Software de segurança de código aberto oferece às organizações uma alternativa de baixo custo aos produtos comerciais. Muitas empresas têm se voltado para o código aberto, principalmente adotando o uso de sistemas operacionais Linux, servidores Web Apache e banco de dados MySQL.
O argumento para o código aberto é simples: Não há nenhuma taxa de licença para o software e as aplicações são conduzidas pela comunidade. Se você precisar de um novo recurso, você pode desenvolver-lo sozinho. O contra-argumento para a abordagem de código aberto é que a instalação e configuração de software de código aberto pode ser complicado e demorado. Dependendo do produto, opções de suporte pode ser limitadas a fóruns de discussão da comunidade ou exigir o pagamento de uma taxa de suporte premium.
Apesar de seus benefícios, poucos viram tecnologia de código aberto como um facilitador para a conformidade, até agora. Em uma
apresentação da RSA 2014, os profissionais de segurança da Urbane Security propuseram um modelo de conformidade com o PCI DSS composto por tecnologia de código aberto para ajudar a reduzir custos, aumentar a escalabilidade e melhorar a capacidade de gerenciamento dos sistemas que suportam a conformidade PCI.
Softwares de código aberto têm um lugar em estratégias de conformidade PCI comporativa? Neste post, vamos dar uma olhada nas oportunidades de código aberto para atender a três necessidades específicas de compliance: loggin, monitoramento de integridade de arquivos e verificação de vulnerabilidades.
Gestão de logs
Sistemas de registro e gerenciamento de log são alguns dos mais avançados produtos de segurança de código aberto disponíveis hoje. Muitos são baseados no protocolo syslog, que fornece um formato padronizado para relatar os eventos do sistema e os transmitir para um servidor rodando um daemon syslog. Servidores syslog são fáceis de configurar e estão disponíveis em quase todas as distribuições Linux modernas. O sistema avançado syslog-ng também está disponível em código aberto e edições premium.
A grande questão sobre syslog é que uma ampla variedade de sistemas operacionais, aplicativos e dispositivos suportam nativamente a criação e a transmissão de registros do syslog. Verifique com os fornecedores para ter certeza, mas você dificilmente encontrará um aplicativo de segurança que não seja capaz de rodar em um ambiente de syslog. A principal exceção notável é o Windows: Para enviar eventos syslog de um servidor Windows, é necessário um produto de terceiros.
PCI DSS exige o uso de um servidor de log consolidado e o syslog está à altura da tarefa. No entanto, o DSS não para por aí. Ele também exige que os registros a serem monitorados estejam em uma base regular usando técnicas manuais ou automatizadas. Suprir esta exigência com um software open source exigirá uma ferramenta mais avançada, assumindo que você não quer criar seus próprios scripts de monitoramento ou manualmente rever entradas do registro. Para uma abordagem de código aberto, dê uma olhada no
fluentd e no
logstash, ou em ferramentas de monitoramento de logs open source semelhantes. É preciso alguma pesquisa e experimentação para ajustá-los para atender às suas necessidades, a tecnologia de gerenciamento de logs de código aberto pode apoiar eficazmente o cumprimento do PCI.
Monitoramento de integridade de arquivos
O requisito 11.5 do PCI DSS exige o uso de um mecanismo de detecção de mudança para verificar a modificação não autorizada de arquivos em pelo menos uma base semanal.
Há uma abundância de produtos comerciais disponíveis para cumprir este requisito, mas um deles,
Tripwire, também está disponível em um formato de código aberto. Quando Tripwire, originalmente desenvolvido por Gene Kim e Gene Spafford da Universidade de Purdue, tornou-se um produto comercial, os desenvolvedores fizeram uma versão de código aberto disponível no SourceForge. Esse produto, Open Source Tripwire, permanece disponível hoje para uso livre, e de fato, migrou para o
GitHub no ano passado para promover uma maior colaboração.
Alternativamente, uma empresa pode
desenvolver o seu próprio sistema de monitoramento de integridade de arquivos baseado em bibliotecas de hash criptográficas disponíveis publicamente. Embora esta abordagem seja viável, que requer um trabalho extra de sua parte, geralmente não tem as capacidades de gestão sofisticadas e polonês de produtos comerciais.
Gestão de vulnerabilidades
Uma abordagem completamente open source para gerenciamento de vulnerabilidades em um ambiente PCI DSS infelizmente não é possível. A razão é que o PCI DSS exige o uso de um terceiro Approved Scanning Vendor (ASV) independente para completar a análise de conformidade externa trimestral. Lógico que ASVs esperam ser compensados pelos seus serviços. Dito isto, é possível a utilização de software de código aberto para completar os scans internos necessários.
Até 2005, o popular scanner de vulnerabilidade Nessus era um produto de código aberto que podia ser usado gratuitamente. Com o lançamento do Nessus 3 naquele ano, o produto tornou-se de código fechado e agora cobra uma taxa de licença para uso comercial. No entanto, como Tripwire, a versão open source do Nessus sofreu um maior desenvolvimento e permanece disponível como um projeto independente chamado
OpenVAS - uma boa opção para orçamentos extremamente limitados. No entanto, o avanço profissional de Nessus, a US $ 1200 por ano, é uma alternativa atraente, e é totalmente suportado pela empresa.
Produtos de código aberto também podem ajudar com o componente de scan de vulnerabilidades de aplicações web. PCI DSS 6.6 determina que as organizações ou realizem avaliações de segurança de aplicativos da Web ou instalem um firewall de aplicação Web para proteger aplicativos voltados ao público. O scanner open source
Nikto pode ser usado para atender a esse requisito. Como é o caso com alguns dos outros produtos mencionados neste post, o uso de código aberto pode significar ter que sacrificar os recursos de gerenciamento sofisticados e facilidade de uso em troca de eliminar o preço de licenciamento.
Conclusão
Qual é o veredito sobre comformidade PCI DSS usando código aberto? É definitivamente possível construir um ambiente compatível com PCI DSS com o uso mínimo de software e serviços comerciais. Um ASV ainda terá de ser contratado, mas há uma grande variedade de ferramentas de segurança de código aberto disponíveis para atender as outras exigências. Eles definitivamente precisam de mais cuidados para instalar e manter e, em muitos casos, vai ser sem suporte comercial. A decisão sobre se a redução de custos justificam o tempo e a despesa é sua.
May The Force be with You!
Fonte: http://searchsecurity.techtarget.com/tip/Open-source-PCI-DSS-A-strategy-for-cheaper-easier-PCI-compliance?asrc=EM_NLS_31111317&utm_medium=EM&utm_source=NLS&utm_campaign=20140702_EMM:%20The%20cure-all%20for%20BYOD%20security?_mbacon&track=NL-1820&ad=894591
