Se SCAP (Security Content Automation Protocol) é unha especificación aberta que estandariza a definición e manipulación de datos de seguridade, a SCAP Security Guide é a política de seguridade escrita en forma de documentos seguindo as especificacións SCAP. A política de seguridade que establece a Guía de seguridade SCAP abarca moitas áreas de seguridade informática e ofrece solucións en forma de boas prácticas. Consta de regras con descricións moi detalladas e tamén inclúe scripts de resolución de fallas na seguridade debidamente probados, madurados e optimizados para o seu uso e aplicación por parte dos sistemas de comprobación.
A SCAP Security Guide baséase nas recomendacións de seguridade de autoridades globalmente recoñecidas, transforma estas guías de seguridade nun formato lexible a máquina que logo pode ser usado por ferramentas como a implementación open source de Red Hat OpenSCAP para comprobar os sistemas.
A SCAP Security Guide establece varias liñas base de seguridade a partir dun contido común de alta calidade en formato SCAP. As políticas de seguridade da SCAP Security Guide están dispoñibles para varios sistemas operativos e outros programas: Fedora, Red Hat Enterprise Linux, Mozilla Firefox e outros.
Unha desas liñas base son as Security Technical Implementation Guides(STIG) para RHEL 6 da axencia americana Defense Information System Agency (DISA). As DISA STIG fornecen os axustes necesarios para, nada menos que os sistemas do Departamento de Defensa dos Estados Unidos.
As DISA STIG, polo tanto, son un exemplo de liña base creada a partir do enfoque SCAP Security Guide. A Red Hat STIG é a variante comercial para o uso de formatos baseados en SCAP para a automatización e o cumprimento coa seguridade nas organizacións militares de EEUU. Noutras verbas, o estándar de seguridade que deben de cumprir os sistemas das empresas que colaboran co exército de EEUU, coa gran vantaxe de que a verificación do cumprimento con esas políticas é automático.
Así, o departamento de defensa americano usa de forma procedimentada estas guías para todos os activos do seu parque TIC antes da súa posta en liña clasificando os sistemas baseado na Misión Assurance Category (I-III) e no Nivel de Confidencialidade (Public-Classified), dándolle 9 combinacións posibles diferentes de requisitos de configuración.
Na actualidade a SCAP Security Guide é un proxecto aberto e dinámico no que moitas organizacións interesadas na seguridade informática comparten os seus esforzos e colaboran nas políticas de seguridade contidas na guía de seguridade SCAP que ten uso en organizacións susceptibles a ataques informáticos como as militares, intelixencia, asistencia sanitaria, aviación, telecomunicacións e outras industrias. Segundo o Estudo de Estándares e Seguridade do ano 2014 da ENISA, a axencia europea para a seguridade da información e as redes, hai un total de 43 provedores de produtos compatibles con SCAP que corresponden aos principais provedores de anuncios de vulnerabilidades, o que se traduce en centos de milleiros de empresas consumindo información compatible con SCAP.
Usando guías SCAP
A auditoría do seguimento das políticas de seguridade e o seu cumprimento é un proceso repetitivo que asegura o estado dos sistemas segundo as regras escritas na política de cumprimento. A política de cumprimento da seguridade é definida polos profesionais de seguridade que especifican as opcións desexadas, moitas veces baixo a forma dunha lista de comprobacións, que se empregarán no contorno informático. O uso de guías STIGs a través de ferramentas que soporten o modelo SCAP permite habilitar o asentamento continuo das políticas de seguridade dun modo automatizado e confiable.
A política de seguridade ou as definicións para o seu cumprimento rara vez se escriben desde cero. O estándar ISO 27000, traballos derivados deste e outras fontes fornecen modelos de políticas de seguridade e recomendacións prácticas que deberían ser útiles como base para a súa definición. Non obstante, as organizacións que crean o seu programa de seguridade informática deben poder adaptar os modelos de políticas para aliñalos ás súas necesidades.
Como xa comentamos SCAP é un modelo que non depende dun vendedor en concreto e que serve para expresar a política de seguridade e, como tal, é amplamente utilizada nas empresas modernas. As especificacións SCAP crean un ecosistema onde o formato de contido de seguridade é ben coñecido e estandarizado mentres a implementación do escáner ou o editor de políticas non é pechada. Este estado permite ás organizacións crear a súa política de seguridade (contido SCAP) independentemente de cantos vendedores de seguridade empreguen na organización.
As políticas de seguridade de SCAP defínense na meirande parte nunha linguaxe XML chamada eXtensible Configuration Checklist Description Format (XCCDF). Esta linguaxe prové dunha fisionomía común e conxuntada das Security Technical Implementation Guides (STIG) e permite a exportación e importación das mesmas en distintas base de datos interoperables. A especificación das XCCDF complétase coas definicións OVAL para as comprobacións de CVEs nos sistemas (vexa a definición dos formatos OVAL e XCCDF).
Un documento XCCDF representa unha colección estruturada de regras de configuración de seguridade para un conxunto de sistemas en particular. A especificación está deseñada para soportar o intercambio de información, a xeración de documentos, a personalización, as probas automáticas de cumprimento e a ponderación e avaliación do seu cumprimento.
Para que nos fagamos idea do nivel de detalle, a especificación tamén define un modelo e formato de datos para almacenar os resultados de probas de cumprimento de referencia. A intención do XCCDF é proporcionar unha base uniforme para a expresión de listas de verificación de seguridade, benchmarks e outras orientacións de configuración, e así fomentar a aplicación máis estendida de boas prácticas de seguridade.
Os documentos XCCDF e OVAL exprésanse en formato XML e poden ser validados cun analizador de XML Schema. Red Hat Enterprise Linux ofrece OpenSCAP como implementación de referencia deseñada para adoptar automaticamente as políticas e auditar o seu cumprimento baixo os termos da GNU Lesser General Public License v2.1. A semana próxima adentrarémonos na avaliación da solución OpenSCAP.
