O documento descreve o Security Content Automation Protocol (SCAP), que é uma lista de padrões gerenciada pelo NIST para padronizar a segurança em sistemas. O SCAP utiliza sete especificações principais como CVE, CVSS, XCCDF e OVAL para inventariar sistemas, identificar vulnerabilidades e monitorar a segurança. O documento também explica como ferramentas como OpenSCAP podem ser usadas para aplicar os padrões SCAP.

1. Branca de Neve e os 7 anões - A história do
Security Content Automation Protocol (SCAP)
Rodrigo “Sp0oKeR” Montoro
@spookerlabs

2. $ WHOIS SP0OKER
 Nerds
 Triatleta / Corredor
 Agora Pai =)

3. MOTIVAÇÃO
 Estudar algo novo
 Necessidade na Conviso
 Desafios em ambientes complexos para manter segurança
 Nerds Mode Extreme =)

4. AGENDA
 Introdução ao SCAP
 Os 7 anões ou componentes
 Ferramentas para utilzação do SCAP

5. INTRODUÇÃO
SCAP (Security Content Automation Protocol) é uma lista de
padrões gerenciado pelo NIST. Foi criado para padronizar a
segurança em sistemas enterprise, como por exemplo verificar a
presença de atualizações, checar configurações e examinar
sistemas aparentemente invadidos.

6. PRINCIPAIS VALORES DO USO DO SCAP
 Inventário
 Identificar brechas de segurança no sistema
 Monitorar o estado de segurança do sistema
 Quantificar riscos
 Uso de terminologias comum para plataformas, vulnerabilidades,
checagem de segurança entre outros.
 Checagem de configurações

7. Você sabe se já usou algo
compatível com SCAP ?

13. OS 7 ANÕES ( OU ESPECIFICAÇÕES ) ….
 Enumeração
 CVE®: Common Vulnerabilities and Exposures
 CCE™: Common Configuration Enumeration
 CPE™: Common Platform Enumeration
 Linguagens
 OVAL®: Open Vulnerability and Assessment Language
 OCIL: Open Checklist Interactive Language
 XCCDF: The eXtensible Configuration Checklist Description Format
 Métricas
 CVSS: Common Vulnerability Scoring System

14. QUESTÃO E ESPECIFICAÇÃO

15. COLINHA PARA LEMBRAR =)

16. VAMOS VER UM POUCO MAIS …

17. CVE (COMMON VULNERABILITIES AND EXPOSURES)
Padronização pública da descrição das vulnerabilidades, com atualmente mais de 61 mil entradas
E uma média de 18 novas diariamente.

18. CVSS

19. CCE (COMMON CONFIGURATION
ENUMERATION)
Prove identificadores únicos para erros de
configuração

20. CPE

21. XCCDF
É o formato comum para a representação dos checklist de
configuração. Ele é independente de plataforma e pode ser de
forma manual ou automática.

23. OVAL (OPEN VULNERABILITY AND
ASSESSMENT LANGUAGE)
É uma realização da comunidade de segurança para padronizar
como testar e relatar o estado dos sistemas. Inclui uma linguagem
bem granular e poderosa possibilitando a troca de informação da
comunidade.

25. Exemplo OVAL (false não está compliance)

26. OCIL - Open Checklist Interactive Language
Se não da para automatizar,
vamos perguntar ….

27. E COMO USO TUDO ISSO ?

28. XCCDF + OVAL

29. SOBRE OPENSCAP

30. RELATÓRIO OPENSCAP OVAL

31. OPENSCAP XCCDF

32. REPOSITÓRIOS PÚBLICO

33. EDITOR ESCAPE

34. SPACE WALK

36. FUTURO

37. DIFERENÇA ENTRE VERSÕES

38. 11 HOMENS E 1 SEGREDO …

39. PRODUTOS VALIDADOS SCAP 1.2

40. LINKS INTERESSANTES
http://scap.nist.gov/
http://nvd.nist.gov/
http://cvedetails.com/
http://oval.mitre.org/
http://open-scap.org/

41. Dúvidas ?
spooker@gmail.com
@spookerlabs / @sucuri_security