Исследование языка OVAL как международного стандарта ИБ | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 5 февраля, печатный экземпляр отправим 9 февраля.

Опубликовать статью в журнале

Автор:

Рубрика: Информационные технологии

Опубликовано в Молодой учёный №8 (298) февраль 2020 г.

Дата публикации: 20.02.2020

Статья просмотрена: 61 раз

Библиографическое описание:

Сердюк, А. В. Исследование языка OVAL как международного стандарта ИБ / А. В. Сердюк. — Текст : непосредственный // Молодой ученый. — 2020. — № 8 (298). — С. 17-21. — URL: https://moluch.ru/archive/298/67535/ (дата обращения: 25.01.2022).



Ключевые слова: информационная безопасность, OVAL, SCAP.

Open Vulnerability and Assessment Language (OVAL) (открытый язык описания и оценки уязвимостей) является международным стандартом информационной безопасности, предназначенным для стандартизации и обмена информацией о проблемах безопасности. Язык используется для формализованного структурированного описания и оценки состояния безопасности систем (уязвимости, обновления, конфигурации, инвентаризация и пр.), удобен для интерпретации в машиночитаемые форматы и использования в составе различных инструментов безопасности. OVAL.

Отличительной особенностью языка является его универсальность и общедоступность, OVAL стал языком международного общения разработчиков ПО и специалистов ИБ. Язык OVAL поддерживается некоммерческой организацией MITRE и заинтересованными участниками индустрии информационной безопасности, включая мировых лидеров IT-индустрии (Microsoft, Red Hat, Novell, Cisco и др.). На настоящий момент актуальной является версия 5.11.

OVAL стандартизирует три основных компонента процесса оценки: конфигурационную информация о системе, проблемы безопасности, а также представление отчётов об оценке системы. Для каждого компонента разработана соответствующая схема на расширяемом языке разметки (XML). Данные схемы служат фреймворком для языка и включают:

− OVAL System Characteristics — схема для представления системной информации;

− OVAL Definition -схема отображающая текущее состояние системы;

− OVAL Results — схема для отображения результатов оценки.

Модель OVAL-описаний (определений) обеспечивает расширяемую базовую схему для создания утверждений о состоянии системы, основанных на совокупности логических операторов. Каждый логический оператор определяет указанное состояние объекта системы путем идентификации системных данных для проверки и описания ожидаемого состояния этих данных. При помощи схемы OVAL-описаний можно получить различные заключения о системе, такие как:

− является ли система уязвимой?

− установлен ли в системе конкретный патч?

− установлено ли в системе определенное ПО?

− соответствует ли конфигурация системы определенным требованиям?

Модель OVAL-переменных (OVAL Variables Data Model) определяет конструкции, используемые для создания переменных в языке OVAL и в сочетании со схемой OVAL-описаний, может быть использована для внешнего указания значений объектов, что позволяет адаптировать контент, в зависимости от выполняемой схемы определений OVAL. Эта адаптация может применяться как для указания системных данных, подлежащих проверке, так и для описания состояния этих данных.

Модель системных характеристик OVAL (OVAL System Characteristics Model) представляет базовую схему для сбора информации о системных настройках, которая может быть расширена для поддержки конструкций различных определенных платформ. Информация о системных настройках включает свойства операционной системы, информацию об установленном программном обеспечении, параметры безопасности операционной системы, и прочее. Конфигурационная информация, предоставляемая схемой системных характеристик OVAL, может быть использована для сравнения фактического состояния системы и ожидаемого состояния, описанного набором OVAL-описаний.

Модель результатов OVAL (OVAL Results Model) используется для сообщения о результатах оценки систем, проведенной на основании набора OVAL-описаний в сочетании с системными характеристиками OVAL. Таким образом, модель результатов OVAL предоставляет детальную информацию об утверждениях, подвергаемых оценке, наблюдаемых состояниях оцениваемых систем, и детальные результаты оценки. Эта модель позволяет приложениям использовать полученные данные, интерпретировать их, и принимать необходимые меры для сообщения о результатах оценки или предпринимать другие действия (например, устанавливать патчи, изменять параметры конфигурации системы, и/или принимать меры предосторожности для ограничения доступа к затрагиваемым системам). Модель результатов OVAL может быть адаптирована, при помощи модели указаний OVAL (OVAL Directives Model) для включения различных уровней детализации, позволяющих представлять более подробную или оптимизированную информацию о результатах оценки.

Многие конструкции и перечни повторно используются в различных компонентах Модели данных языка OVAL. Для облегчения повторного использования и во избежание дублирования, эти общие конструкции и перечни представлены в Общей модели OVAL (OVAL Common Model).

