Treo Blog

En este espacio puedes explorar las últimas tendencias y noticias en tecnología, seguridad informática e infraestructura TI.

  • Jonathan Rodriguez Paipa

Automatización de la seguridad para la transformación digital

Por: Sumeet A Kachhwaha



Crédito: Pexels

A medida que las organizaciones adoptan DevOps y ágil para mejorar sus procesos y productos a una velocidad vertiginosa, las consideraciones de seguridad pueden quedar en el polvo y los riesgos digitales no se gestionan. Por lo tanto, las organizaciones deben tener la automatización de la seguridad como parte de su transformación digital. Este artículo tiene la intención de brindarle los conceptos básicos de seguridad y un enfoque de automatización para evaluar plataformas, productos y servicios para cumplir con las políticas de seguridad, los requisitos reglamentarios y de cumplimiento.


Un requisito primordial de la seguridad es mitigar los riesgos expuestos por vulnerabilidades que pueden ser explotadas por un actor de amenazas, como un atacante, para cruzar los límites de privilegios dentro de un sistema. Investigadores, grupos e individuos descubren muchas vulnerabilidades conocidas que invierten su tiempo y las informan.


Para agilizar los esfuerzos, MITRE Corporation mantiene las vulnerabilidades divulgadas públicamente en un sistema llamado Common Vulnerabilities and Exposures (CVE) y definiciones de Open Vulnerabilities and Assessment Language (OVAL) para describir la configuración deseada de los sistemas en un formato comprensible para la máquina. El Programa de Automatización de Contenido de Seguridad (SCAP) utiliza OVAL para automatizar la evaluación de sistemas y descubrir discrepancias en el estado deseado.


Definición de CVE y campos de datos


El sistema CVE proporciona un método de referencia para las vulnerabilidades y exposiciones de seguridad de la información de conocimiento público. Las vulnerabilidades publicadas se almacenan en la lista CVE en forma de entrada CVE.


Cada entrada CVE o CVE tiene un identificador único formateado como CVE-YYYY-NNNN (prefijo CVE seguido del año de descubrimiento seguido de cuatro o más números de dígitos aleatorios) como "CVE-2021-3139".


Los CVE son asignados por una autoridad de numeración de CVE (CNA). Hay tres tipos principales de asignaciones de números CVE:

1. MITRE Corporation funciona como editor y CNA principal.

2. Varias CNA asignan números CVE a sus productos (por ejemplo, Microsoft, Oracle, Red Hat, etc.).

3. Un coordinador externo, como el Centro de Coordinación del CERT, puede asignar números CVE para productos no cubiertos por CNA.


La asignación de un número CVE no garantiza que sea una entrada CVE oficial (un CVE puede asignarse incorrectamente a un problema que no es una vulnerabilidad de seguridad o que duplica una entrada existente).


Aquí hay una descripción rápida de algunos campos de datos CVE clave:


Descripción

Esta es una descripción de texto estandarizado de los problemas. Una entrada común es:


** RESERVADO ** Este candidato ha sido reservado por una organización o individuo que lo utilizará cuando anuncie un nuevo problema de seguridad. Cuando se haya hecho público el candidato, se proporcionarán los detalles de este candidato.


Esto significa que el número de entrada ha sido reservado por MITRE para una emisión o una CNA ha reservado el número. Por lo tanto, en el caso de que un CNA solicite un bloque de números CVE por adelantado (Red Hat actualmente solicita CVE en bloques de 500), el número CVE se marcará como reservado aunque el CVE no haya asignado el CVE durante algún tiempo.


Hasta que se asigne el CVE, MITRE se da cuenta de ello (es decir, el embargo pasa y el problema se hace público), y MITRE ha investigado el problema y ha escrito una descripción del mismo, las entradas aparecerán como "** RESERVADO ** ".


Referencias


Esta es una lista de URL que contiene información relevante para el informe CVE.


