Políticas de seguridad automatizadas con OpenSCAP

Introducción a OpenSCAP y la Automatización de Políticas de Seguridad

¿Qué es OpenSCAP?

• Evaluar la configuración de un sistema: Comprueba si un sistema cumple con una política de seguridad específica, identificando configuraciones incorrectas o vulnerabilidades.
• Medir el cumplimiento: Determina el grado en que un sistema se adhiere a un estándar de seguridad reconocido (como CIS Benchmarks, PCI DSS, HIPAA, etc.).
• Generar informes: Produce informes detallados sobre el estado de seguridad de un sistema, que pueden ser utilizados para auditorías o para la toma de decisiones.
• Remediar (opcionalmente): En algunos casos, OpenSCAP puede proporcionar o integrarse con scripts o herramientas para corregir automáticamente las configuraciones incorrectas detectadas.

Beneficios de la Automatización de Políticas de Seguridad

• Eficiencia y Escalabilidad: Permite evaluar y aplicar políticas de seguridad en múltiples sistemas de forma rápida y consistente, ahorrando tiempo y recursos. Puede gestionar desde un solo servidor hasta miles de ellos.
• Reducción de Errores Humanos: Elimina la posibilidad de errores manuales al configurar o evaluar sistemas, lo que garantiza una mayor precisión y fiabilidad.
• Cumplimiento Normativo: Facilita la demostración del cumplimiento de estándares y regulaciones de seguridad (como PCI DSS, HIPAA, CIS, etc.), lo que es crucial para auditorías y para evitar sanciones.
• Mejora Continua de la Seguridad: Permite realizar evaluaciones periódicas y sistemáticas del estado de seguridad de los sistemas, identificando y corrigiendo vulnerabilidades de forma proactiva.
• Respuesta Rápida a Incidentes: Al detectar rápidamente las desviaciones de las políticas de seguridad, se puede responder más rápidamente a incidentes de seguridad y minimizar su impacto.
• Integración con DevOps (DevSecOps): OpenSCAP puede integrarse en los procesos de desarrollo y operaciones (DevOps), permitiendo la implementación de la seguridad como código (Security as Code) y la automatización de la seguridad en todo el ciclo de vida del software.
• Estandarización: Al usar SCAP, un protocolo estandarizado, se facilita la interoperabilidad entre diferentes herramientas de seguridad y la compartición de información sobre vulnerabilidades y configuraciones.

Conceptos Clave: SCAP, XCCDF, OVAL, CVE, CPE, CCE

• SCAP (Security Content Automation Protocol): Es un conjunto de estándares interrelacionados definidos por el NIST para la automatización de la gestión de la seguridad. Define cómo se deben expresar las políticas de seguridad, cómo se deben evaluar los sistemas y cómo se deben generar los informes.
• XCCDF (Extensible Configuration Checklist Description Format): Es un lenguaje XML utilizado para describir políticas de seguridad y checklists de configuración. Define las reglas y los criterios que un sistema debe cumplir para ser considerado seguro. Un documento XCCDF puede contener múltiples perfiles, cada uno adaptado a un entorno o requisito específico.
• OVAL (Open Vulnerability and Assessment Language): Es otro lenguaje XML utilizado para definir comprobaciones de seguridad específicas. Describe cómo verificar la presencia de vulnerabilidades, configuraciones incorrectas o el estado de parches en un sistema. Las definiciones OVAL son referenciadas por las reglas XCCDF.
• CVE (Common Vulnerabilities and Exposures): Es un diccionario de vulnerabilidades de seguridad conocidas públicamente. Cada vulnerabilidad tiene un identificador único (CVE ID). OpenSCAP puede utilizar las definiciones CVE para detectar vulnerabilidades en los sistemas.
• CPE (Common Platform Enumeration): Es un esquema de nombres estandarizado para identificar sistemas operativos, aplicaciones y hardware. OpenSCAP utiliza CPE para determinar si una definición OVAL o XCCDF es aplicable a un sistema específico.
• CCE (Common Configuration Enumeration): Es un sistema de identificación para configuraciones de seguridad. Proporciona un identificador único (CCE ID) para cada configuración específica, como un ajuste del registro de Windows o un parámetro de configuración de un archivo.

