O GAT Core possui um repositório de Base de Conhecimento (ou Knowledge Base) em que é possível visualizar e gerenciar diversos itens que o GAT Core usa como base para ajudar no gerenciamento da Segurança da Informação e possamos utilizar para criação de apontamentos com maior número de informações relacionadas a determinadas vulnerabilidades.
- Itens de Vulnerabilidades (KB Vulnerabilidade);
- Itens de Testes (KB Teste);
- Itens de Recomendações (KB Recomendação);
- Itens de Mitigações (KB Mitigação);
- Categorias;
- Causas Raízes;
- Checklists.
KB Vulnerabilidade #
Os KBs Vulnerabilidade é o repositório de templates de apontamentos que o GAT Core armazena para ter como base na criação dos apontamentos de Segurança. Eles não são o apontamento em si, mas sim um conjunto de informações que serão usadas para criar um apontamento. Essas informações são:
- Nome
- Descrição
- Severidade
- Causa Raiz
- Categorias
- Testes, Recomendações e Mitigações
- CVEs e CWEs
- Referências Externas
Vamos dar um exemplo para ficar mais fácil de entender.
Suponhamos que um analista encontrou uma vulnerabilidade de SQL Injection na aplicação http://meuapp.com.br. Para criar um apontamento no GAT Core, o analista precisará apenas informar o Ativo (no caso http://meuapp.com.br) e o KB base (no caso SQL Injection). O GAT Core se encarregará de juntar todas as informações que ele já sabe sobre SQL Injection e sobre o Ativo em um novo apontamento:
1. Seleciona o KB e o Ativo:
2. Todos os campos são preenchidos automaticamente:
KBs Auxiliares #
Além do item descrito anteriormente, temos 3 outros tipos de KBs (os quais chamamos de auxiliares):
- Teste: descreve como pode ser verificada a existência de determinado apontamento, pode-se verificar se aquele apontamento realmente existe em nosso ambiente ou pode ser um “falso positivo”.
- Recomendação: descreve como certo apontamento pode ser corrigido, para atuação rápida e direcionada de um analista de SI, ou um time, para que determinado apontamento seja tratado e diminua o tempo da janela de exposição de determinados ativos.
- Mitigação: descreve como o risco do apontamento pode ser mitigado, caso o apontamento não possa ser corrigido (ex: se não for possível corrigir o SQL Injection, recomenda-se instalar um WAF na frente da aplicação vulnerável).
Alguns apontamentos não serão passíveis de tratativa, assim sendo, necessário realizar ações mitigatórias para que, possa criar barreiras, dificultando ou impossibilitando o acesso às vulnerabilidades, assim, diminuindo as chances de tornar-se uma ameaça.
Cada um desses itens pode estar associados a quantos KBs Vulnerabilidade forem necessários. Por exemplo, o KB Mitigação que sugere instalar um WAF pode estar associado ao KB SQL Injection e ao KB Cross-Site Scripting.
Categorias #
As categorias são compostas por um nome e uma descrição. Como o próprio nome diz, são utilizadas para categorizar os apontamentos de segurança encontrados e cadastrados no GAT Core. Cada apontamento pode pertencer a nenhuma, a uma ou a várias categorias. Alguns exemplos de categorias: “Servidor Web”, “DMZ”, “1.1 – Definir a Gestão de Fornecedores”, etc.
Causas Raízes #
As causas raízes também são uma forma de organizar e gerar métricas sobre os apontamentos de segurança cadastrados no GAT Core. A diferença principal para as categorias é que cada apontamento só pode estar ligado a apenas uma causa raiz. Esse item representa, como o próprio nome diz, a raiz daquele apontamento. Por exemplo: “Validação de Dados”, “Gestão de Configuração”, “Política de Senhas”, etc.
Este menu, indica as áreas de relação dos gráficos de radar e também facilita na filtragem e busca por determinados apontamentos e visualização da tabela no menu apontamentos.
Checklists #
Os Checklists são agrupamentos de KBs Vulnerabilidade que descrevem algum programa ou processo de Segurança da Informação. Podem ser baseados em metodologias de mercado, ou internas. Por exemplo: “PCI-DSS”, “OWASP Top 10”, “Gestão de Fornecedores”, etc. E também é um repositório de possíveis avaliações aplicadas em fornecedores, clientes e parceiros, no intuito de obtenção de informações. Para saber um pouco mais sobre Checklists, temos dois artigos bem legais sobre o assunto: