Security checklists amb SCAP

Abstract

Aquest treball consisteix en l'estudi del framework SCAP i com, amb les eines que ens ofereix, es creen les Security Checklists. Veurem com SCAP defineix un marc idiomàtic per a que tots els sistemes relacionats amb la seguretat informàtica es puguin entendre: com definir els components de software, com definir les vulnerabilitats, els patch, els ajustos de configuració, etcètera. Veurem com amb un llenguatge declaratiu com el XCCDF es poden crear SSG (SCAP Security Checklists) que seran re-aprofitables entre diferents sistemes i com s'hi poden definir els checks, ajustar-los per fer-los personalitzats a la normativa de cada necessitat (empresa o particular) i com es poden aprofitar per tal de definir accions per a solucionar els petits errors de configuració dels sistemes. Veurem un exemple de com aplicar una avaluació en sistemes reals i com les accions de fix o «remediation» solucionen gran part dels problemes detectats. Podrem veure fins on arriben aquestes accions i què no poden solucionar.

Este trabajo consiste en el estudio del framework SCAP y como, con los aperos que nos ofrece, se crean las Security Checklists. Veremos como SCAP define un marco idiomático para que todos los sistemas relacionados con la seguridad informática se puedan entender: como definir los componentes de software, como definir las vulnerabilidades, los patch, los ajustes de configuración, etcétera. Veremos como con un lenguaje declarativo como lo XCCDF se pueden crear SSG (SCAP Security Checklists) que serán re-aprovechables entre diferentes sistemas y como se pueden definir los checks, ajustarlos para hacerlos personalizados a la normativa de cada necesidad (empresa o particular) y como se pueden aprovechar para definir acciones para solucionar los pequeños errores de configuración de los sistemas. Veremos un ejemplo de como aplicar una evaluación en sistemas reales y como las acciones de fijo o «remediation» solucionan gran parte de los problemas detectados. Podremos ver hasta donde llegan estas acciones y que no pueden solucionar.

This work consists in the study of the SCAP framework and how Security Checklists are created using it. We will see how SCAP defines a language so that all systems related to computer security can be integrated: how to enumerate software components, vulnerabilities, patches, configuration settings, and so on. We will see how XCCDF, a declarative language, can be used to create SSG (SCAP Security Checklists) that will be reusable between different systems and how you can define checks, adjust them to make them customized to the regulations of each security policy and how can be used to define actions to solve small system configuration errors. We will see an example of how to apply an evaluation in real systems and how the actions of fix or remediation solve most of the problems detected. We can see what can be solved and what not wih this automated processes.