Componentes Clave de OpenSCAP

La Herramienta

Copiar código

oscap

oscap

oscap

• Evaluación de políticas XCCDF:
  Copiar código

  oscap xccdf eval

  permite evaluar un sistema contra un perfil XCCDF específico.
• Evaluación de definiciones OVAL:
  Copiar código

  oscap oval eval

  permite ejecutar definiciones OVAL individuales para comprobar vulnerabilidades o configuraciones específicas.
• Generación de informes:
  Copiar código

  oscap

  puede generar informes en varios formatos, incluyendo HTML y XML.
• Remediación (con la opción
  Copiar código

  --remediate

  ): En algunos casos,
  Copiar código

  oscap

  puede aplicar automáticamente las correcciones necesarias para cumplir con una política (si el contenido SCAP incluye información de remediación).
• Validación de contenido SCAP:
  Copiar código

  oscap xccdf validate

  y
  Copiar código

  oscap oval validate

  permiten verificar la sintaxis y la validez de los documentos XCCDF y OVAL.
• Información del sistema Permite obtener información sobre el sistema escaneado.

oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_standard --results results.xml /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml
    

results.xml

SCAP Security Guide (SSG)

• Distribuciones Linux (Red Hat Enterprise Linux, CentOS, Fedora, Ubuntu, Debian, etc.)
• macOS
• Algunas aplicaciones (como navegadores web)

OpenSCAP Workbench

• Seleccionar perfiles SCAP.
• Ejecutar escaneos de seguridad.
• Ver los resultados de los escaneos en un formato fácil de entender.
• Generar informes.
• Crear y personalizar perfiles SCAP (aunque con algunas limitaciones en comparación con la edición manual de XML).
• Realizar remediaciones.

• Usuarios principiantes que quieren empezar a utilizar OpenSCAP sin tener que aprender la sintaxis de la línea de comandos.
• Administradores de sistemas que quieren realizar escaneos rápidos y generar informes.
• Desarrolladores de contenido SCAP que quieren probar sus políticas.

Script Check Engine (SCE)

• Comprobar configuraciones complejas que requieren lógica de programación.
• Integrar OpenSCAP con herramientas existentes que utilizan scripts.
• Extender la funcionalidad de OpenSCAP más allá de lo que es posible con OVAL.

Otros componentes y librerías

• Librerías de OpenSCAP: Proporcionan la base para todas las herramientas de OpenSCAP. Incluyen funciones para parsear XML, evaluar expresiones XPath, ejecutar comprobaciones OVAL y XCCDF, y generar informes.
• Copiar código

  oscap-ssh

  : Una herramienta que permite ejecutar escaneos OpenSCAP en sistemas remotos a través de SSH.
• Herramientas de validación: Permiten verificar la corrección y validez de los contenidos SCAP.
• Herramientas de conversión: Facilitan la conversión entre diferentes formatos de contenido SCAP.

Instalación y Configuración de OpenSCAP

Instalación en Diferentes Distribuciones Linux (CentOS, Ubuntu, RHEL, etc.)

La instalación de OpenSCAP varía ligeramente dependiendo de la distribución Linux que estés utilizando. En la mayoría de los casos, puedes utilizar el gestor de paquetes de tu distribución para instalar los paquetes necesarios.

En distribuciones basadas en Red Hat (RHEL, CentOS, Fedora):

sudo yum install openscap-scanner openscap-utils scap-security-guide

O, en versiones más recientes que usen `dnf`:

sudo dnf install openscap-scanner openscap-utils scap-security-guide

Estos comandos instalarán:

• Copiar código

  openscap-scanner

  : La herramienta principal `oscap`.
• Copiar código

  openscap-utils

  : Utilidades adicionales, como `oscap-ssh`.
• Copiar código

  scap-security-guide

  : El SCAP Security Guide (SSG), que proporciona las políticas de seguridad predefinidas.