Fecha de creación del registro


Esto puede reflejar cuándo se asignó o reservó el ID de CVE y no indica necesariamente cuándo se descubrió esta vulnerabilidad, se compartió con el proveedor afectado, se divulgó públicamente o se actualizó en CVE.


CVSS (Common Vulnerability Scoring System)es una forma gratuita, estándar, de plataforma e independiente del proveedor para evaluar la gravedad de las vulnerabilidades de seguridad identificadas. Esto permite a los socorristas priorizar las respuestas y los recursos de acuerdo con la amenaza. Las puntuaciones van de 0 a 10, siendo 10 la más grave.


Utiliza diferentes matrices, como Métricas de grupo base, Métricas de grupo temporal y Métricas de grupo ambiental para una evaluación de la gravedad de la vulnerabilidad.


El Grupo Base evalúa cómo una vulnerabilidad explota las debilidades del sistema y el impacto potencial en el sistema, el Grupo Temporal se enfoca en cuán severa crecerá o se reducirá la vulnerabilidad durante el período, y el Grupo Ambiental se enfoca en el cambio de severidad con las condiciones ambientales o la implementación.


Con base en las calificaciones de CVSS, se define la gravedad de CVE. Estas tablas representan el mapeo:



API de datos de seguridad y base de datos CVE de Red Hat


Dado que Red Hat endurece y empaqueta su producto teniendo en cuenta la seguridad, sus puntuaciones CVSS pueden diferir del mismo CVE disponible en otras fuentes. Por lo tanto, recomendamos a los clientes de Red Hat que busquen en la base de datos CVE de Red Hat. Red Hat proporciona la API de datos de seguridad, que expone una lista de puntos finales para consultar datos de seguridad con ciertos parámetros y recuperar datos CVRF, CVE y OVAL fácilmente.


La lista CVE es una excelente manera de consolidar las vulnerabilidades publicadas en un solo lugar. Sin embargo, no proporciona una estructura para automatizar los hallazgos de vulnerabilidad en un sistema, y ​​su aplicación se deja principalmente a la detección manual. OVAL ayuda a reducir la brecha a través de su lenguaje declarativo para especificar un estado de máquina específico y especificaciones de intérprete para recopilar datos de una computadora para realizar pruebas basadas en un conjunto de definiciones de OVAL y luego evaluar para determinar los resultados de cada definición.


Lenguaje abierto de evaluación y vulnerabilidad (OVAL)


OVAL es un estándar comunitario internacional de seguridad de la información para promover contenido de seguridad abierto y disponible públicamente y para ser compartido en todo el espectro de herramientas y servicios de seguridad. OVAL incluye un lenguaje utilizado para codificar los detalles del sistema y una variedad de repositorios de contenido que se encuentran en toda la comunidad. Los componentes principales son:


  • Lenguaje OVAL: El lenguaje OVAL estandariza los tres pasos principales del proceso de evaluación: representar la información de configuración de los sistemas para la prueba; analizar el sistema para detectar la presencia del estado de la máquina especificado (vulnerabilidad, configuración, estado del parche, etc.); e informar los resultados de esta evaluación.

  • Intérprete de OVAL: El intérprete de OVAL es una implementación de referencia de libre acceso creada para mostrar cómo se pueden recopilar datos de una computadora para realizar pruebas en función de un conjunto de definiciones de OVAL y luego evaluar para determinar los resultados de cada definición.

  • Repositorio OVAL: El Repositorio OVAL es el lugar de encuentro central para que la Comunidad OVAL debata, analice, almacene y difunda las Definiciones OVAL. Las definiciones son de uso e implementación gratuitos en productos y servicios de seguridad de la información.

Las definiciones de OVAL son pruebas estándar de oro legibles por máquina que determinan definitivamente si la vulnerabilidad de software, el problema de configuración, el programa o el parche especificados están presentes en un sistema.


Red Hat actualiza las definiciones de OVAL cada vez que se publica un aviso de seguridad de Red Hat (RHSA) para un producto compatible con OVAL. La definición de OVAL es utilizada por la herramienta de escaneo de código abierto que usamos llamada OpenSCAP, y por muchos proveedores de escaneo de terceros.


