V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessment em Ativos...
-
Upload
clavis-seguranca-da-informacao -
Category
Documents
-
view
573 -
download
4
description
Transcript of V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessment em Ativos...
![Page 1: V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessment em Ativos tecnológicos.”](https://reader033.fdocument.pub/reader033/viewer/2022052903/557606fed8b42a0d5e8b45b4/html5/thumbnails/1.jpg)
![Page 2: V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessment em Ativos tecnológicos.”](https://reader033.fdocument.pub/reader033/viewer/2022052903/557606fed8b42a0d5e8b45b4/html5/thumbnails/2.jpg)
Utilizando padrões abertos para coleta de informações e Assessment em ativos tecnológicos.
IGOR PRATA Analista de SegurançaLaboratório de Pesquisa em Tecnologia e Conhecimento (KMLab) Módulo Security Solutions
![Page 3: V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessment em Ativos tecnológicos.”](https://reader033.fdocument.pub/reader033/viewer/2022052903/557606fed8b42a0d5e8b45b4/html5/thumbnails/3.jpg)
1. APRESENTAÇÃO2. CENÁRIO ATUAL3. SCAP4. OVAL5. PROJETO MODSIC6. REFERÊNCIAS
![Page 4: V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessment em Ativos tecnológicos.”](https://reader033.fdocument.pub/reader033/viewer/2022052903/557606fed8b42a0d5e8b45b4/html5/thumbnails/4.jpg)
• Conhecimento gerado por diversas entidadescreditadas.
• Falta de padrões em comum (e abertos).
• Cada solução de segurança lida com o conhecimento,análise e resultados de maneira própria.
• Baixíssima interoperabilidade.
![Page 5: V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessment em Ativos tecnológicos.”](https://reader033.fdocument.pub/reader033/viewer/2022052903/557606fed8b42a0d5e8b45b4/html5/thumbnails/5.jpg)
![Page 6: V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessment em Ativos tecnológicos.”](https://reader033.fdocument.pub/reader033/viewer/2022052903/557606fed8b42a0d5e8b45b4/html5/thumbnails/6.jpg)
• Desenvolvido pelo NIST (National Institute ofStandards and Technology)
• Entidade Norte Americana Responsável por Padrões Tecnológicos
• Responsável pela padronização de diversos procedimentos de segurança para o Governo dos EUA
![Page 7: V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessment em Ativos tecnológicos.”](https://reader033.fdocument.pub/reader033/viewer/2022052903/557606fed8b42a0d5e8b45b4/html5/thumbnails/7.jpg)
COMBINAÇÃO DE VÁRIOS PADRÕES ABERTOS (componentes)
Funcionalidades:
1. Enumeradores para falhas de software e questões relacionadas a segurança
2. Modelo de Análise de vulnerabilidades
3. Linguagem para descrição de sistemas e seus estados
![Page 8: V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessment em Ativos tecnológicos.”](https://reader033.fdocument.pub/reader033/viewer/2022052903/557606fed8b42a0d5e8b45b4/html5/thumbnails/8.jpg)
• CVE Common Vulnerabilities and Exposures
• CCE Common Configuration Enumeration
• CPE Common Platform Enumeration
• CVSS Common Vulnerability Scoring System
• XCCDF Extensible Configuration Checklist Description Format
• OVAL Open Vulnerability and Assessment Language
![Page 9: V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessment em Ativos tecnológicos.”](https://reader033.fdocument.pub/reader033/viewer/2022052903/557606fed8b42a0d5e8b45b4/html5/thumbnails/9.jpg)
O conjunto de padrões possibilita:
• Gerenciamento automático de vulnerabilidades
• Medições de risco (measurament)
• Validação de políticas de conformidade
![Page 10: V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessment em Ativos tecnológicos.”](https://reader033.fdocument.pub/reader033/viewer/2022052903/557606fed8b42a0d5e8b45b4/html5/thumbnails/10.jpg)
Os padrões SCAP são amplamente difundidos.
O SCAP Validation Program já apresenta diversassoluções homologadas.
http://scap.nist.gov/validation/index.html
FDCC Scanners:
![Page 11: V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessment em Ativos tecnológicos.”](https://reader033.fdocument.pub/reader033/viewer/2022052903/557606fed8b42a0d5e8b45b4/html5/thumbnails/11.jpg)
• Mantido pela comunidade de segurança da informação
• Padronizar a maneira de acessar e reportar o estado (configuração) de sistemas computacionais
• Engloba uma linguagem para descrição de detalhes de sistemas e um repositório de conhecimento público
• Composto por documentos (XSD) que descrevem uma linguagem para criação de scripts de coleta (XML)
![Page 12: V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessment em Ativos tecnológicos.”](https://reader033.fdocument.pub/reader033/viewer/2022052903/557606fed8b42a0d5e8b45b4/html5/thumbnails/12.jpg)
Representação das informações de configurações de sistemas
Análise para busca de estados específicos em sistemas.
Apresentação dos resultados obtidos pela análise.
