¿Que é a seguridade nas TIC?

A seguridade nas TIC ou ciberseguridade está cada vez máis no punto de mira. O caso do worm Stuxnet en 2010 ou o recente ransomware WannaCry son claros exemplos de como un atacante pode tomar vantaxe dunha vulnerabilidade dunha aplicación para subverter os mecanismos de protección e danar un sistema final.

As industrias que dependen de sistemas e redes informáticos para realizar as súas operativas diarias consideran os seus datos como parte importante dos seus activos totais.

Hoxe en día vivimos unha realidade na que as aplicacións están cada vez máis interconectadas. Os erros nunha aplicación adoitan levar á explotación doutras aplicacións. A MITRE Coorporation (MITRE) incide neste punto indicando que non hai aplicación sen importancia desde o punto de vista da seguridade. Os atacantes están ansiosos para aproveitar calquera falla en calquera aplicación que lles permita alcanzar o seu obxectivo. Neste contexto, verificar que as aplicacións cumpren correctamente os mecanismos de seguridade e non conteñen vulnerabilidades é fundamental.

No plano empresarial, se nos fixamos polo miúdo na xestión operativa dunha compañía, varios son os termos e as métricas que salpican o noso vocabulario profesional acotío. O Custo Total de Propiedade (TCO), o retorno do investimento (ROI) e a calidade do servizo (QoS) son termos aos que xa nos habituamos no tocante a decisións empresariais. Grazas a este tipo de métricas podemos tamén, á súa vez, calcular e medir aspectos tales como a integridade dos datos e a alta dispoñibilidade dos servizos (HA) como parte tamén dos custos de xestión de procesos e planificación das organizacións. De feito, é unha realidade que, para algunhas industrias, como as baseadas no comercio electrónico, a dispoñibilidade e a fiabilidade dos datos pode significar a diferenza entre o éxito e o fracaso na empresa perseguida.

Consultores e provedores de seguridade cumpren actualmente co modelo de seguridade estándar coñecido como CIA ou Confidencialidade, Integridade e Dispoñibilidade. Este modelo de tres etapas é un compoñente xeralmente aceptado para avaliar os riscos de información sensible e establecer políticas de seguridade. O seguinte describe o modelo CIA con máis detalle:

  • Confidencialidade: A información sensible só debe estar dispoñible para un conxunto de individuos predefinidos. A transmisión e uso non autorizados de información debe restrinxirse. Por exemplo, a confidencialidade da información garante que a información persoal ou financeira dun cliente non sexa obtida por un individuo non autorizado con fins maliciosos como o roubo de identidade ou o fraude de crédito.
  • Integridade: A información non debe modificarse de forma incompleta ou incorrecta. Aos usuarios non autorizados débeselle restrinxir a capacidade de modificar ou destruír información confidencial.
  • Dispoñibilidade: A información debe ser accesible para os usuarios autorizados en calquera momento que sexa necesario. A dispoñibilidade é unha garantía de que a información pode obterse cunha frecuencia acordada e coa debida puntualidade. Isto adoita medirse en termos de porcentaxes e acordouse formalmente nos Acordos de Nivel de Servizo (SLA) utilizados polos provedores de servizos de rede e os seus clientes empresariais.

O NIST (National Institute of Standards and Technology) desenvolve este enfoque e o formaliza no protocolo de seguridade que se da a coñecer como SCAP (Security Content Automation Protocol). SCAP equivale á definición dun método para utilizar os estándares de seguridade de forma que sexa posible a medida e o control de vulnerabilidades e finalmente a súa resolución de forma automática.

Polo tanto, volvendo finalmente á pregunta que nos ocupa hoxe, ¿que é a seguridade nas TIC?, podemos respondela como que é o termo xeral que usamos para abarcar unha ampla área da informática, o procesamento da información e as comunicacións, que se centra na protección da súa infraestrutura e todo o relacionado con ela. Neste contexto, entre outras especificacións, SCAP destaca como modelo de referencia para a especificación dos mecanismos necesarios nas organizacións para protexerse contra destas ameazas á seguridade, comprobación continua do estado dos sistemas informáticos e da aplicación das actualizacións de seguridade nos compoñentes afectados.

O protocolo SCAP é, en definitiva, un modelo que trata de dar resposta a estas necesidades que se identifican da análise da Seguridade das Tecnoloxías da Información. En Mancomún, comenzamos dende hoxe unha serie de artigos tecnolóxicos orientados a esta temática e a o modelo SCAP en particular. Falaremos do modelo SCAP, da implementación libre deste modelo OpenSCAP, dende detalles da solución particular ata a súa compatibilidade coas normativas impulsadas por axencias europeas.

O modelo estándar SCAP para a automatización da seguridade

SCAP (Security Content Automation Protocol) é unha especificación aberta enfocada á definición e manipulación de datos de seguridade de maneira estandarizada. SCAP recicla varias especificacións individuais xa preexistentes. Aberta quere dicir que a súa definición, uso e modificación está aberta a calquera persoa ou entidade.