Protocolo de automatización de contenido de seguridad (SCAP)


El Protocolo de automatización de contenido de seguridad (SCAP) incluye varios estándares abiertos que se utilizan ampliamente para enumerar fallas de software y problemas de configuración relacionados con la seguridad, como CCVE, Formato de descripción de lista de verificación de configuración extensible (XCCDF), OVAL, Formato de informe de activos (ARF), Enumeración de plataforma común (CPE), Enumeración de debilidad común (CWE) y Motor de verificación de scripts (SCE).


El proyecto OpenSCAP es una colección de herramientas de código abierto para implementar y hacer cumplir este estándar y ha sido galardonado con la certificación SCAP 1.2 por NIST en 2014.


Escaneo de vulnerabilidades y cumplimiento de Red Hat con OpenSCAP


Red Hat Enterprise Linux (RHEL) proporciona herramientas que permiten auditorías de cumplimiento automatizadas. Estas herramientas se basan en el estándar SCAP y están diseñadas para la adaptación automatizada de las políticas de cumplimiento.


Las herramientas de cumplimiento de seguridad compatibles con RHEL incluyen:

  • SCAP Workbench: la utilidad gráfica scap-workbench está diseñada para realizar análisis de configuración y vulnerabilidad en un único sistema local o remoto. También puede usarlo para generar informes de seguridad basados ​​en estos escaneos y evaluaciones.

  • OpenSCAP : la utilidad de línea de comandos oscap está diseñada para realizar escaneos de configuración y vulnerabilidad en un sistema local, validar el contenido de cumplimiento de seguridad y generar informes y guías basados ​​en estos escaneos y evaluaciones.

  • Script Check Engine (SCE) : SCE es una extensión del protocolo SCAP que permite a los autores de contenido escribir su contenido de seguridad utilizando un lenguaje de secuencias de comandos, como Bash, Python o Ruby. La extensión SCE se proporciona con el paquete openscap-engine-sce.

  • SCAP Security Guide (SSG) : el paquete scap-security-guide proporciona la última colección de políticas de seguridad para sistemas Linux.


Si necesita realizar auditorías de cumplimiento automatizadas en varios sistemas de forma remota, puede utilizar la solución OpenSCAP para Red Hat Satellite. Sin embargo, para ayudar a verificar la seguridad de su sistema, tener una herramienta de escaneo como OpenSCAP no es suficiente. Debe seleccionar la política adecuada. A continuación, se ofrece una breve descripción general de las políticas de seguridad de uso común:


  • Las Guías de implementación técnica de seguridad (STIG) del Departamento de Defensa de los Estados Unidos especifican cómo se deben configurar y administrar las computadoras del gobierno.

  • El Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) debe ser seguido por cualquier persona que maneje información y pagos de tarjetas de crédito. Es un estándar de seguridad de la información patentado para organizaciones que manejan tarjetas de crédito de marca de los principales esquemas de tarjetas.

  • La Ley de Responsabilidad y Portabilidad del Seguro Médico (HIPAA) establece el estándar para la protección de datos confidenciales de los pacientes. Las empresas que se ocupan de la información médica protegida (PHI) deben tener implementadas medidas de seguridad físicas, de red y de procesos y seguirlas para garantizar el cumplimiento de HIPAA.

No es necesario ser un experto en seguridad para implementar una política de seguridad. Ni siquiera necesita aprender el estándar SCAP para escribir una política de seguridad. Muchas políticas de seguridad están disponibles en línea, en una forma estandarizada de listas de verificación de SCAP.


Desafortunadamente, no existe una política de seguridad universal que pueda aplicarse en todas partes; cada organización tiene diferentes necesidades y diferentes requisitos de seguridad. Antes de aplicar una política de seguridad, es necesario pensar en sus necesidades y revisar las ofertas disponibles.


Fuente: Blog de Red Hat

10 vistas0 comentarios