Utilizando padrões abertos para coleta de informações e Assessment em ativos tecnológicos.

IGOR PRATA Analista de SegurançaLaboratório de Pesquisa em Tecnologia e Conhecimento (KMLab) Módulo Security Solutions

1. APRESENTAÇÃO2. CENÁRIO ATUAL3. SCAP4. OVAL5. PROJETO MODSIC6. REFERÊNCIAS

• Conhecimento gerado por diversas entidadescreditadas.

• Falta de padrões em comum (e abertos).

• Cada solução de segurança lida com o conhecimento,análise e resultados de maneira própria.

• Baixíssima interoperabilidade.

• Desenvolvido pelo NIST (National Institute ofStandards and Technology)

• Entidade Norte Americana Responsável por Padrões Tecnológicos

• Responsável pela padronização de diversos procedimentos de segurança para o Governo dos EUA

COMBINAÇÃO DE VÁRIOS PADRÕES ABERTOS (componentes)

Funcionalidades:

1. Enumeradores para falhas de software e questões relacionadas a segurança

2. Modelo de Análise de vulnerabilidades

3. Linguagem para descrição de sistemas e seus estados

• CVE Common Vulnerabilities and Exposures

• CCE Common Configuration Enumeration

• CPE Common Platform Enumeration

• CVSS Common Vulnerability Scoring System

• XCCDF Extensible Configuration Checklist Description Format

• OVAL Open Vulnerability and Assessment Language

O conjunto de padrões possibilita:

• Gerenciamento automático de vulnerabilidades

• Medições de risco (measurament)

• Validação de políticas de conformidade

Os padrões SCAP são amplamente difundidos.

O SCAP Validation Program já apresenta diversassoluções homologadas.

http://scap.nist.gov/validation/index.html

FDCC Scanners:

• Mantido pela comunidade de segurança da informação

• Padronizar a maneira de acessar e reportar o estado (configuração) de sistemas computacionais

• Engloba uma linguagem para descrição de detalhes de sistemas e um repositório de conhecimento público

• Composto por documentos (XSD) que descrevem uma linguagem para criação de scripts de coleta (XML)

Representação das informações de configurações de sistemas

Análise para busca de estados específicos em sistemas.

Apresentação dos resultados obtidos pela análise.

Etapas de um processo de análise:

ESTADO DO SISTEMA

(configuração)CONCEITO

Usuário GUESTdeve estarDESABILITADO

Usuário GUEST

DESABILITADO

Object

State

Test

DEFINITION

oval_definitions

windows_definitions

unix_definitions

macos_definitions

...

oval_system_characteristics

windows_system_characteristics

unix_system_characteristics

macos_system_characteristics

...

oval_results

OVAL_Common

• Padroniza a maneira de coletar informações em sistemas e a forma de reportar os resultados

• Facilita a automação do processo de coleta de informações

• Proporciona maior interoperabilidade entre produtos ligados à segurança da informação

• A linguagem é consistente e escalável

• Possui uma comunidade ativa de colaboradores pelo OVAL Board, que valida alterações na linguagem

• O programa OVAL Adoption além de certificar, “treina” os vendors de segurança em TI nas melhores práticas

• Já existe uma grande lista de empresas e produtos homologados para a linguagem:

http://oval.mitre.org/adoption/productlist.html

• Executa coletas remotas (agentless)

• Coleta distribuída

• Agendador de tarefas

• Probes desacopladas do núcleo do serviço

• Auxilia um nicho tecnológico ainda mal explorado por outras soluções opensource

• Cooperação da comunidade em melhorias para o modSIC (desenvolvimento, feedback, testes, etc)

• Melhor interoperabilidade entre soluções que carecem de um mecanismo de IT GRC

• Confiabilidade no que é executado em um determinado datacenter pela transparência que um software opensource pode fornecer

• Promover a popularização dos padrões SCAP (OVAL)

• Garantir compatibilidade com o Framework Mono

• Eliminar dependências proprietárias no código

• Reimplementar o modelo de acesso à base de dados

• Aspectos de segurança: mecanismo de autenticação, criptografia do canal e das credenciais armazenadas

• Documentação da API

Lançamento: 1ª quinzena de Janeiro de 2011

• Make security Measurable and Manageblehttp://measurablesecurity.mitre.org

• Mitrehttp://oval.mitre.org

• NISThttp://scap.nist.gov

www.modsic.org

modsic@modulo.comiprata@modulo.com