Branca de Neve e os 7 anões - A história do Security Content Automation Protocol (SCAP) Rodrigo “Sp0oKeR” Montoro @spookerlabs
Branca de Neve e os 7 anões - A história do Security Content Automation Protocol (SCAP)
Rodrigo “Sp0oKeR” Montoro
@spookerlabs
MOTIVAÇÃO
Estudar algo novo Necessidade na Conviso Desafios em ambientes complexos para manter segurança Nerds Mode Extreme =)
INTRODUÇÃO
SCAP (Security Content Automation Protocol) é uma lista de padrões gerenciado pelo NIST. Foi criado para padronizar a
segurança em sistemas enterprise, como por exemplo verificar a presença de atualizações, checar configurações e examinar
sistemas aparentemente invadidos.
PRINCIPAIS VALORES DO USO DO SCAP
Inventário Identificar brechas de segurança no sistema Monitorar o estado de segurança do sistema Quantificar riscos Uso de terminologias comum para plataformas, vulnerabilidades,
checagem de segurança entre outros. Checagem de configurações
OS 7 ANÕES ( OU ESPECIFICAÇÕES ) …. Enumeração
CVE®: Common Vulnerabilities and Exposures CCE™: Common Configuration Enumeration CPE™: Common Platform Enumeration
Linguagens OVAL®: Open Vulnerability and Assessment Language OCIL: Open Checklist Interactive Language XCCDF: The eXtensible Configuration Checklist Description Format
Métricas CVSS: Common Vulnerability Scoring System
CVE (COMMON VULNERABILITIES AND EXPOSURES)
Padronização pública da descrição das vulnerabilidades, com atualmente mais de 61 mil entradasE uma média de 18 novas diariamente.
XCCDF
É o formato comum para a representação dos checklist de configuração. Ele é independente de plataforma e pode ser de
forma manual ou automática.
OVAL (OPEN VULNERABILITY AND ASSESSMENT LANGUAGE)
É uma realização da comunidade de segurança para padronizar como testar e relatar o estado dos sistemas. Inclui uma linguagem bem granular e poderosa possibilitando a troca de informação da
comunidade.
LINKS INTERESSANTES
http://scap.nist.gov/
http://nvd.nist.gov/
http://cvedetails.com/
http://oval.mitre.org/
http://open-scap.org/
Dúvidas ?
@spookerlabs / @sucuri_security