Зависимости между различными компонентами Модели данных языка OVAL показаны на рисунке 1.

Рис. 1. Модель данных языка OVAL

Сценарии применения языка OVAL

Описание уязвимостей в бюллетенях безопасности

Как правило, оповещения об уязвимостях в виде бюллетеней безопасности, официально публикуют разработчики или экспертные организации, получившие одобрение разработчика. В бюллетенях, помимо текстовых описаний уязвимостей (затронутые платформы и продукты, ссылки на зарезервированные CVE и пр.), могут одновременно публиковаться стандартизированные проверки (определения, definition) на языке OVAL. Добавление в бюллетени безопасности определения на языке OVAL значительно повышает ценность такого оповещения, так позволяет помимо вербального описания уязвимостей использовать входящие в него описания в качестве сигнатур для автоматизированного детектирования проблем безопасности.

Принятой практикой считается немедленная публикация определения в одном или нескольких репозиториях OVAL. Некоторые ведущие разработчики, такие как Cisco, Debian, RedHat, сначала публикуют данные в собственных репозиториях, а затем передают их уже в международные, такие как MITRE, CISecurity, OVALdb, SecPod. Как правило, крупные репозитории тесно взаимодействуют между собой, и публикация, размещенная в одном из репозиториев, может быстро быть реплицирована в остальных. Все репозитории открыты или частично открыты, некоторая информация может быть доступна только авторизованным подписчикам.

Опубликованное определение может быть оперативно скачано из репозитория и загружено в любой сканер безопасности, поддерживающий стандарт SCAP, или OVAL-интерпретатор.

Публикация в бюллетенях безопасности формализованных определений позволяет существенно ускорить процесс обмена информацией об уязвимостях, автоматизировать процесс их выявления и гарантировать достоверность результатов проверок.

Групповая работа по описанию уязвимостей

Разработчик программного обеспечения, получив информацию о наличии в его продукте уязвимости должен оперативно ее подтвердить, описать признаки ее детектирования, условия ее проявления, а также оценить возможность ее проявления в других его решениях. Если процедура описания уязвимости занимает незначительное время, то процесс верификации описаний, проверка возможности эксплуатации уязвимости в различных системах и других программных продуктах разработчика, требует масштабных стендовых испытаний и временных ресурсов. Крайне важно, чтобы после появления информации о выявленной уязвимости, данные работы были проведены в максимально короткий срок, а информация оперативно была доведена до пользователей уязвимых продуктов. Описав на языке OVAL признаки детектирования уязвимости, разработчик может разослать данную информацию заинтересованным сторонам, чтобы те могли проверить корректность описаний и провели тестирование на своих информационных системах или стендах. А также могли просканировать на предмет наличия уязвимости в других версиях и редакциях данного программного продукта.

Использование информации об уязвимостях в стандартизированном виде позволяет экспертам быстро понимать причины уязвимости, находить проблемные участки и вырабатывать контрмеры. Задействование максимального количества экспертов в отработке описаний, позволяет повысить качество OVAL-определений и снизить вероятность «ложных срабатываний».

Контроль установки обновлений программного обеспечения

Отсутствие гарантий того, что система надлежащим образом обновлена, а установленные обновления корректны и не вызывают коллизий в системе, является серьезной проблемой и может служить основной причиной взлома системы. Эффективные системы автоматического обновления программных продуктов подобно Microsoft или Adobe, редкое исключение. Администраторы систем значительную часть времени вынуждены тратить именно на контроль, тестирование и установку обновлений. Использование специальных инструментов управления обновлениями (Patch Manager), поддерживающих стандарт OVAL (SCAP) может значительно упростить процедуру контроля за обновлениями.

Одним из сценариев может быть выпуск разработчиком вместе с обновлением его описания (определения) на языке OVAL, содержащем всю необходимую информацию для автоматической проверки системы на необходимость и корректность установки данного обновления. Таким образом, администратор системы может загрузить в Patch Manager OVAL-описание и моментально получить заключение о необходимости установки обновления.

Другим вариантом может служить включение в сканеры безопасности (средства анализа защищенности) функции «обновление» и добавление в OVAL-описания уязвимости элемента описания «исправление» (patch), привязанного к идентификатору уязвимости (CVE, BDU и пр.). Администратор, обладая подобными инструментами, просканировав систему и получив оценку уязвимости системы, может сразу (при наличии обновления) исправить данную уязвимость.

