OVAL поможет интеграции систем управления иб

3 комментария

Для решения задачи управления информационной безопасностью часто приходится использовать разнообразные средства от разных поставщиков. Дальнейший процесс использования довольно труден: цели для сканеров надо правильно сформулировать и раздать. Кому искать уязвимости, кому потенциальные ошибки в конфигурации, кому аномалии в работе сетевых устройств. Потом результаты сканирования и аудита свести в один отчет и принять решение соответствует ли текущее состояние политикам безопасности. Как бы было хорошо, если бы все компоненты системы  управления информационной безопасностью общались на одном языке.

Многое здесь позволит решить язык описания уязвимостей OVAL.

oval logo

На схеме показана реализация типового процесса оценки уровня безопасности информационной системы с использованием языка:

схема работы

OVAL Definicions — шаблоны состояния средств автоматизации.

OVAL System Characteristics — результаты сканирования (анализа, аудита).

OVAL  Analysis — анализ соответствия текущего состояния безопасности политике.

OVAL Results — результат (уязвима / не уязвима) с рекомендациями.

Рассмотрим описание на языке OVAL уязвимости Windows 2000 COM Internet Services/RPC over HTTP Proxy Component Buffer Overflow:

winvul

Конечно в данном конкретном случае мы видим даже механизмы аудита наличия той или иной аномалии, но это совершенно не обязательно открывать. Я зык позволяет просто сослаться на идентификатор теста, например как в случае описания анализа установленной версии ОС Red Hat:

redhatinstall

Для теста 20060044002 (пятая строчка сверху) существует следующее описание:

redhattest3

Как конкретно осуществляется аудит в этом случае скрыто.

Possibly Related Posts:


Эксперт сообщества Александр Клянчин

Рубрика: Cтандарты, Аудит информационной безопасности, информационная безопасность, Новости. Метки: , . Вы можете следить за отзывами через RSS 2.0. Вы можете оставить отзыв, или трекбек со своего сайта.

3 Отзывов на «OVAL поможет интеграции систем управления иб»


  1. gans

    Уважаемый Александр! Скажите, а OVAL связан с CWE и CVE?

  2. Александр Клянчин

    Безусловно связь есть тем более, что это проекты одной некоммерческой организации:
    Open Vulnerability and Assessment Language (OVAL)
    Common Vulnerabilities and Exposures (CVE)
    Common Weakness Enumeration (CWE)
    Основное достижение OVAL это создание расширяемого языка для:
    — Описания конфигурации системы для анализа на уязвимости;
    — Проведения анализа системы на предмет наличия уязвимости, конфигурации, установленных обновлений;
    — Создание отчетности.
    OVAL использует списки CVE как основу для своих определений.
    Посмотрите на описание уязвимости:
    Windows 2000 COM Internet Services/RPC over HTTP Proxy Component Buffer Overflow
    Там есть прямая ссылка на CVE-2003-0807

  3. Андрей Фадин

    две ссылки неплохие для ликбеза по OVAL

    http://habrahabr.ru/blogs/infosecurity/136046/
    http://habrahabr.ru/blogs/infosecurity/139296/