Introdução

O GAT Core possui um repositório de Base de Conhecimento (ou Knowledge Base) em que é possível visualizar e gerenciar diversos itens que o GAT Core usa como base para ajudar no gerenciamento da Segurança da Informação e possamos utilizar para criação de apontamentos com maior número de informações relacionadas a determinadas vulnerabilidades.

  • Itens de Vulnerabilidades (KB Vulnerabilidade);

  • Itens de Testes (KB Teste);

  • Itens de Recomendações (KB Recomendação);

  • Itens de Mitigações (KB Mitigação);

  • Categorias;

  • Causas Raíz;

  • Checklists.

KB Vulnerabilidade

Os KBs Vulnerabilidade é o repositório de templates de apontamentos que o GAT Core armazena para ter como base na criação dos apontamentos de Segurança. Eles não são o apontamento em si, mas sim um conjunto de informações que serão usadas para criar o apontamentos. Essas informações são:

  • Nome

  • Descrição

  • Severidade

  • Causa Raíz

  • Categorias

  • Testes, Recomendações e Mitigações

  • CVEs e CWEs

  • Referências Externas

Vamos dar um exemplo para ficar mais fácil de entender.

Suponhamos que um analista encontrou uma vulnerabilidade de SQL Injection na aplicação http://meuapp.com.br. Para criar um novo apontamento no GAT Core, o analista precisará apenas informar o Ativo (no caso http://meuapp.com.br) e o KB base (no caso SQL Injection). O GAT Core se encarregará de juntar todas as informações que ele já sabe sobre SQL Injection e sobre o Ativo em um novo apontamento:

1. Seleciona o KB e o Ativo:

2. Todos os campos são preenchidos automaticamente:

KBs Auxiliares

Além do item descrito anteriormente, temos 3 outros tipos de KBs (os quais chamamos de auxiliares):

  • Teste: descreve como pode ser verificada a existência de determinado apontamento, pode-se verificar se aquele apontamento realmente existe em nosso ambiente ou pode ser um "falso positivo".

  • Recomendação: descreve como certo apontamento pode ser corrigido, para atuação rápida e direcionada de um analista de SI, ou um time, para que determinado apontamento seja tratado e diminua o tempo da janela de exposição de determinados ativos.

  • Mitigação: descreve como o risco do apontamento pode ser mitigado, caso o apontamento não possa ser corrigido (ex: se não for possível corrigir o SQL Injection, recomenda-se instalar um WAF na frente da aplicação vulnerável).
    Alguns apontamentos não serão passiveis de tratativa, assim sendo, necessário realizar ações mitigatórias para que, possa criar barreiras, dificultando ou impossibilitando o acesso ás vulnerabilidades, assim, diminuindo as chances de tornar-se uma ameaça.

Cada um desses itens podem estar associados a quantos KBs Vulnerabilidade forem necessários. Por exemplo, o KB Mitigação que sugere instalar um WAF pode estar associado ao KB SQL Injection e ao KB Cross-Site Scripting.

Categorias

As categorias são compostas por um nome e uma descrição. Como o próprio nome diz, são utilizadas para categorizar os apontamentos de segurança encontrados e cadastrados no GAT Core. Cada apontamento pode pertencer a nenhuma, a uma ou a várias categorias. Alguns exemplos de categorias: "Servidor Web", "DMZ", "1.1 - Definir a Gestão de Fornecedores", etc.

Causas Raiz

As causas raiz também são uma forma de organizar e gerar métricas sobre os apontamentos de segurança cadastrados no GAT Core. A diferença principal para as categorias é que cada apontamento só pode estar ligado a apenas uma causa raiz. Esse item representa, como o próprio nome diz, a raiz daquele apontamento. Por exemplo: "Validação de Dados", "Gestão de Configuração", "Política de Senhas", etc.
Este menu, indica as áreas de relação dos gráficos de radar e também facilita na filtragem e busca por determinados apontamentos e visualização da tabela no menu apontamentos.

Checklists

Os Checklists são agrupamentos de KBs Vulnerabilidade que descrevem algum programa ou processo de Segurança da Informação. Podem ser baseados em metodologias de mercado, ou internas. Por exemplo: "PCI-DSS", "OWASP Top 10", "Gestão de Fornecedores", etc. E também é um repositório de possíveis avaliações aplicadas em fornecedores, clientes e parceiros, no intuito de obtenção de informações. Para saber um pouco mais sobre Checklists, temos dois artigos bem legais sobre o assunto:

  1. Como Trabalhar com Checklists

  2. Como Criar/Personalizar Checklists

Encontrou sua resposta?