Artykuł pochodzi z wydania: Czerwiec 2024
Kontrola konfiguracji systemów pod kątem wymagań związanych z bezpieczeństwem to zadanie wymagające odpowiednich narzędzi. Dobrze jeśli oprogramowanie – tak jak OpenSCAP – potrafi także w sposób automatyczny naprawić rozbieżności względem przyjętej polityki.
OpenSCAP to projekt rozpoczęty przez entuzjastów oprogramowania open source, przy wsparciu Red Hata w 2008 r. W kolejnych latach pod tym samym szyldem wystartowało kilka dodatkowych inicjatyw, czego efektem jest zestaw narzędzi pozwalających na usprawnienie procesu sprawdzania zgodności systemów z obowiązującą w organizacji polityką bezpieczeństwa oraz ułatwiających wykrywanie podatności. Tematyka zahacza zatem zarówno o elementy z zakresu szeroko rozumianego zarządzania bezpieczeństwem, jak i konfigurację. Narzędzia pakietu OpenSCAP potrafią również automatycznie naprawiać większość wykrytych problemów.
> ZACZNIJMY OD PODSTAW
Security Content Automation Protocol (SCAP) to zbiór specyfikacji i standardów pozwalający w sposób uporządkowany kierować automatyzacją zarządzania podatnościami oraz sprawdzaniem zgodności z polityką bezpieczeństwa dla systemów IT, a OpenSCAP to zestaw narzędzi będący implementacją tegoż standardu. Najnowsza wersja 1.3 została wydana w lutym 2018 r., choć trwają już prace nad odsłoną 2.0. W ramach specyfikacji SCAP wymienić należy przynajmniej kilka mniej lub bardziej znanych elementów składowych, jak chociażby ARF (ang. Asset Reporting Format), CCE (ang. Common Configuration Enumeration) CCSS (ang. Common Configuration Scoring System), CPE (ang. Common Platform Enumeration), czy w końcu CVE (ang. Common Vulnerability and Exposures) oraz CVSS (ang. Common Vulnerability Scoring System). Do powyższych powinniśmy dodać jeszcze Open Vulnerability Assessment Language (OVAL) i Extensible Configuration Checklist Description Format (XCCDF). Powyższy zestaw standardów, języków i formatów pozwala w sposób zorganizowany i ujednolicony zarządzać sposobem kontroli zgodności, a także weryfikacją podatności systemów czy wymianą oraz katalogowaniem informacji. Lista akronimów jest znacznie dłuższa, a dodatkowo można ją rozszerzyć o organizacje standaryzujące i definiujące wymagania bezpieczeństwa w ramach SCAP. Nie jest to jednak celem tego artykułu.
> SCAP CHRONI
Podstawowym narzędziem dostępnym w ramach projektu jest, uruchamiany z linii komend, oscap, występujący w dokumentacji jako OpenSCAP Base. To właśnie to narzędzie odpowiada za wykonanie skanu konfiguracji i podatności na urządzeniu, na którym zostało zainstalowane, w kontekście wcześniej zdefiniowanego zestaw reguł i profili opisanychw określonym formacie. Pozwala również na wyświetlenie podstawowych informacji o profilach i benchmarkach w formacie XCCDF, a także obiektach OVAL.
Samo skanowanie urządzeń końcowych jest jednak bezpodstawne, dopóki nie odnosimy jego wyniku do określonej polityki. Najprościej skorzystać ze SCAP Security Guide – opartej na najlepszych praktykach bezpieczeństwa dla wybranych platform systemowych oraz aplikacji. Polityka ta bazuje na rekomendacjach i normach bezpieczeństwa zdefiniowanych przez uznane organizacje, będące częścią amerykańskiego departamentu obrony, jak chociażby Payment Card Industry Security Standard Council (standard PCI-DSS), United States Government Configuration Baseline, Center of Internet Security (CIS) czy też DISA (ang. Defense Information Systems Agency).
W ramach SCAP Security Guide (SGG) dostarczane są definicje dla wielu mniej lub bardziej popularnych systemów operacyjnych i aplikacji. Każdy z plików SGG może zawierać zestaw profili definiujących określone parametry konfiguracyjne, które są sprawdzane w trakcie skanu w celu potwierdzenia zgodności z rekomendacją lub jej braku. Na poziomie profili definiowane są natomiast ustawienia zgodności z rekomendacjami typu PCI-DSS, HIPAA itd. Oczywiście predefiniowane polityki i rekomendacje przeznaczone są głównie dla ściśle regulowanych środowisk, gdzie zgodność z określonym zestawem ustawień jest wymagana. W przedsiębiorstwach niepodlegających ścisłym regulacjom jeden z predefiniowanych profili może stanowić jedynie punkt odniesienia, a zarazem podstawę dla zdefiniowania takiego, który będzie odpowiadał własnej specyfikacji uzgodnionej w ramach organizacji.
[…]
Marcin Jurczyk
Autor jest od 2004 roku związany z branżą IT i nowych technologii w obszarze administrowania systemami klasy ERP. Specjalizuje się w realizacji wdrożeń i audytów bezpieczeństwa informacji.