情報システムまたはSCAP教育プログラムのセキュリティ監査の自動化

会社のどこかで「レール-レール、寝台車-寝台車」。



CISO： イゴール、誰かが駅のカメラにアクセスできました。

イゴール： @@@！

CISO： それを理解してください。すべてのカメラ、すべてのコンピューターの構成を確認してください。

イゴール： でも、100,500以上あるので、かなり時間がかかります！

CISO： 私たちの電気技師であるミハリチを子供の頃に連れて行ってください。彼は子供の頃にラジオサークルを訪れました。

Igor： SCAPを試してみたほうがいいかもしれません。

CISO： そして何...

前書き

多くのドキュメント（標準、注文、推奨事項）は、情報システムのセキュリティ設定の要件を定義し、脆弱性を検索し、管理を更新します。最大の企業の1つで最近発見された 問題は、脆弱性と構成を管理する必要性を再び示しています。



原則として、情報システムは複雑で動的なオブジェクトであるため、要件に準拠するには、その状態（監査）を常に監視する必要があります。



セキュリティ監査を自動化するための事実上の方法は、NISTによって提案され、SCAP（セキュリティコンテンツ自動化プロトコル）仕様で説明 されているアプローチ です。





SCAPを使用した情報システムの自動セキュリティ監査プロセスの構造図



次に、監査自動化プロセスのすべてのポイントをより詳細に理解することをお勧めします。行く！

要件

監査のソース、その根拠および理由は、規制当局によって課される情報システムの高レベルの紙の要件であり、ベストプラクティス、独自のポリシー、またはパートナーのポリシーで定義されています。



たとえば、PCI DSS標準では、ファイアウォール構成のサポート、プログラムの更新、セキュリティシステムの定期的なテスト、および情報セキュリティポリシーのサポートに関する要件が説明されています。



CISコントロールの推奨事項v。 7.1は、継続的な脆弱性管理（CIS Control 3）、ハードウェアとソフトウェアの安全な構成（CIS Control 5）の要件を示しています。



また、FSTEC注文番号17は、州の情報システムに含まれる情報の保護に関する要件を定義しています。



すべての要件と推奨事項の主な問題は、それらの高レベルの非形式化された記述であり、自動化プロセスでの使用を許可していません。このソリューションは、SCAP仕様の開発とともに2009年にNISTによって提案されました。

SCAP

SCAP（Security Content Automation Protocol）は、情報システムを自動的に構成し、脆弱性を検索して修正し、セキュリティのレベルを評価できるようにする階層仕様です。



SCAPには、相互接続された多数のコンポーネントが含まれており、その正式な説明はXMLに基づいています。XCCDF、 OVAL、 OCIL、 ARF言語 。識別スキーム CCE、 CPE、 SWID、 CVE ;メトリック CVSS、 CCSS..。



仕様の他のコンポーネントも重要ですが、コア言語はXCCDFとOVALです。



XCCDF（Extensible Configuration Checklist Description Format）は、情報システムのセキュリティ設定のリストを記述し、他のSCAPコンポーネントの相互接続を定義する言語です。この言語は、情報交換、ドキュメント生成、自動テスト、および指定された要件への適合性評価を提供するように設計されています。スキャンを実行するコマンドは含まれていません。



OVAL（Open Vulnerability and Assessment Language）は、システムの状態に関する論理ステートメントの宣言言語です。これはSCAP標準の主要コンポーネントであり、脆弱性と必要なシステム構成を説明するために使用されます。



したがって、SCAPコンテンツは情報システムの要件であり、正式な形式に変換されます。これにより、システムが要件に準拠しているかどうかを自動的にチェックし、脆弱性を検索できます。



XCCDFとOVALについては次の記事で詳しく分析し、ここにリンクを残します。



質問。SCAPコンテンツはどこで入手できますか？

• 自分で作成します。これは非常に面倒で、仕様を理解する必要があります。人生が容易になるオープンソースでSCAPエディタあなたが使いやすいグラフィカルインタフェースでXCCDFとOVAL文書を作成することができます。
• オープンリソースを使用します。たとえば、OVALのベース-FSTECからの説明、USGCB要件、またはMITREからのリポジトリ。
• 購入。いくつかの商用製品を購入すると、メーカーのデータベースにアクセスできます。

通訳

SCAPコンテンツの形式で形式化された要件は、いわゆるインタープリターまたはスキャナーの入力データであり、その中には非常に多くのものがあります。MITERは、「承認された」組織、その製品、およびOVALリポジトリの記録を保持してい ます。



いくつかの無料の通訳を検討してください： OVALdi、 OpenSCAP、 ScanOVAL。

OVALdi

通訳はMITREによって開発されました。これは、開発されたOVALドキュメントの評価と構文チェックを示すことのみを目的としています。情報システムを評価するための最小限の機能があります。WindowsとLinuxの両方で利用できます。BSDライセンスの下で配布されます。



OVALdiは、コマンドラインからのみ、ローカルでのみ制御できます。そのためには、管理者権限でコマンドを入力する必要があります。

ovaldi.exe -m -o "definitions.xml"
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

ここ m



で、-OVALドキュメントの整合性をチェックしません o



。はOVALドキュメントへのパスです。

オープンキャップ

OpenSCAP Base（CLIベースのオープンソーススキャナー）やSCAP Workbench（GUIベースのスキャナー）など、多くの製品に代表されるRedHatのプロジェクト。