En distribuciones basadas en Debian (Debian, Ubuntu):

sudo apt update
sudo apt install libopenscap8 openscap-utils scap-security-guide

Nota: En algunas versiones de Ubuntu, es posible que el paquete `libopenscap8` tenga un nombre ligeramente diferente, como`libopenscap-dev`, en función de la versión.

Otras distribuciones:

Para otras distribuciones, consulta la documentación oficial de OpenSCAP o de tu distribución para obtener instrucciones específicas. Es probable que exista un paquete similar en el repositorio de tu distribución.

Instalación en Windows

OpenSCAP también se puede utilizar en Windows, aunque con algunas limitaciones. La forma más sencilla de instalarlo es descargar el instalador precompilado desde la página oficial de OpenSCAP en GitHub: https://github.com/OpenSCAP/openscap/releases.

Descarga la versión más reciente del instalador (generalmente un archivo `.msi`) y ejecútalo. Sigue las instrucciones del instalador.

Importante:

• La versión de Windows de OpenSCAP puede tener menos funcionalidades que la versión de Linux. Algunas comprobaciones OVAL o XCCDF pueden no ser compatibles.
• Es posible que necesites instalar dependencias adicionales, como las bibliotecas de Visual C++ Redistributable. El instalador debería indicarte si necesitas alguna dependencia adicional.
• Para escanear sistemas Windows, se recomienda encarecidamente usar el SCAP Security Guide para Windows, o perfiles personalizados diseñados específicamente para Windows.

Configuración Inicial y Verificación de la Instalación

Una vez instalado OpenSCAP, es recomendable verificar que la instalación se ha realizado correctamente. Puedes hacerlo ejecutando un escaneo básico con `oscap`.

En Linux, puedes ejecutar el siguiente comando (como root o con `sudo`):

oscap info /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml

(Ajusta la ruta al archivo `ssg-rhel8-ds.xml` si estás utilizando una distribución diferente o una versión diferente del SSG). Este comando mostrará información sobre el archivo de datos del SSG, lo que indica que OpenSCAP puede leer y procesar contenido SCAP.

Si usaste el instalador de windows puedes ejecutar en un cmd como administrador:

oscap info "C:\Program Files (x86)\OpenSCAP\share\openscap\ssg-win10-ds.xml"

(Recuerda poner la ruta correcta a ssg-win10-ds.xml, si tu instalación ha sido en otra ruta, o si quieres usar otro *datastream*).

Si el comando se ejecuta sin errores y muestra la información del archivo, la instalación es correcta.

También puedes ejecutar un escaneo completo de prueba. En este caso te recomiendo escanear un fichero en vez de todo el sistema:

oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_stig-rhel8-server-upstream --report report.html /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml

Dependencias Necesarias

OpenSCAP depende de varias bibliotecas y herramientas. En la mayoría de los casos, el gestor de paquetes de tu distribución se encargará de instalar las dependencias automáticamente.

Algunas de las dependencias comunes incluyen:

• libxml2: Para procesar XML.
• libxslt: Para aplicar transformaciones XSLT.
• libcurl: Para descargar contenido SCAP desde repositorios remotos (opcional).
• libopenssl: Para funciones criptográficas.
• libc: Librerías estándar de C.
• bzip2 y zlib: OpenSCAP puede manejar ficheros comprimidos, por lo que estas librerías son necesarias.

Si instalas OpenSCAP desde el código fuente, deberás asegurarte de que todas las dependencias estén instaladas manualmente. Consulta la documentación de OpenSCAP para obtener una lista completa de las dependencias y las instrucciones de compilación.

Creación y Personalización de Políticas de Seguridad

Estructura de una Política de Seguridad SCAP

Una política de seguridad SCAP, típicamente representada en un archivo XCCDF, tiene una estructura jerárquica bien definida. Comprender esta estructura es fundamental para crear y personalizar políticas.

