Utilizando padroes abertos para coleta de informacoes e assessment em ativos tecnologicos - Igor...

Click here to load reader

  • date post

    27-Jun-2015
  • Category

    Technology

  • view

    468
  • download

    2

Embed Size (px)

Transcript of Utilizando padroes abertos para coleta de informacoes e assessment em ativos tecnologicos - Igor...

  • 1. Utilizando padres abertos para coleta de informaes e Assessment em ativos tecnolgicos. IGOR PRATA Analista de Segurana Laboratrio de Pesquisa em Tecnologia e Conhecimento (KMLab) Mdulo Security Solutions

2. 1. APRESENTAO 2. CENRIO ATUAL 3. SCAP 4. OVAL 5. PROJETO MODSIC 6. REFERNCIAS 3. Conhecimento gerado por diversas entidades creditadas. Falta de padres em comum (e abertos). Cada soluo de segurana lida com o conhecimento, anlise e resultados de maneira prpria. Baixssima interoperabilidade. 4. Desenvolvido pelo NIST (National Institute of Standards and Technology) Entidade Norte Americana Responsvel por Padres Tecnolgicos Responsvel pela padronizao de diversos procedimentos de segurana para o Governo dos EUA 5. COMBINAO DE VRIOS PADRES ABERTOS (componentes) Funcionalidades: 1. Enumeradores para falhas de software e questes relacionadas a segurana 2. Modelo de Anlise de vulnerabilidades 3. Linguagem para descrio de sistemas e seus estados 6. CVE Common Vulnerabilities and Exposures CCE Common Configuration Enumeration CPE Common Platform Enumeration CVSS Common Vulnerability Scoring System XCCDF Extensible Configuration Checklist Description Format OVAL Open Vulnerability and Assessment Language 7. O conjunto de padres possibilita: Gerenciamento automtico de vulnerabilidades Medies de risco (measurament) Validao de polticas de conformidade 8. Os padres SCAP so amplamente difundidos. O SCAP Validation Program j apresenta diversas solues homologadas. http://scap.nist.gov/validation/index.html FDCC Scanners: 9. Mantido pela comunidade de segurana da informao Padronizar a maneira de acessar e reportar o estado (configurao) de sistemas computacionais Engloba uma linguagem para descrio de detalhes de sistemas e um repositrio de conhecimento pblico Composto por documentos (XSD) que descrevem uma linguagem para criao de scripts de coleta (XML) 10. Representao das informaes de configuraes de sistemas Anlise para busca de estados especficos em sistemas. Apresentao dos resultados obtidos pela anlise. Etapas de um processo de anlise: 11. ESTADO DO SISTEMA (configurao) CONCEITO Usurio GUEST deve estar DESABILITADO Usurio GUEST DESABILITADO Object State Test DEFINITION 12. oval_definitions windows_definitions unix_definitions macos_definitions ... oval_system_characteristics windows_system_characteristics unix_system_characteristics macos_system_characteristics ... oval_results OVAL_Common 13. Padroniza a maneira de coletar informaes em sistemas e a forma de reportar os resultados Facilita a automao do processo de coleta de informaes Proporciona maior interoperabilidade entre produtos ligados segurana da informao A linguagem consistente e escalvel 14. Possui uma comunidade ativa de colaboradores pelo OVAL Board, que valida alteraes na linguagem O programa OVAL Adoption alm de certificar, treina os vendors de segurana em TI nas melhores prticas J existe uma grande lista de empresas e produtos homologados para a linguagem: http://oval.mitre.org/adoption/productlist.html 15. Executa coletas remotas (agentless) Coleta distribuda Agendador de tarefas Probes desacopladas do ncleo do servio Auxilia um nicho tecnolgico ainda mal explorado por outras solues opensource 16. Cooperao da comunidade em melhorias para o modSIC (desenvolvimento, feedback, testes, etc) Melhor interoperabilidade entre solues que carecem de um mecanismo de IT GRC Confiabilidade no que executado em um determinado datacenter pela transparncia que um software opensource pode fornecer Promover a popularizao dos padres SCAP (OVAL) 17. Garantir compatibilidade com o Framework Mono Eliminar dependncias proprietrias no cdigo Reimplementar o modelo de acesso base de dados Aspectos de segurana: mecanismo de autenticao, criptografia do canal e das credenciais armazenadas Documentao da API Lanamento: 1 quinzena de Janeiro de 2011 18. Make security Measurable and Manageble http://measurablesecurity.mitre.org Mitre http://oval.mitre.org NIST http://scap.nist.gov 19. www.modsic.org [email protected] [email protected]