Español | English
rss facebook linkedin Twitter

SCAP - Automatización en seguridad

La rueda de SCAP (Security Content Automation Protocol) sigue avanzando. A los que desconozcan las siglas, basta con resumir que se trata de una iniciativa del gobierno americano acogida en Mitre que pretende poner fin a los problemas de automatización en la gestión de seguridad en cualquier entorno (donde habré oído yo esto antes...).

Atrás quedan ya los esfuerzos del NIST con sus checklist, los becnhmarks de CIS, los Plugins de Nessus e incluso la herramienta MBSA, ya que no se ha contemplado la posibilidad de reutilizar la información, sino que se empieza desde cero (en ocasiones es mejor para evitar arrastrar los errores del pasado).

¿Qué es SCAP?

El programa ISAP (Information Security Automation Program) es una iniciativa entre varias agencias del gobierno americano (NIST - National Institute of Standards and Technology, OSD - Operational Services Division, DHS - Department of Homeland Security, NSA - National Security Agency, y DISA - Defense Information Systems Agency) madurada en 2007, que pretende definir los modelos de automatización y los estándares de las operaciones de seguridad en la información (me pregunto que es lo que se había estado haciendo hasta ahora..). Desde el punto de vista operativo, SCAP es el método para utilizar estos estándares de forma que sea posible la medida, gestión de vulnerabilidades y su cumplimiento de forma automática.

Pero que que nadie se emocione. Desde el punto de vista técnico, se trata de una cantidad ingente de información en XML en múltiples archivos diferentes, cada uno soportando múltiples esquemas, que pueden provenir además de múltiples fuentes, y que requiere de interpretes específicos para su utilización y gestión.


Componentes de SCAP

SCAP se compone de diferentes elementos a partir de los cuales "debería ser posible" garantizar el cumplimiento de su naturaleza, que es la automatización en la medida, gestión de vulnerabilidades y su cumplimiento de estándares y políticas:

  • Sistemas de enumeración: CPE (Common Platform Enumeration), CVE (Common Vulnerabilities and Exposures), CCE (Common Configuration Enumeration) permiten identificar Plataformas (software: sistema operativo y aplicación, hardware, etc...), Vulnerabilidades y Consideraciones en la configuración respectivamente.

  • Lenguajes propios: OVAL (Open Vulnerability and Assessment Language) para realizar las tareas de inventariado así como las comprobaciones acerca de vulnerabilidades y XCCDF (Extensible Configuration Checklist Description format) para comprobar los criterios de seguridad en las configuraciones.

  • Sistema de valoración: CVSS (Common Vulnerability Scoring System) utilizado para medir el impacto de las vulnerabilidades encontradas.

A primera vista, sin conocer mucho más acerca de las todas entrañas de este engendro uno puede hacer a la idea de que es posible determinar que esta tecnología permite relacionar los activos (plataformas software y hardware) con todos los identificadores de seguridad asociados (CVE, CCE, CWE); ejecutar la comprobación de controles de seguridad (XCCDF y OVAL) y disponer de una serie de resultados gestionables organizados por su impacto (CVSS). La siguiente figura muestra una primera relación entre estos componentes y su ámbito dentro de la gestión.


En realidad, conforme se van descubriendo los secretos internos de cada una de las tecnologías, las herramientas (OVAL y XCCDF) permiten hacer muchas más cosas, como por ejemplo identificar de forma automática activos del equipo, determinar que parches faltan por instalar (relacionados con las vulnerabilidades que solucionan), o incluso monitorizar el cumplimiento de normativas. (Extracto de teletienda: "¿Es o no es un chollo, jerry? pues espera, porque si llamas ahora mismo..")

En un futuro es posible que se añadan más indicadores que ahora mismo están en proceso de incubación, aunque con una orientación clara hacia su inclusión en el concepto de SCAP:

  • CWE: identifica debilidades inherentes al uso de los servicios
  • CAPEC: árbol que determina los diferentes patrones de ataques.
  • CEE: requerimientos de seguridad en el registro de eventos, AKA, el log.
  • CRF: consideraciones de seguridad en el Reporting de la información.

A medida que una herramienta va incorporando estas tecnologías (todas basadas en XML) será posible realizar una verificación automática de su funcionamiento (validación SCAP) en cualquiera de los laboratorios autorizados, y completar un proceso de certificación de cumplimiento que permite optar al negocio de la seguridad en el gobierno americano. (Extracto de teletienda: "No lo puedo creer, Tom!").


Proceso de maduración de SCAP

El propósito de SCAP consiste en explotar las posibilidades de la distribución de información en XML. Aunque la base de SCAP nació en el seno de Mitre a partir de sus dos elementos más maduros: CVE y CPE, la inclusión de otras entidades como el FiRST en la gestión del CVSS, o el NIST en la definición de los requerimientos, ha permitido la exportación del conocimiento a otras entidades, y la idea final ha evolucionado hasta el punto de que se va a permitir que cada proveedor de IT defina sus propios controles. Aunque Mitre gestiona el repositorio central y da soporte a aquellos proveedores que quieran incluir su propia información, plantea como alternativa que cada uno pueda en cierto modo gestionar sus datos (bien mediante la firma de los controles en el propio XML o bien mediante el uso de otro repositorio de oval propio).

A modo de ejemplo, los fabricantes de software/hardware podrán crear entradas en el CPE por cada nuevo producto (ya se hace a través de la lista de correo CPE), e incluso publicar sus propios controles de OVAL acerca de sus parches de actualización (REDHAT ya lo está haciendo: Redhat - oval). Por el tipo de licencia (todo es propiedad de Mitre, o de Nist, o de la NSA, de todos a la vez) , es posible que algunas de las fuentes de SCAP que aparezcan en un futuro sean de pago, o que sea necesario realizar algún tipo de subscripción para obtener acceso a los datos.

Así pues, en un futuro próximo, iremos viendo florecer ya subdominios (actualizad vuestras herramientas para detectar hosts) del tipo oval.dominio.com o directorios /oval/ en los servidores Web de diferentes proveedores.


Conclusión

La teoría dice que con todo esto funcionando podría ser incluso posible, partiendo de una implantación cualquiera que nunca ha sido auditada y haciendo Click en un botón, llegar a automatizar el parcheado de seguridad de forma desatendida para disponer al final del proceso de una plataforma totalmente segura (tanto en actualización de software como en configuración).

Desafortunadamente a día de hoy son más los contras que los pros. No existen editores orientados (a pesar de la supuesta sencillez del XML, las opciones son enormes) y existen muchos modelos de esquema en cada una de las diferentes partes implicadas. Además es necesario cumplir con la definición mediante la validación del XML, y por otro lado la mezcla de los distintos repositorios (con sus diferentes esquemas que habrá que validar y consolidar) se convertirá en un proceso lento y no exento de errores, ya que será posible encontrar proveedores que suministren su información en un esquemas XML sin actualizar, para los que no existen herramientas de gestión que permiten controlar toda la información disponible; y cuando digo no existen, me refiero a gratuitas.

La lista de productos validados (en solo ocho meses) que actualmente cumplen alguno de los criterios de SCAP es muy corta. La primera herramienta que consiga integrar todas estas tecnologías y realizar la totalidad de sus funciones se llevará el gato al agua en el paranoico mundo de la seguridad estadounidense, muy diferente del mundo de la seguridad en España. Por suerte o por desgracia, en España llevamos más de un año de atraso, e incluso ya quedan atrás las extrañas maniobras de adquisición de empresas que habían empezado a desarrollar en estas tecnologías.

Iñaki López
S21sec Labs

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login