次の記事では、Red Hatの無料の自動監査システムの展開と使用について詳しく説明し、ここにリンクを残します。





SCAP Workbenchインターフェイス



OpenSCAPツールがWindowsに適しているという事実にもかかわらず、unixのようなシステムにはより多くの可能性が提示されます。当初、プロジェクトは彼らの評価のみを目的としていました。



ターミナルのコマンドインタープリターがトリガーされます：



oscap oval eval "D:\definitions.xml" --report "D:\results.html"



、

その後、ドキュメントOVAL-の指示に従ってシステムをチェックします。 «D:\definitions.xml»



結果をファイルに保存します «D:\results.html»



。

SvanOVAL

ロシアのある会社がFSTEC用に開発したツール。このツールは無料で、WindowsとLinux（Astra）の両方に適しています。





ScanOVALインターフェイス



主な欠点は、ツールの機能がFSTEKデータベースに表示される脆弱性についてシステムをチェックすることによってのみ制限され、OVALドキュメントのデジタル署名がチェックされるため、カスタムファイルをフィードできないことです。それにもかかわらず、ScanOVALはペーパーレスセキュリティに向けたFSTECの大きな一歩です。

SCAPロジック

簡単にするために、多くのニュアンスは考慮されていません。これは、一般にSCAPの原則に違反しませんが、アプローチ自体をよりよく理解することを可能にします。





SCAPの基本的な論理



図XCCDFドキュメントにはプロファイルが含まれており、そのうちの1つをテスト用に選択できます。たとえば、Windows 10の脆弱性を検索したり、特定の要件を満たしたりします。実際、プロファイルには、システムがこのプロファイルを満たしているかどうかを判断するためにチェックする必要のあるチェックリストが含まれています。



チェックリストには、説明的な情報（口頭での要件、不整合を解決するための推奨事項、評価指標など）が含まれています。これはすべて、検証結果の説明を表示するために使用されます。



ただし、チェックリストの各項目に含まれる主なものは、関連するOVALドキュメントの特定の定義へのリンク です。 OVAL定義を処理した後、インタープリターはブール結果（true



または false



）を返します。 これに基づいて、チェックリストからの要求が満たされていると結論付けます。



OVALドキュメントでは、定義は合格するテストの論理バンドルを形成 します。各テストでは、論理演算子を使用してオブジェクトと 状態を関連付け ます。



テスト、オブジェクト、および状態にはさまざまなタイプがあり ます、その多くがあります。 SCAP仕様の幅広い機能を決定するのは、それらの多様性です。



たとえば、Windows用、とりわけ、タイプがあり group_sid



（ group_sid_test



、 group_sid_object



そして group_sid_state



あなたがSID識別子によって、ユーザーおよびサブグループを評価することができます）。また、dpkginfo



Linuxタイプで は、特定のDPKGパッケージに関する情報を確認できます。タイプ textfilecontent



はシステムに依存せず、構成ファイルなどのテキストファイルの内容の検証を提供します。



OVALドキュメントの状態は、オブジェクトを特徴付けるパラメータの必要な値を指定します。



テストを処理するとき、インタープリターはオブジェクトの現在の状態を特徴付けるパラメーターの値を決定し、テストで指定されたロジックに従って、指定された値と比較します。これに基づいて、ブールテスト結果が生成されます。



定義はまた、所定のロジックに従って各リンクされたテストの結果を比較し、チェックリストからの特定の要件の達成を表す最終結果をもたらします。



たとえば、実行可能ファイルの不変性を保証する必要がある場合、オブジェクトとしてSCAPコンテンツに変換さ れると、フルネームで決定される特定の実行可能ファイルが与えられます .../example.exe



。 ステータスは、次のハッシュ合計の目的の値に設定されます D41...27E



。 テストは比較操作を決定します： equal



-等しい。この場合、インタプリタはファイルのハッシュ合計を計算し、.../example.exe



それを指定されたものと比較し ます D41...27E



。それらが一致する場合、それは肯定的な結果を返します。

結果

SCAP仕様によれば、監査結果はARF（Asset Reporting Format）で表示されます。



ARFレポートはXMLドキュメントに含まれており、プロファイルの説明、チェックリストの要件、および各チェックリスト項目の要約結果が含まれています。



通常、スキャン結果は人間が読み取れる形式に変換されます。





OVALdiインタープリターを使用してWindows10の脆弱性をチェックした結果のサンプル

補正

SCAPプロトコルの機能は、検出された不整合の自動修正と脆弱性の排除を提供します（機能は自動監査システムによってサポートされている必要があります）。



これは良いオプションのように思えますが、自動修正によってシステムが破損する可能性があるため、これらの機能は慎重に使用してください。



最も一般的なバリエーションは、チェックの結果が満たされていない要件のリストと、それらを修正するために実行する必要のあるアクションのテキストによる説明として表示される場合です。たとえば、CIS-CATの無料バージョンのように。





CIS-CATLiteインタープリターの結果の例と削除の推奨事項

結論

監査の自動化は情報セキュリティの最も重要なタスクであり、その関連性は、特定の要件を満たす必要があるシステムの数、複雑さ、およびダイナミクスによるものです。



SCAPは、柔軟で多面的な自動化手法を提供しますが、次のような欠点があります。

• 高レベルの口頭要件を形式化されたSCAPコンテンツに変換することの複雑さ。
• SCAP仕様の可能性を最大限に活用できるようにするインタープリターの作成の複雑さ。

一方、エンドユーザーの観点からは、SCAPは、管理されたインフラストラクチャの時間を短縮し、セキュリティを向上させるのに役立つシンプルで効果的なツールです。