SCAP ( Security Content Automation Protocol ) na BSides São Paulo 2014

Branca de Neve e os 7 anões - A história do Security Content Automation Protocol (SCAP)

Rodrigo “Sp0oKeR” Montoro

@spookerlabs

$ WHOIS SP0OKER

NerdsTriatleta / CorredorAgora Pai =)

MOTIVAÇÃO

Estudar algo novo Necessidade na Conviso Desafios em ambientes complexos para manter segurança Nerds Mode Extreme =)

AGENDA

Introdução ao SCAP Os 7 anões ou componentes Ferramentas para utilzação do SCAP

INTRODUÇÃO

SCAP (Security Content Automation Protocol) é uma lista de padrões gerenciado pelo NIST. Foi criado para padronizar a

segurança em sistemas enterprise, como por exemplo verificar a presença de atualizações, checar configurações e examinar

sistemas aparentemente invadidos.

PRINCIPAIS VALORES DO USO DO SCAP

Inventário Identificar brechas de segurança no sistema Monitorar o estado de segurança do sistema Quantificar riscos Uso de terminologias comum para plataformas, vulnerabilidades,

checagem de segurança entre outros. Checagem de configurações

Você sabe se já usou algo compatível com SCAP ?

OS 7 ANÕES ( OU ESPECIFICAÇÕES ) …. Enumeração

CVE®: Common Vulnerabilities and Exposures CCE™: Common Configuration Enumeration CPE™: Common Platform Enumeration

Linguagens OVAL®: Open Vulnerability and Assessment Language OCIL: Open Checklist Interactive Language XCCDF: The eXtensible Configuration Checklist Description Format

Métricas CVSS: Common Vulnerability Scoring System

QUESTÃO E ESPECIFICAÇÃO

COLINHA PARA LEMBRAR =)

VAMOS VER UM POUCO MAIS …

CVE (COMMON VULNERABILITIES AND EXPOSURES)

Padronização pública da descrição das vulnerabilidades, com atualmente mais de 61 mil entradasE uma média de 18 novas diariamente.

CVSS

CCE (COMMON CONFIGURATION ENUMERATION)

Prove identificadores únicos para erros de configuração

CPE

XCCDF

É o formato comum para a representação dos checklist de configuração. Ele é independente de plataforma e pode ser de

forma manual ou automática.

OVAL (OPEN VULNERABILITY AND ASSESSMENT LANGUAGE)

É uma realização da comunidade de segurança para padronizar como testar e relatar o estado dos sistemas. Inclui uma linguagem bem granular e poderosa possibilitando a troca de informação da

comunidade.

Exemplo OVAL (false não está compliance)

OCIL - Open Checklist Interactive Language

Se não da para automatizar, vamos perguntar ….

E COMO USO TUDO ISSO ?

XCCDF + OVAL

SOBRE OPENSCAP

RELATÓRIO OPENSCAP OVAL

OPENSCAP XCCDF

REPOSITÓRIOS PÚBLICO

EDITOR ESCAPE

SPACE WALK

FUTURO

DIFERENÇA ENTRE VERSÕES

11 HOMENS E 1 SEGREDO …

PRODUTOS VALIDADOS SCAP 1.2

LINKS INTERESSANTES

http://scap.nist.gov/

http://nvd.nist.gov/

http://cvedetails.com/

http://oval.mitre.org/

http://open-scap.org/

Dúvidas ?

[email protected]

@spookerlabs / @sucuri_security