0
0
Hoje, quase todas as partes que emitem avisos de segurança usam seu próprio formato e estrutura. Além disso, a maioria dos avisos de segurança são apenas legíveis por humanos, não legíveis por máquina.
Os administradores de sistema devem ler cada aviso, determinar se eles usam os produtos e versões listados e avaliar o risco potencial e as mitigações existentes. Com base na exposição do sistema e no valor comercial, eles decidem se e quando aplicar o patch.
É um processo demorado que atrasa a correção da vulnerabilidade e aumenta o risco. Fornecedores e provedores de software e hardware precisam divulgar as vulnerabilidades de segurança de uma forma que acelere esse processo e capacite os clientes a usar a automação.
O novo padrão para avisos de segurança
O Common Security Advisory Framework (CSAF) 2.0 oferece suporte à automação do gerenciamento de vulnerabilidades, padronizando a criação e distribuição de avisos de segurança estruturados legíveis por máquina.
CSAF é um padrão oficial do OASIS Open . O comitê técnico que desenvolveu o CSAF inclui vários líderes de tecnologia, usuários e influenciadores dos setores público e privado.
Os fabricantes podem usar o CSAF para padronizar o formato, conteúdo, distribuição e descoberta de alertas de segurança. Esses documentos JSON legíveis por máquina permitem que os administradores automatizem a comparação de recomendações com o banco de dados de ativos de um usuário ou mesmo com o banco de dados de lista de materiais de software (SBOM) de um fornecedor.
O sistema automatizado pode filtrar vulnerabilidades com base nos produtos de interesse e priorizar com base no valor comercial e na exposição. Isso acelera drasticamente o processo de avaliação e permite que os administradores se concentrem no gerenciamento de riscos e na correção de vulnerabilidades.
CSAF, VEX e SBOMs
Vulnerability Exploitability eXchange (VEX) é um perfil no CSAF. O VEX foi desenvolvido na comunidade SBOM como uma forma de os fabricantes transmitirem facilmente que um produto não é afetado pela emissão do chamado aviso negativo de segurança. O VEX foi projetado para trabalhar com SBOMs, embora não seja necessário ter um SBOM para usar documentos VEX.
Um documento VEX deve incluir informações sobre a disposição de cada vulnerabilidade conforme ela afeta cada produto. Um produto pode ser marcado como sob investigação, corrigido, conhecido como afetado ou conhecido como não afetado. Para os produtos marcados como conhecidos não afetados, a VEX exige que o editor inclua uma justificativa para esse status.
Ser capaz de comunicar os vários status de uma vulnerabilidade — inclusive sob investigação e não afetada — significa que os clientes podem obter essas informações sem ligar para os fornecedores ou fabricantes, o que será um alívio para o suporte ao cliente. Além disso, permite que os clientes gerenciem melhor o risco de vulnerabilidade.
Quando combinados com um SBOM, os documentos VEX permitem que os administradores usem sistemas de gerenciamento de ativos para determinar rapidamente quais vulnerabilidades não são exploráveis, o que os libera para se concentrar em quaisquer vulnerabilidades que possam colocar seus negócios em risco.
Outros perfis CSAF
VEX é um dos cinco perfis no esquema CSAF. Cada perfil possui determinados campos obrigatórios e é projetado para atender a uma necessidade específica.
O perfil base CSAF serve como base para todos os outros perfis. Ele define os campos obrigatórios padrão para qualquer documento CSAF — principalmente informações sobre o próprio documento, como quem o publicou, quando foi publicado e se foi revisado.
O perfil do comunicado de segurança inclui informações que vemos na maioria dos avisos de segurança atualmente — detalhes sobre a vulnerabilidade, produtos afetados e correções.
O perfil consultivo informativo pode ser usado para fornecer informações sobre um problema de segurança que não seja uma vulnerabilidade, como uma configuração incorreta.
Por fim, o perfil de resposta a incidentes de segurança pode ser usado para fornecer informações sobre uma violação ou incidente de segurança ocorrido na empresa ou sobre o impacto que um incidente envolvendo outra parte (como um empreiteiro ou fabricante de componentes) teve na empresa.
Ferramentas e Orientações CSAF
A CSAF define metas de conformidade que ajudam consumidores e produtores a encontrar a ferramenta certa para suas necessidades. O comitê técnico do OASIS CSAF também desenvolveu um conjunto de ferramentas para usar o CSAF, incluindo:
- Secvisogram é um editor online para criar, atualizar e visualizar documentos CSAF. Ele também pode produzir uma versão do documento legível por humanos.
- O back-end CSAF CMS é uma implementação em andamento de um sistema de gerenciamento de conteúdo CSAF . O sistema apoiará os produtores de documentos CSAF, fornecendo fluxos de trabalho e automação da criação de metadados.
- O serviço do validador CSAF é um serviço baseado em REST que implementa o destino do validador completo CSAF . Ele testa um determinado arquivo CSAF de acordo com a especificação.
- CSAF Provider é uma implementação da função CSAF Trusted Provider e oferece um serviço de gerenciamento baseado em HTTPS simples. Ele atua como um gerador de site estático para apresentar arquivos CSAF conforme exigido pelo padrão.
- O Verificador CSAF é uma ferramenta para testar um Provedor Confiável CSAF de acordo com a Seção 7 do padrão CSAF . Ele verifica os requisitos sem considerar a função indicada.
- O CSAF Downloader é uma ferramenta para baixar avisos de um provedor CSAF.
Para ajudar as partes emissoras a redigir documentos CSAF acionáveis, há orientações para cada campo, que podem ser encontradas aqui .
FONTE: DARK READING