ご挨拶、同僚。
自動セキュリティスキャナーの問題は、サービスの「企業」市場で非常に深刻です。
もちろん、何千ものホストを手動でチェックしたい人はいますか?
需要は供給を生み出すため、あらゆる好み、色、予算に合わせてそれらを見つけることができます。
同じ目標であるコンプライアンス管理を解決するように設計されています。
したがって、PCI DSSおよび同様の標準の大量標準化により、企業は莫大なお金を節約できます。
これらはすべて非常に異なりますが、それでも共通点が1つあります。レポート、インベントリ結果、および更新用のコンテンツの形式におけるまったくの無秩序と混乱です。 プログラマーの各グループが思いついたように、それは行われました。 この状況では、セキュリティスキャナーを比較することは非常に困難です。 また、製品「B」への切り替えが問題外の場合、製品「A」の使用中に蓄積されたデータの使用方法について話します。 まあ:どこに行っても、どこにでも「商業秘密」と「知的財産」があります。 私の親愛なる読者にとっての解決策は明らかです。スキャナーのすべての段階で入出力形式を標準化することです。 これはまさに、 Open Vulnerability and Assessment Language(OVAL)標準で説明されているものです。
再び基本と基本用語に飛び込まないために、前回の記事で OVALについて話したことに注意したいと思います 。 したがって、用語の混乱を避けるために一見する価値があります。
実際、表明された論文を要約すると、次のことが理解できます。情報セキュリティを「測定可能」にしたいという願望は、スキャナーを通過するすべての段階で情報を完全に標準化することによってのみ可能です。 なぜこれがまだ行われていないのですか? 答えは、情報セキュリティの「シャボン玉」のフレームワーク内でできる限り単純です。セキュリティ製品の作成者にとっては有益ではありません。 インベントリの作成、脆弱性の発見、およびそれらの存在についての決定は特定の各企業の「ブラックマジック」のままですが、製品は批判や競争の侵略を恐れることなく「市場」をしっかりと保持します。
他の問題では、私たちはそれほどカテゴリー的ではありません。 各企業の情報セキュリティの知識を形式化するプロセスには、それらを完全に正当化するような大きなリソースが必要です。 結局、100500個のスクリプトを「定義」、「オブジェクト」、「テスト」、「状態」に変換するのは大変な作業であり、多くの「人月」を必要とします。
それでは、この「 完璧なスキャナー 」とは何ですか? 規制当局のすべての要件を満たし、最終的にセキュリティを「測定可能」にすることができます。 答えは表面から1メートル奥深くにあり、OVAL言語のドキュメントで説明されています 。 勝利の鍵は、スキャンのすべての段階で正式なデザインを使用することです。 これは私の想像ではなく、 MITREが提案する完全に機能するスキームです。
したがって、各段階で「テンプレート」デザインを取得します。 これの利点は何ですか? それでも、「A」スキャナーでシステムをスキャンし、次に「B」スキャナーでシステムをスキャンし、宣伝された外国製品がインストールされたプログラムの半分を見つけられなかったことを確認します。 そして、彼の競争相手は一般にWindowsとUnixを混同しました。
結果の透明性と レポートの比較可能性は、このようなスキームの主な利点です。
スキャンシーケンス全体をOVAL定義の形式で記述せざるを得ないため、著者は決定が下された理由を示すことができます。 「アラルマ! CVE-2034-100500の脆弱性があります!」およびオープンな意思決定ツリー:「Solaris 15があり、Firefox 22バージョン1.1.23がインストールされており、セキュリティパッチ13455-10がインストールされていないため、CVE-2034-100500の脆弱性があります。」 。 同意する、ユーザーの観点から、この配置ははるかに「おいしい」です。 ボーナスとして、監査の更新情報とホストインベントリの結果の両方の完全な互換性が得られます。
「そして、セキュリティgesheftはどこにありますか?」あなたは尋ねます。 しかし、彼は代わりに、特定のテストの実行を実装するスクリプトに留まりました。 拡張可能な言語であるため、OVALは独自の抽象型を定義することが許可されており、前提条件として正式な記述のみが必要です。 したがって、「下位クラス」は確実に隠されたままです。 テストは、「ファイル/ var / log / messagesでLinBackDoorバックドアのフットプリントの存在をチェックする」ものであり、それを実装するスクリプトではありません。
要約すると、スキャンの各段階でのOVAL言語標準の実装はベンダーに害を与えません。 ただし、スキャンの結果が「透明」になり、情報セキュリティ製品の直接比較が可能になります。 したがって、セキュリティを「測定可能」にするというタスクを達成します。
ご清聴ありがとうございました。