Los elementos principales de un archivo XCCDF son:

• Copiar código

  Benchmark

  : Es el elemento raíz del documento XCCDF. Contiene metadatos sobre la política (título, descripción, versión, etc.) y referencias a otros componentes.
• Copiar código

  Profile

  : Define un conjunto específico de reglas que se deben aplicar a un sistema. Un archivo XCCDF puede contener múltiples perfiles, cada uno adaptado a un entorno o requisito particular (por ejemplo, un perfil para servidores web, otro para estaciones de trabajo, etc.). Los perfiles son el mecanismo principal para personalizar una política.
• Copiar código

  Group

  : Es un contenedor lógico para organizar reglas. Los grupos pueden anidarse para crear una jerarquía. No tienen un impacto directo en la evaluación de la política, pero ayudan a organizar y documentar las reglas.
• Copiar código

  Rule

  : Es la unidad básica de una política de seguridad. Define una comprobación específica que se debe realizar en un sistema (por ejemplo, verificar que una configuración tenga un valor determinado, que un archivo tenga ciertos permisos, etc.). Cada regla tiene un identificador único (ID), una descripción, un nivel de severidad y una referencia a una o más comprobaciones (generalmente definiciones OVAL).
• Copiar código

  Value

  : Define una variable que se se utiliza en la política, y que puede ser asignada por el usuario antes de realizar la comprobación para personalizarla.
• Copiar código

  check

  : Dentro de una
  Copiar código

  Rule

  , el elemento
  Copiar código

  check

  especifica cómo se debe verificar la regla. Generalmente, hace referencia a una definición OVAL (usando el atributo
  Copiar código

  check-content-ref

  ), pero también puede contener un script (para comprobaciones SCE).
• Referencias a OVAL: Las reglas XCCDF suelen referenciar definiciones OVAL para realizar las comprobaciones reales. La definición OVAL describe cómo verificar el estado de un componente específico del sistema.

Un ejemplo simplificado de un archivo XCCDF:

<?xml version="1.0" encoding="UTF-8"?>
<Benchmark id="mi-benchmark">
    <title>Mi Política de Seguridad</title>
    <Profile id="mi-perfil">
        <title>Perfil Básico</title>
        <select idref="regla-password-length" selected="true"/>
        <select idref="regla-firewall" selected="true"/>
    </Profile>
    <Group id="grupo-configuracion">
        <title>Configuración del Sistema</title>
        <Rule id="regla-password-length">
            <title>Longitud Mínima de Contraseña</title>
            <check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
                <check-content-ref href="mi-oval.xml" name="oval:mi-organizacion:def:1"/>
            </check>
        </Rule>
        <Rule id="regla-firewall">
            <title>Firewall Activado</title>
             <check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
                <check-content-ref href="mi-oval.xml" name="oval:mi-organizacion:def:2"/>
            </check>
        </Rule>
    </Group>
</Benchmark>

Uso de Perfiles Predeterminados (SSG)

La forma más sencilla de empezar a utilizar OpenSCAP es utilizar los perfiles predefinidos proporcionados por el SCAP Security Guide (SSG). El SSG contiene perfiles para diversas plataformas y sistemas operativos, basados en las mejores prácticas de la industria.

Para utilizar un perfil SSG, simplemente especifica su ID al ejecutar `oscap`. Por ejemplo, para evaluar un sistema RHEL 8 contra el perfil "Standard" del SSG, usarías el siguiente comando:

oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_standard --results results.xml /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml

Puedes listar los perfiles disponibles en un archivo SSG utilizando el comando `oscap info`:

oscap info /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml

Personalización de Perfiles Existentes

En muchos casos, querrás personalizar un perfil SSG existente para adaptarlo a tus necesidades específicas. Puedes hacerlo creando un archivo XCCDF de "personalización" (tailoring file) que modifique el perfil base.

Un archivo de personalización te permite:

• Seleccionar o deseleccionar reglas: Puedes activar o desactivar reglas específicas del perfil base.
• Modificar valores: Puedes cambiar los valores de las variables (
  Copiar código

  Value

  ) utilizadas en el perfil base. Por ejemplo, puedes cambiar la longitud mínima de contraseña requerida.
• Añadir nuevas reglas o grupos: Aunque es menos común, también puedes añadir tus propias reglas o grupos al perfil.

