V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessment em Ativos...

Click here to load reader

  • date post

    09-Jun-2015
  • Category

    Documents

  • view

    572
  • download

    4

Embed Size (px)

description

Igor Devulsky Prata (Módulo)

Transcript of V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessment em Ativos...

  • 1. Utilizando padres abertos para coletade informaes e Assessment em ativostecnolgicos.IGOR PRATAAnalista de SeguranaLaboratrio de Pesquisa em Tecnologia e Conhecimento (KMLab)Mdulo Security Solutions

2. 1. APRESENTAO2. CENRIO ATUAL3. SCAP4. OVAL5. PROJETO MODSIC6. REFERNCIAS 3. Conhecimento gerado por diversas entidadescreditadas. Falta de padres em comum (e abertos). Cada soluo de segurana lida com o conhecimento,anlise e resultados de maneira prpria. Baixssima interoperabilidade. 4. Desenvolvido pelo NIST (National Institute ofStandards and Technology) Entidade Norte Americana Responsvel por PadresTecnolgicos Responsvel pela padronizao de diversosprocedimentos de segurana para o Governo dos EUA 5. COMBINAO DE VRIOS PADRES ABERTOS(componentes)Funcionalidades: 1. Enumeradores para falhas de software equestes relacionadas a segurana 2. Modelo de Anlise de vulnerabilidades 3. Linguagem para descrio de sistemas e seusestados 6. CVE Common Vulnerabilities and Exposures CCE Common Configuration Enumeration CPE Common Platform Enumeration CVSS Common Vulnerability Scoring System XCCDF Extensible Configuration Checklist Description Format OVAL Open Vulnerability and Assessment Language 7. O conjunto de padres possibilita: Gerenciamento automtico de vulnerabilidades Medies de risco (measurament) Validao de polticas de conformidade 8. Os padres SCAP so amplamente difundidos.O SCAP Validation Program j apresenta diversassolues homologadas.FDCC Scanners: http://scap.nist.gov/validation/index.html 9. Mantido pela comunidade de segurana da informao Padronizar a maneira de acessar e reportar o estado (configurao) de sistemas computacionais Engloba uma linguagem para descrio de detalhes de sistemas e um repositrio de conhecimento pblico Composto por documentos (XSD) que descrevem uma linguagem para criao de scripts de coleta (XML) 10. Etapas de um processo de anlise: Representao das informaes de configuraes de sistemas Anlise para busca de estados especficos em sistemas. Apresentao dos resultados obtidos pela anlise. 11. ESTADO DOCONCEITO SISTEMA(configurao)Usurio GUESTUsurio GUESTObjectdeve estarDESABILITADOTestDESABILITADO State DEFINITION 12. OVAL_Commonoval_definitionsoval_system_characteristicsoval_resultswindows_definitions windows_system_characteristicsunix_definitions unix_system_characteristics macos_definitions macos_system_characteristics ... ... 13. Padroniza a maneira de coletar informaes em sistemas e a forma de reportar os resultados Facilita a automao do processo de coleta de informaes Proporciona maior interoperabilidade entre produtos ligados segurana da informao A linguagem consistente e escalvel 14. Possui uma comunidade ativa de colaboradores peloOVAL Board, que valida alteraes na linguagem O programa OVAL Adoption alm de certificar, treinaos vendors de segurana em TI nas melhores prticas J existe uma grande lista de empresas e produtoshomologados para a linguagem:http://oval.mitre.org/adoption/productlist.html 15. Executa coletas remotas (agentless) Coleta distribuda Agendador de tarefas Probes desacopladas do ncleo do servio Auxilia um nicho tecnolgico ainda mal explorado por outras solues opensource 16. Cooperao da comunidade em melhorias para o modSIC (desenvolvimento, feedback, testes, etc) Melhor interoperabilidade entre solues que carecem de um mecanismo de IT GRC Confiabilidade no que executado em um determinado datacenter pela transparncia que um software opensource pode fornecer Promover a popularizao dos padres SCAP (OVAL) 17. Garantir compatibilidade com o Framework Mono Eliminar dependncias proprietrias no cdigo Reimplementar o modelo de acesso base de dados Aspectos de segurana: mecanismo de autenticao,criptografia do canal e das credenciais armazenadas Documentao da API Lanamento: 1 quinzena de Janeiro de 2011 18. Make security Measurable and Manageblehttp://measurablesecurity.mitre.org Mitrehttp://oval.mitre.org NISThttp://scap.nist.gov 19. www.modsic.org [email protected] [email protected]