Контроль параметров безопасности программного обеспечения и средств защиты информации

Контроль параметров безопасности ПО и СЗИ представляет собой сравнение состояния параметров ИС с принятыми в организации политиками или стандартами безопасности (ведомственные, предприятия). Политики, как правило, выражаются в виде базовых конфигураций (baseline), разработанных и рекомендованных вендором или экспертной организацией. Количество таких параметров, в зависимости от типа и состава ПО, может составлять от сотен до тысяч параметров для одного АРМ или сервера. Очевидно, что проанализировать, применить, а затем вручную осуществлять контроль не представляется возможным.

Данные задачи решаются при помощи средств анализа защищенности (сканеров безопасности). До недавних пор каждый разработчик сканеров использовал свои, в основном проприетарные, способы описания и контроля состояния параметров систем. В последние годы наметилась устойчивая тенденция к стандартизации описаний состояния и способов контроля параметров безопасности на основе языков OVAL и XCCDF (расширяемый формат описания контрольного списка конфигураций, Extensible configuration checklist description format, компонент протокола SCAP).

Ряд ведущих разработчиков предлагают в составе своих Security Guide готовые конфигурации в формате SCAP. Так ключевой инструмент Microsoft для настройки и управления рабочими станциями и серверами Security Compliance Manager (SCM) позволяет экспортировать объекты групповых политик в формат SCAP для последующей загрузки базовых или адаптированных конфигураций в типовые сканеры безопасности, поддерживающие протокол SCAP.

Еще одной сферой применения OVAL стало представление требований национальных и отраслевых стандартов безопасности в формате SCAP. Примером может служить успешно реализованная национальная программа США — USGСB (United States Government Configuration Baseline). Благодаря применению технологии SCAP, удалось внедрить автоматизированное тестирование на соответствие стандарту USGСB вводимые и эксплуатируемые федеральные информационные системы США. Стандартом предусмотрено, что тестирование на соответствие USGСB может производиться только с применением специальных USGСB/FDCC-сканеров или коммерческих версий сканеров безопасности, поддерживающих SCAP. Условием легитимности таких USGСB-сканеров являлось требование, согласно которому разработчики должны были пройти процедуру сертификационных испытаний на соответствие SCAP-совместимости путем их тестирования в одной из десяти специальных независимых лабораторий, аккредитованных NIST.

Контроль состава программного обеспечения и средств защиты информации

Контроль за неизменностью состава ПО и СЗИ, актуальностью лицензионных ключей, несанкционированной установкой программ является одной из обязательных мер защиты любой ИС. В каждой организации используется широкий спектр разнородного программного обеспечения, сбор сведений о котором, может требовать значительных ресурсов. Еще одной немаловажной проблемой является единообразие технологии сбора и представления информации о системе. Информация, собранная различными средствами инвентаризации, может значительно различаться.

Использование языка OVAL и стандартизированного перечня CPE (Common platform enumeration, компонент SCAP) позволяет администратору, самостоятельно подготовив и загрузив OVAL-определения инвентарей, собрать сведения о системе, сформировать «снимки» для последующего контроля состояния системы, привести к единообразной форме инвентаризационные отчеты.

Обнаружение вредоносных программ

Ведомственные ситуационные центры (CERT), банки, государственные структуры и другие организации участвуют в обмене сведениями об инцидентах безопасности, в том числе связанных с вредоносными программами. От скорости реакции на появившийся вирус или другое вредоносное ПО, порой зависит работа организации или всей отрасли. Появление антивирусных сигнатур может занимать продолжительное время. Как правило, в различных CERT-центрах признаки вредоносных программ описываются в текстовом документе (прозе) в виде перечня системных параметров (наименований файлов, контрольных сумм, ключей реестра и пр.).

Использование стандартизированного OVAL формата для описания наличия или последствий активности вредоносных программ позволит ускорить обмен информацией и автоматизировать процесс поиска вредоносного ПО. Обнаружение вредоносных программ может осуществляться при помощи любого OVAL-интерпретатора или сканера безопасности, поддерживающего OVAL.

Литература:

  1. OVAL — Open Vulnerability and Assessment Language [Электронный ресурс]: официальный сайт проекта / MITRE — Режим доступа: http: //oval.mitre.org
Основные термины (генерируются автоматически): OVAL, SCAP, система, CVE, MITRE, программное обеспечение, сканер безопасности, бюллетень безопасности, информационная безопасность, модель результатов.


Ключевые слова

Информационная безопасность, OVAL, SCAP

Похожие статьи

Моделирование систем защиты информации. Приложение...