Para crear un archivo de personalización, puedes utilizar OpenSCAP Workbench (que proporciona una interfaz gráfica) o editar el XML manualmente. Un ejemplo muy sencillo de "tailoring file":

<?xml version="1.0" encoding="UTF-8"?>
<Tailoring version="2.0" id="xccdf_mi_tailoring">
  <Benchmark href="/usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml"/>
  <Profile id="xccdf_org.ssgproject.content_profile_standard">
     <title>Mi personalización</title>
     <select idref="xccdf_org.ssgproject.content_rule_sshd_disable_root_login" selected="false"/>
     <set-value idref="xccdf_org.ssgproject.content_value_var_password_minlen">14</set-value>
  </Profile>
</Tailoring>

En este ejemplo, se está tomando como base el perfil

xccdf_org.ssgproject.content_profile_standard

xccdf_org.ssgproject.content_rule_sshd_disable_root_login

Para aplicar un archivo de personalización, utiliza la opción `--tailoring-file` con `oscap`:

oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_standard --tailoring-file mi-personalizacion.xml --results results.xml /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml

Creación de Políticas desde Cero (XCCDF, OVAL)

Aunque es más complejo, también puedes crear tus propias políticas SCAP desde cero. Esto requiere un buen conocimiento de XCCDF y OVAL.

El proceso general implica:

1. Definir los requisitos de seguridad: Determina qué configuraciones, vulnerabilidades o parches quieres comprobar.
2. Crear un archivo XCCDF: Define la estructura de la política (Benchmark, Profile, Group, Rule).
3. Crear definiciones OVAL: Escribe las comprobaciones OVAL que verifican el estado de los componentes del sistema. Cada regla XCCDF debe referenciar una o más definiciones OVAL.
4. Vincular las definiciones OVAL a las reglas XCCDF: Utiliza el elemento `check` dentro de cada regla para referenciar la definición OVAL correspondiente.
5. Validar el contenido SCAP: Utiliza `oscap xccdf validate` y `oscap oval validate` para verificar que los archivos XCCDF y OVAL son sintácticamente correctos.

Uso de OpenSCAP Workbench para la Creación de Políticas

OpenSCAP Workbench puede facilitar la creación de políticas, especialmente para usuarios que no están familiarizados con la edición manual de XML. Proporciona una interfaz gráfica para crear y editar perfiles, reglas y grupos.

Sin embargo, OpenSCAP Workbench tiene algunas limitaciones:

• No proporciona un editor OVAL completo. Solo permite crear comprobaciones OVAL simples.
• La creación de políticas complejas puede ser más eficiente editando el XML directamente.

Creación de Reglas OVAL Personalizadas

La creación de reglas OVAL personalizadas es la parte más técnica de la creación de políticas SCAP. Requiere un buen conocimiento de la especificación OVAL y de la estructura del sistema que se está evaluando.

Una definición OVAL típica consta de:

• Copiar código

  definition

  : El elemento raíz de la definición OVAL.
• Copiar código

  metadata

  : Contiene información sobre la definición (título, descripción, referencias a CVE, etc.).
• Copiar código

  criteria

  : Define la lógica de la comprobación. Utiliza operadores lógicos (AND, OR, NOT) para combinar criterios.
• Copiar código

  criterion

  : Hace referencia a un test OVAL.
• Copiar código

  test

  : Define una comprobación específica (por ejemplo, verificar la existencia de un archivo, el valor de una clave de registro, el estado de un servicio, etc.).
• Copiar código

  object

  : Especifica el objeto del sistema que se va a comprobar (por ejemplo, un archivo, una clave de registro, un servicio, etc.).
• Copiar código

  state

  : Define el estado esperado del objeto (por ejemplo, el contenido de un archivo, el valor de una clave de registro, etc.).
• Copiar código

  variable

  : Permite crear variables que pueden ser locales a la definición, o externas (y que por lo tanto deben ser proporcionadas).

