O robustecimento de sistemas trata da utilização de diversos métodos de protecção num sistema informático, eliminando tantos riscos de segurança quanto possível. Normalmente, isso é feito removendo todos os programas e utilitários não essenciais do computador. Embora esses programas possam disponibilizar recursos úteis, eles podem também permitir acessos não autorizados ao sistema e, portanto, devem ser removidos para melhorar a segurança.
Uma protecção global do sistema deve ser aplicada a vários níveis, sendo por isso frequentemente referida como defesa em profundidade. Proteger em níveis significa proteger hosts, aplicações, sistema operativo, dados, acesso físico e todos os subníveis entre eles. Cada um destes níveis requere método de segurança específicos.
Security Content Automation Protocol
O SCAP é uma metodologia de utilização de normas vulgarmente aceites para permitir gestão automática de vulnerabilidades e cumprimento de métricas de segurança. Começou por ser um conjunto de especificações originalmente criado pelo governo dos EUA que se tornou num padrão da indústria. Foi desenvolvido através da cooperação e colaboração de organizações públicas e privadas, incluindo governo, indústria e academia.
Vantagens do SCAP
As ferramentas automáticas que usam as especificações SCAP facilitam a monitorização permanente do cumprimento das normas de seguranças num vasto leque de sistemas informáticos. A utilização de métodos automatizados e padronizados para a gestão dos sistemas de segurança, permite que as organizações funcionem com maior eficiência em ambientes complexos e interligados, poupando nos custos.
Componentes do SCAP
- CVE - Common Vulnerabilities and Exposures
- Catálogo de vulnerabilidades conhecidas
- CCE - Common Configuration Enumeration
- Lista de identificadores e relacionados com problemas de configuração nos sistemas de segurança
- A identificação comum permite a correlação
- CPE - Common Platform Enumeration
- Nomenclatura estruturada para a descrição de sistemas, plataformas, software.
- CVSS - Common Vulnerability Scoring System
- Esquema para descrever as características e impactos das vulnerabilidades das TI.
- XCCDF - eXtensible Configuration Checklist Description Format
- Listas de verificação, métricas e documentação de configuração em formato XML.
- OVAL - Open Vulnerability and Assessment Language
- Linguagem normalizada para a avalização do estado de uma vulnerabilidade
- OCIL – Open Checklist Interactive Language
- Linguagem normalizada para apresentar questões a um utilizador e interpretar respostas
- Identificação de Activos
- Descrição do objectivo da identificação de activos, de um modelo de dados e métodos para o fazer, e normas para a sua utilização da identificação de activos.
- ARF - Asset Reporting Format
- Modelo de dados para transferir a informação acerca dos activos, e para as relações entre activos e relatórios.
- CCSS - Common Configuration Scoring System
- Conjunto de métricas da severidade dos problemas de configuração dos sistemas de segurança
- TMSAD - Trust Model for Security Automation Data
- Modelo de confiança normalizado que pode ser aplicado a especificações no contexto da automatização da segurança.
Padrões de segurança
São normas globalmente aceites pela indústria que incluem orientações específicas para a correcção de vulnerabilidades. Os principais são publicados pelas seguintes organizações:
Center for Internet Security
Os CIS Benchmarks são recomendações técnicas para sistemas operativos, middleware e aplicações, e dispositivos de rede. São desenvolvidas num processo que inclui centenas de profissionais de segurança, sendo consensualmente o padrão em boas práticas de configuração
International Organization for Standardization
A norma ISO/IEC 27002:2013 fornece directrizes para padrões organizacionais de segurança da informação e práticas de gestão de segurança da informação, incluindo a selecção, implementação e gestão de controles tendo em consideração o ambiente de risco de segurança da informação da organização.
National Institute of Standards and Technology
O National Checklist Program (NCP), criado pelo documento NIST SP 800-70 Rev. 3, é o repositório oficial dos governo dos EUA de listas de verificação publicamente disponíveis. Estas listas fornecem orientações detalhadas para as configurações de segurança de sistemas operativos e aplicações. O NCP está a migrar o seu repositório de listas de verificação para o formato SCAP de modo a permitir que ferramentas de segurança baseadas neste protocolo possam executar configurações automatizadas utilizando as listas do NCP.
Defense Information Systems Agency
Os Security Technical Implementation Guides (STIGs) e os NSA Guides são os padrões de configuração para os dispositivos de segurança da informação do DoD. Os STIGs contêm orientação técnicas para “fechar” sistemas informacionais e software que doutra forma poderiam estar vulneráveis a um ataque informático.
Bundesamt für Sicherheit in der Informationstechnik
Os BSI Standards contêm recomendações sobre métodos, processos, procedimentos, abordagens e medidas relacionadas com segurança da informação.
Requisitos de conformidade
Qualquer organização que faça gestão de pagamentos, manipule dados de clientes privados ou opere em mercados controlados por regulamentos de segurança, precisa demonstrar conformidade de segurança para evitar penalidades e atender às expectativas do cliente. Estes são alguns dos principais requisitos de conformidade:
Payment Card Industry Data Security Standard
O PCI DSSé um conjunto de padrões de segurança projectados para garantir que todas as empresas que aceitam, processam, armazenam ou transmitem informações de cartões de crédito mantêm um ambiente seguro. Foi lançado em 7 de Setembro de 2006 para gerir a evolução contínua dos padrões de segurança PCI (Payment Card Industry) com foco na melhoria da segurança das contas de pagamento durante todo o processo de transacção.
Health Insurance Portability and Accountability Act
As normas HIPAA essencialmente definem como devem as entidades prestadoras de cuidados de saúde lidar com informação pessoal e clínica.
Information Technology Infrastructure Library
As directrizes de conformidade ITIL incluem categorias como gestão da mudança, arquitectura de segurança e sistemas de help desk. As organização podem encontrar formas de cumprir a ITIL, usando os sistemas e estratégias adequados.
Control Objectives for Information and Related Technology
COBIT é um enquadramento criado para a gestão de TI. Destina-se a ser uma ferramenta de apoio para os gestores e permite fazer a ligação entre questões técnicas, riscos de negócios e requisitos de controlo.
National Institute of Standards and Technology
O NIST é responsável pelo desenvolvimento de padrões de segurança cibernética, directrizes, testes e métricas para a protecção dos sistemas do governo federal dos EUA. Embora desenvolvidos para uso de agências federais, esses recursos são voluntariamente adoptados por outras organizações porque são eficazes e aceites globalmente.
Próximo artigo: Robustecimento do Windows 7 (Parte I)