Защита информации. Обеспечение информационной безопасности в организации.

Глобальное исследование по вопросам обеспечения информационной безопасности.

Ключевые слова: информационная безопасность, системы защиты информации...

Информационная безопасность и стандарт CobiT

Самая распространенная модель информационной безопасности базируется на обеспечении трех свойств информации

Как прикладная дисциплина информационная безопасность занимается обеспечением этих ключевых свойств, в частности, путем разработки защищенных...

Создание программы для сканирования уязвимостей...

Безопасность — важная часть ваших веб-приложений. Веб-приложения по определению

Безопасность веб-приложений — это подразделение «Информационная безопасность»

Создание программы. Чтобы создать сканер уязвимостей веб-сайта, мы использовали Python 3...

Моделирование информационных процессов в интегрированных...

В данной статье раскрываются этапы моделирования информационных процессов в интегрированных системах безопасности (ИСБ) в условиях обеспечения защиты информации от несанкционированного доступа (НСД)...

Исследование нейросетевых технологий для выявления...

Задача обнаружения инцидентов информационной безопасности сводится к задаче классификации на предоставляемом массиве данных. Поэтому основным критерием для выбора метода обнаружения является его способность решить задачу классификации.

Сравнительный анализ соответствия решений Oracle по...

Для создания эффективной системы информационной безопасности требуется соблюдать определенные стандарты информационной безопасности. Богатый международный опыт показывает, что разрозненные усилия банков по защите информации оказываются...

Системы сбора информации в аспекте кибербезопасности

Ключевые слова: системы обработки журналов, системы обнаружения атак,системы обнаружения и реагирования на конечных узлах сети,системы сбора информации о безопасности и управления событиями,OSSEC, SIEM, IDS, EDR, открытый исходный код...

Разработка модели комплексной среды тестирования...

В научном исследовании представлены результаты построения модели среды тестирования современных интернет-приложений. Актуальность построения модели обуславливается необходимостью комплексного подхода к решению задачи тестирования применительно к...

Обзор требований безопасности для криптографических модулей

Одним из способов защиты информации является применение специализированных аппаратных модулей защиты информации. С помощью данных модулей можно реализовать систему безопасности, которая будет противодействовать несанкционированному доступу как...

Похожие статьи

Моделирование систем защиты информации. Приложение...

Защита информации. Обеспечение информационной безопасности в организации.

Глобальное исследование по вопросам обеспечения информационной безопасности.

Ключевые слова: информационная безопасность, системы защиты информации...

Информационная безопасность и стандарт CobiT

Самая распространенная модель информационной безопасности базируется на обеспечении трех свойств информации

Как прикладная дисциплина информационная безопасность занимается обеспечением этих ключевых свойств, в частности, путем разработки защищенных...

Создание программы для сканирования уязвимостей...

Безопасность — важная часть ваших веб-приложений. Веб-приложения по определению

Безопасность веб-приложений — это подразделение «Информационная безопасность»

Создание программы. Чтобы создать сканер уязвимостей веб-сайта, мы использовали Python 3...

Моделирование информационных процессов в интегрированных...

В данной статье раскрываются этапы моделирования информационных процессов в интегрированных системах безопасности (ИСБ) в условиях обеспечения защиты информации от несанкционированного доступа (НСД)...

Исследование нейросетевых технологий для выявления...

Задача обнаружения инцидентов информационной безопасности сводится к задаче классификации на предоставляемом массиве данных. Поэтому основным критерием для выбора метода обнаружения является его способность решить задачу классификации.

Сравнительный анализ соответствия решений Oracle по...

Для создания эффективной системы информационной безопасности требуется соблюдать определенные стандарты информационной безопасности. Богатый международный опыт показывает, что разрозненные усилия банков по защите информации оказываются...

Системы сбора информации в аспекте кибербезопасности

Ключевые слова: системы обработки журналов, системы обнаружения атак,системы обнаружения и реагирования на конечных узлах сети,системы сбора информации о безопасности и управления событиями,OSSEC, SIEM, IDS, EDR, открытый исходный код...

Разработка модели комплексной среды тестирования...

В научном исследовании представлены результаты построения модели среды тестирования современных интернет-приложений. Актуальность построения модели обуславливается необходимостью комплексного подхода к решению задачи тестирования применительно к...

Обзор требований безопасности для криптографических модулей

Одним из способов защиты информации является применение специализированных аппаратных модулей защиты информации. С помощью данных модулей можно реализовать систему безопасности, которая будет противодействовать несанкционированному доступу как...

Задать вопрос