SCAP ten as súas orixes alá polo ano 2007, cando nace o programa ISAP (Information Security Automation Program) como iniciativa entre varias das axencias do goberno americano: NIST, OSD (Operational Services Division), DHS (Department of Homeland Security), NSA (National Security Agency) e DISA (Defense Information Systems Agency). A primeira versión de SCAP foi publicado en Xullo do ano 2010. Esta primeira versión sería logo revisada e actualizada nos meses seguintes ata chegar á versión 1.2, a última ata a data e que foi liberada en Setembro do 2011. Malia que é certo que está promovida polo NIST, SCAP non está suxeita a ningún tipo de copyright polo que pode ser adoptado libremente, con ou sen modificacións. Esa decisión non foi tomada de balde, polo contrario, permite a súa difusión e implantación como estándar de facto global en calquera organización, iso grazas a que tamén SCAP inclúe traballos e especificacións xa existentes como por exemplo os definidos pola MITRE Coorporation (MITRE) facilitando moito máis a súa adopción.

Falar da MITRE é falar dunha organización sen ánimo de lucro que opera os maiores centros de investigación e desenvolvemento patrocinados polo goberno de EEUU. A MITRE é moi coñecida polos seus traballos na investigación e análise científica, o desenvolvemento e adquisición de tecnoloxías e na enxeñaría de integración e sistemas. Así por exemplo, entre outros dos seus esforzos, a MITRE mantén o amplamente estendido sistema Common Vulnerabilities and Exposures (CVE) e o proxecto de Common Weakness Enumeration (CWE). Calquera persoa que adoite estar máis ou menos involucrada na seguridade TIC coñecerá que o sistema CVE é na actualidade o estándar da industria para a asignación e identificación operativa dos nomes de vulnerabilidade e exposicións a eivas de seguridade.

O sistema CVE habilita identificadores de referencia comúns para que os distintos fabricantes de produtos e servizos de seguridade poidan facer un intercambio de datos relacionados con vulnerabilidades de modo sinxelo e coa menor ambigüidade, facilitándose a cooperación e o seguimento no proceso de manexo das mesmas. O que fai SCAP é aproveitar estes sistemas da MITRE, e outros máis, para formar parte integral da súa especificación:

  1. Common Vulnerabilities and Exposures (siglas CVE): Trátase da lista de información de seguridade sobre vulnerabilidades co obxectivo de prover unha nomenclatura común para o coñecemento público deste tipo de problemas. Antes de publicar unha vulnerabilidade ou exposición pasa por certas etapas previas polo que a lista non contén vulnerabilidades recentemente descubertas.
  2. Common Configuration Enumeration (siglas CCE): Similar a CVE pero manexando vulnerabilidades de seguridade e inconsistencias de interfaces atopadas nas configuracións dos sistemas. Prové a información de forma narrativa e adoita a recomendar solucións.
  3. Common Platform Enumeration (siglas CPE): Ocúpase da correcta nomenclatura do software e ofrece una estrutura xerárquica. Desta forma facilítase a xestión do nome do software.
  4. eXtensible Configuration Checklist Description Format (siglas XCCDF): Modelo XML que facilita a preparación estandarizada de documentos guía de seguridade que presentan vulnerabilidades ou asuntos de seguridade sobre o software.
  5. Open Vulnerability and Assessment Language (siglas OVAL): É unha linguaxe para representar información de configuración, avaliación dos estados da máquinas e informes de resultados da avaliación.
  6. Common Vulnerability Scoring System (siglas CVSS): É un algoritmo que ten en conta distintos parámetros relativos ao software e da unha expresión do nivel de seguridade calculado.
  7. Open Checklist Interactive Language (siglas OCIL) (desde versión 1.1): É unha linguaxe para representar controis que recollen información sobre xente ou datos existentes almacenados.
  8. Asset Identification (siglas AI): Formato para identificar de forma única activos baseados en identificadores coñecidos ou información sobre os activos.
  9. Asset Reporting Format (siglas ARF): Formato para expresar información sobre activos e as relacións entre activos e informes.
  10. Common Configuration Scoring System (siglas CCSS): Sistema para medir a importancia relativa dun asunto de configuración da seguridade dun sistema.
  11. Trust Model for Security Automation Data (siglas TMSAD): Especificación para usar firmas dixitais nun modelo de confianza común aplicado ás especificacións do SCAP.

Segundo o tipo de utilidade que proporcionan estas especificacións SCAP podémolas clasificar en Linguaxes, se provén vocabulario e convencións para expresarse nos contextos de seguridade (XCCDF, OVAL y OCIL); Formato de informes, se provén unha serie de construcións necesarias para expresar a información que xestionan dunha forma estandarizada (ARF e Asset Identification); as Enumeracións, se definen unha nomenclatura estándar (formato de nomes) e unha lista de artigos expresados usando a nomenclatura (CPE, CCE e CVE); as Medicións e sistemas de puntuación (CVSS e CCSS) que permiten avaliar características específicas dunha vulnerabilidade de seguridade (por exemplo, vulnerabilidades software ou deficiente configuración de seguridade) e baseándose nestas características xerar unha puntuación que reflicta a súa importancia relativa; e finalmente de Integridade que son as que axudan a preservar a integridade dos contidos e resultados. A este tipo de especificacións pertence TMSAD.

En definitiva, SCAP modela unha linguaxe común que serve para automatizar o seguimento continuo da xestión das vulnerabilidades e os informes de avaliación de cumprimento da política de seguridade. Aplicando as especificacións de SCAP debidamente, unha organización debe ser quen de automatizar, en certa medida, a comprobación de vulnerabilidades, a xestión de vulnerabilidades, a aplicación das medidas de seguridade e a avaliación de políticas a adoptar.

Pódese ampliar máis información sobre este estándar de seguridade na páxina de SCAP. A semana próxima continuaremos falando das guías de seguridade SCAP.

 

Pin It on Pinterest

Share This