Etapas de um processo de análise:
![Page 13: V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessment em Ativos tecnológicos.”](https://reader033.fdocument.pub/reader033/viewer/2022052903/557606fed8b42a0d5e8b45b4/html5/thumbnails/13.jpg)
![Page 14: V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessment em Ativos tecnológicos.”](https://reader033.fdocument.pub/reader033/viewer/2022052903/557606fed8b42a0d5e8b45b4/html5/thumbnails/14.jpg)
ESTADO DO SISTEMA
(configuração)CONCEITO
Usuário GUESTdeve estarDESABILITADO
Usuário GUEST
DESABILITADO
Object
State
Test
DEFINITION
![Page 15: V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessment em Ativos tecnológicos.”](https://reader033.fdocument.pub/reader033/viewer/2022052903/557606fed8b42a0d5e8b45b4/html5/thumbnails/15.jpg)
oval_definitions
windows_definitions
unix_definitions
macos_definitions
...
oval_system_characteristics
windows_system_characteristics
unix_system_characteristics
macos_system_characteristics
...
oval_results
OVAL_Common
![Page 16: V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessment em Ativos tecnológicos.”](https://reader033.fdocument.pub/reader033/viewer/2022052903/557606fed8b42a0d5e8b45b4/html5/thumbnails/16.jpg)
• Padroniza a maneira de coletar informações em sistemas e a forma de reportar os resultados
• Facilita a automação do processo de coleta de informações
• Proporciona maior interoperabilidade entre produtos ligados à segurança da informação
• A linguagem é consistente e escalável
![Page 17: V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessment em Ativos tecnológicos.”](https://reader033.fdocument.pub/reader033/viewer/2022052903/557606fed8b42a0d5e8b45b4/html5/thumbnails/17.jpg)
• Possui uma comunidade ativa de colaboradores pelo OVAL Board, que valida alterações na linguagem
• O programa OVAL Adoption além de certificar, “treina” os vendors de segurança em TI nas melhores práticas
• Já existe uma grande lista de empresas e produtos homologados para a linguagem:
http://oval.mitre.org/adoption/productlist.html
![Page 18: V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessment em Ativos tecnológicos.”](https://reader033.fdocument.pub/reader033/viewer/2022052903/557606fed8b42a0d5e8b45b4/html5/thumbnails/18.jpg)
![Page 19: V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessment em Ativos tecnológicos.”](https://reader033.fdocument.pub/reader033/viewer/2022052903/557606fed8b42a0d5e8b45b4/html5/thumbnails/19.jpg)
![Page 20: V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessment em Ativos tecnológicos.”](https://reader033.fdocument.pub/reader033/viewer/2022052903/557606fed8b42a0d5e8b45b4/html5/thumbnails/20.jpg)
• Executa coletas remotas (agentless)
• Coleta distribuída
• Agendador de tarefas
• Probes desacopladas do núcleo do serviço
• Auxilia um nicho tecnológico ainda mal explorado por outras soluções opensource
![Page 21: V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessment em Ativos tecnológicos.”](https://reader033.fdocument.pub/reader033/viewer/2022052903/557606fed8b42a0d5e8b45b4/html5/thumbnails/21.jpg)
![Page 22: V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessment em Ativos tecnológicos.”](https://reader033.fdocument.pub/reader033/viewer/2022052903/557606fed8b42a0d5e8b45b4/html5/thumbnails/22.jpg)
![Page 23: V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessment em Ativos tecnológicos.”](https://reader033.fdocument.pub/reader033/viewer/2022052903/557606fed8b42a0d5e8b45b4/html5/thumbnails/23.jpg)
![Page 24: V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessment em Ativos tecnológicos.”](https://reader033.fdocument.pub/reader033/viewer/2022052903/557606fed8b42a0d5e8b45b4/html5/thumbnails/24.jpg)
![Page 25: V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessment em Ativos tecnológicos.”](https://reader033.fdocument.pub/reader033/viewer/2022052903/557606fed8b42a0d5e8b45b4/html5/thumbnails/25.jpg)
• Cooperação da comunidade em melhorias para o modSIC (desenvolvimento, feedback, testes, etc)
• Melhor interoperabilidade entre soluções que carecem de um mecanismo de IT GRC
• Confiabilidade no que é executado em um determinado datacenter pela transparência que um software opensource pode fornecer
• Promover a popularização dos padrões SCAP (OVAL)
![Page 26: V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessment em Ativos tecnológicos.”](https://reader033.fdocument.pub/reader033/viewer/2022052903/557606fed8b42a0d5e8b45b4/html5/thumbnails/26.jpg)
• Garantir compatibilidade com o Framework Mono
• Eliminar dependências proprietárias no código
• Reimplementar o modelo de acesso à base de dados
• Aspectos de segurança: mecanismo de autenticação, criptografia do canal e das credenciais armazenadas
• Documentação da API
Lançamento: 1ª quinzena de Janeiro de 2011
![Page 27: V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessment em Ativos tecnológicos.”](https://reader033.fdocument.pub/reader033/viewer/2022052903/557606fed8b42a0d5e8b45b4/html5/thumbnails/27.jpg)
• Make security Measurable and Manageblehttp://measurablesecurity.mitre.org
• Mitrehttp://oval.mitre.org
• NISThttp://scap.nist.gov