnologia e Conhecimento (KMLab) Módulo Security Solutions
  • 3. 1. APRESENTAÇÃO 2. CENÁRIO ATUAL 3. SCAP 4. OVAL 5. PROJETO MODSIC 6. REFERÊNCIAS
  • 4. • Conhecimento gerado por diversas entidades creditadas. • Falta de padrões em comum (e abertos). • Cada solução de segurança lida com o conhecimento, análise e resultados de maneira própria. • Baixíssima interoperabilidade.
  • 5.
  • 6. • Desenvolvido pelo NIST (National Institute of Standards and Technology) • Entidade Norte Americana Responsável por Padrões Tecnológicos • Responsável pela padronização de diversos procedimentos de segurança para o Governo dos EUA
  • 7. COMBINAÇÃO DE VÁRIOS PADRÕES ABERTOS (componentes) Funcionalidades: 1. Enumeradores para falhas de software e questões relacionadas a segurança 2. Modelo de Análise de vulnerabilidades 3. Linguagem para descrição de sistemas e seus estados
  • 8. • CVE Common Vulnerabilities and Exposures • CCE Common Configuration Enumeration • CPE Common Platform Enumeration • CVSS Common Vulnerability Scoring System • XCCDF Extensible Configuration Checklist Description Format • OVAL Open Vulnerability and Assessment Language
  • 9. O conjunto de padrões possibilita: • Gerenciamento automático de vulnerabilidades • Medições de risco (measurament) • Validação de políticas de conformidade
  • 10. Os padrões SCAP são amplamente difundidos. O SCAP Validation Program já apresenta diversas soluções homologadas. http://scap.nist.gov/validation/index.html FDCC Scanners:
  • 11. • Mantido pela comunidade de segurança da informação • Padronizar a maneira de acessar e reportar o estado (configuração) de sistemas computacionais • Engloba uma linguagem para descrição de detalhes de sistemas e um repositório de conhecimento público • Composto por documentos (XSD) que descrevem uma linguagem para criação de scripts de coleta (XML)
  • 12. Representação das informações de configurações de sistemas Análise para busca de estados específicos em sistemas. Apresentação dos resultados obtidos pela análise. Etapas de um processo de análise:
  • 13.
  • 14. ESTADO DO SISTEMA (configuração) CONCEITO Usuário GUEST deve estar DESABILITADO Usuário GUEST DESABILITADO Object State Test DEFINITION
  • 16. • Padroniza a maneira de coletar informações em sistemas e a forma de reportar os resultados • Facilita a automação do processo de coleta de informações • Proporciona maior interoperabilidade entre produtos ligados à segurança da informação • A linguagem é consistente e escalável
  • 17. • Possui uma comunidade ativa de colaboradores pelo OVAL Board, que valida alterações na linguagem • O programa OVAL Adoption além de certificar, “treina” os vendors de segurança em TI nas melhores práticas • Já existe uma grande lista de empresas e produtos homologados para a linguagem: http://oval.mitre.org/adoption/productlist.html
  • 18.
  • 19.
  • 20. • Executa coletas remotas (agentless) • Coleta distribuída • Agendador de tarefas • Probes desacopladas do núcleo do serviço • Auxilia um nicho tecnológico ainda mal explorado por outras soluções opensource
  • 21.
  • 22.
  • 23.
  • 24.
  • 25. • Cooperação da comunidade em melhorias para o modSIC (desenvolvimento, feedback, testes, etc) • Melhor interoperabilidade entre soluções que carecem de um mecanismo de IT GRC • Confiabilidade no que é executado em um determinado datacenter pela transparência que um software opensource pode fornecer • Promover a popularização dos padrões SCAP (OVAL)
  • 26. • Garantir compatibilidade com o Framework Mono • Eliminar dependências proprietárias no código • Reimplementar o modelo de acesso à base de dados • Aspectos de segurança: mecanismo de autenticação, criptografia do canal e das credenciais armazenadas • Documentação da API Lançamento: 1ª quinzena de Janeiro de 2011
  • 27. • Make security Measurable and Manageble http://measurablesecurity.mitre.org • Mitre http://oval.mitre.org • NIST http://scap.nist.gov