STIGS,SCAP,OVAL,ORACLE数据库和ERP安全性

上周前所未有的赎金软件网络攻击(http://preview.tinyurl.com/lhjfjgk)抓住了我通过一些关于安全自动化的研究。网络攻击显然是归因于未划分的Windows XP漏洞。当挑战在组织中确保所有Windows台式机和Linux服务器等1000多人的资产时,自动化将快速成为必需品。

自动化越来越多地提出我们的客户对话,了解如何保护技术“堆栈”支持大型ERP实现,例如Oracle E-Business Suite ,PeopleSoft和SAP。例如,您如何从安全专业角度来看,为Linux操作系统,虚拟化软件,Web提供安全的基线配置(控制依据/违规)和安全补丁级别(Patch / Unpatched Cves),传达客观风险评估。服务器,数据库和ERP应用程序本身?如果没有自动化,迅速生成完整技术堆栈的基于风险评估并产生在普通风险测量(例如CVE)中不需要深层主题专业知识的结果是不可行的。

但是,自动化只能在定义要求后考虑。我在我的研究中拥有长期使用的安全技术实施指南(剧本),并与客户一起使用客户来定义安全要求。 STIGS是美国国防部开发的安全配置标准,如Oracle RDBMS等产品,并可自由提供(http://iase.disa.mil/stigs/Pages/index.aspx)。虽然大多数客户不需要他们的数据库硬化到军事规范,但剧本是一种宝贵的安全性最佳实践思考。

STIGS(安全检查表)仅以XML格式提供 - 而不是PDF文件。 Disa确实提供了一个效用来查看和使用败口(http://iase.disa.mil/stigs/Pages/stig-viewing-guidance.aspx)它允许您手动执行核对表,记录您的发现,然后导出结果。看到这个youtube(//www.youtube.com/watch?v=-h_lj5sWo4A)张贴耻辱观众的摘要以及如何使用它。

安全内容自动化协议(SCAP)

为了回答如何自动化击败和/或安全检查表的问题,国防部再次通过挑战思考,并创建了安全内容自动化协议(SCAP)。

sc 是一种多功能框架,用于自动执行配置,漏洞,修补程序检查和合规性的安全扫描。 SCAP内容由国家标准和技术研究所(NIST)开发,组件在下表中描述。关键点是SCAP安全内容(清单)是免费的,并且SCAP内容扫描工具可在开源和商业选项中获得。

衬垫组件

描述
可扩展清单配置说明格式(XCCDF) 基于XML的语言,用于指定清单并报告清单评估结果。
公开漏洞和评估语言(椭圆形) 基于XML的语言,用于指定检测机器状态的测试程序
常见的漏洞和暴露(CVE) 命名法和安全有关的安全缺陷词典
常见配置枚举(CCE) 命名法和软件安全配置问题词典
常见的漏洞评分系统(CVSS) 测量软件缺陷相对安全的方法
打开清单交互式语言(OCIL) 基于XML的语言,用于指定需要人为互动的安全检查,否则不能被椭圆形捆绑在一起
资产报告格式(ARF) 用于分享资产信息以促进资产安全信息的报告,关联和融合的标准化数据模型。

 

OpenSCAP.

包含许多工具,包含的AppSentry包括(//www.katsenatps.com/products/appsentry),它将执行Oracle数据库的STIG扫描。我本周研究的问题是我可以使用单个SCAP工具来自动扫描Linux服务器和数据库,以及PeopleSoft和/或Oracle E-Business Suite 的可能ERP配置 - 可以吗?用开源软件执行此操作吗?

我考虑的第一个工具是openscap(//www.open-scap.org/)。此开源工具易于安装在笔记本电脑或Linux数据库服务器上,并具有远程扫描功能。下面的示例显示了GUI工具“SCAP Workbench”的功能和默认情况下安装的可自由可用内容,以扫描Linux服务器。

此练习快速确认有大量的安全自动化可用于Linux系统安全配置。但是,在这里,我在哪里击中墙:可以用Oracle数据库工作吗?虽然SCAP标准清楚地显示了使用椭圆形的SQL探测器扫描SQL数据库配置(例如SQL_TEST,SQL57_TEST等),但我可能会得到纠正,但OpenSCAP的标准构建不会包含SQL探针。

 

j

为了获得数据库配置的SCAP扫描的SQL探针,在某些研究之后,我获得了joval专业的评估副本(http://jovalcm.com/)。 joval描述了自己,允许您 从任何地方扫描任何东西 并允许开发商,企业,内容作者和安全专业人员的连续配置评估。

joval professional的安装很快,我能够扫描我的笔记本电脑并远程扫描远程Oracle Linux服务器,没有问题。下面的屏幕截图显示了运行Oracle RDBMS的Linux服务器的远程扫描的结果。

通过一点实验(以及来自joval的客户服务,并且能够快速证明我可以为Oracle数据库的自动化SCAP扫描开发椭圆形内容,无论是标准数据库安全检查还是Oracle电子商务和/或PeopleSoft配置。验证概念的一个关键问题是Connection String硬块用户名和密码。硬编码肯定是安全问题,但杂志(以及OpenSCAP)提供Python绑定。下面的屏幕截图是单个椭圆形扫描,其中包括两个SQL检查以及使用椭圆探针对SQLNET.ORA文件中的内容进行检查: textfilecontent54_test。 

我的椭圆形定义在下面引用。我将其作为别人的榜样。您将知道的关键点是Oracle的joval连接字符串:

Engine:  oracle
Version values: 11.2.0, 11.1.0, 10.2.0, 10.1.0, 9.2.0, 9.0.1
Connection string (do not use JDBC syntax): user=<username>;password=<password>;SID=<instance name>

如果要复制概念验证:

  1. 下载joval专业的试用版。
  2. 运行当地笔记本电脑的扫描
  3. 运行运行Oracle RDBMS的Linux服务器的远程扫描
  4. 为您的数据库编辑示例基准文件(此处)
  5. 将编辑的示例基准上传到joval中
  6. 运行示例基准扫描

接下来是什么?

经过验证的我可以使用椭圆形来写Oracle和ERP审计检查,我将更多的时间扩展PoC。我也对joval的自动化选项感兴趣,并使用资产报告格式(ARF)向NoSQL数据库(如MongoDB)出口到NoSQL数据库 (//scap.nist.gov/specifications/arf/). joval和OpenSCAP都具有标准功能,可以使用ARF导出结果。

如果您有任何疑问,请联系我们  [email protected]

-Michael Miller,CISSP-ISSMP,CCSP,CCSK

参考

示例Oracle Oval基准定义:  sc 椭圆形式检查Oracle

sc

NIST SCAP网站: //scap.nist.gov/

SCAP内容: //nvd.nist.gov/ncp/repository?scap

Oracle Linux安全指南 - 使用OpenSCAP: //docs.oracle.com/cd/E37670_01/E36387/html/ol-scap-sec.html

SCAP的总结: //energy.gov/sites/prod/files/cioprod/documents/Technical_Introduction_to_SCAP_-_Charles_Schmidt.pdf

椭圆形

写椭圆形内容 //oval.mitre.org/documents/docs-07/Writing_an_OVAL_Definition.pdf

椭圆形教程  //nvd.nist.gov/scap/docs/conference%20presentations/workshops/OVAL%20Tutorial%202%20-%20%20Definitions.pdf

 
 
 
 
 
 

 Share this post