Ejemplo de una definición OVAL simple que comprueba la existencia de un archivo:

<?xml version="1.0" encoding="UTF-8"?>
<oval_definitions xmlns="http://oval.mitre.org/XMLSchema/oval-definitions-5">
  <definition class="compliance" id="oval:mi-organizacion:def:1" version="1">
    <metadata>
      <title>Verificar la existencia del archivo /etc/mi-archivo.conf</title>
      <description>Este archivo es necesario para...</description>
    </metadata>
    <criteria>
      <criterion test_ref="oval:mi-organizacion:tst:1" />
    </criteria>
  </definition>
  <test id="oval:mi-organizacion:tst:1" version="1" comment="Comprobar la existencia del archivo" check="all">
    <object object_ref="oval:mi-organizacion:obj:1" />
    <state state_ref="oval:mi-organizacion:ste:1" />
  </test>
  <fileobject id="oval:mi-organizacion:obj:1" version="1">
    <path>/etc</path>
    <filename>mi-archivo.conf</filename>
  </fileobject>
  <filestate id="oval:mi-organizacion:ste:1" version="1">
    <existence existence="at_least_one_exists" />
  </filestate>
</oval_definitions>

Crear definiciones OVAL complejas puede ser un desafío. Es recomendable consultar la documentación oficial de OVAL y utilizar ejemplos existentes como base.

Ejecución de Escaneos de Seguridad con OpenSCAP

Una vez que tienes una política de seguridad definida (ya sea utilizando un perfil SSG o creando uno personalizado), puedes ejecutar un escaneo de seguridad con OpenSCAP para evaluar un sistema.

Escaneo de un Sistema Local

Para escanear el sistema local en el que estás ejecutando OpenSCAP, puedes utilizar el comando `oscap xccdf eval` sin necesidad de especificar opciones de red.

Ejemplo:

oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_standard --report report.html /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml

Este comando:

• Copiar código

  oscap xccdf eval

  : Indica que quieres evaluar una política XCCDF.
• Copiar código

  --profile xccdf_org.ssgproject.content_profile_standard

  : Especifica el perfil que quieres utilizar (en este caso, el perfil "standard" del SSG para RHEL 8).
• Copiar código

  --report report.html

  : Especifica el nombre del archivo HTML donde se guardará el informe del escaneo.
• Copiar código

  /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml

  : Especifica la ruta al archivo de datos del SSG que contiene la política.

El escaneo puede tardar un tiempo en completarse, dependiendo del tamaño de la política y de la complejidad del sistema. Una vez finalizado, se generará un archivo HTML con los resultados del escaneo.

Es *muy recomendable* ejecutar los escaneos como usuario root (o con `sudo`) para asegurar que OpenSCAP tiene acceso a todos los recursos del sistema necesarios para realizar las comprobaciones.

Escaneo de un Sistema Remoto (a través de SSH)

OpenSCAP puede escanear sistemas remotos a través de SSH utilizando la herramienta `oscap-ssh`. Esto te permite evaluar la seguridad de servidores o estaciones de trabajo sin necesidad de instalar OpenSCAP en cada uno de ellos.

Para utilizar `oscap-ssh`, necesitas:

• Tener acceso SSH al sistema remoto (con un usuario que tenga permisos suficientes para ejecutar las comprobaciones).
• Tener instalado OpenSCAP en el sistema local desde el que vas a ejecutar el escaneo.
• Tener el contenido SCAP (por ejemplo, el archivo SSG) disponible en el sistema local.
• Conocer la dirección IP o el nombre de host del sistema remoto, un usuario y su password, o mejor, haber configurado un acceso por clave pública.

Ejemplo:

oscap-ssh user@192.168.1.100 22 xccdf eval --profile xccdf_org.ssgproject.content_profile_standard --report report.html /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml

En este comando:

• Copiar código

  oscap-ssh user@192.168.1.100 22

  : Especifica el usuario, la dirección IP del sistema remoto y el puerto SSH (22 es el puerto por defecto).
• El resto del comando es similar al ejemplo de escaneo local.

Otra opción más segura es la autenticación con clave pública/privada.

oscap-ssh user@192.168.1.100 22 --sudo --profile xccdf_org.ssgproject.content_profile_standard --report reporte.html /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml

En este caso, le decimos a `oscap-ssh` que use `sudo` en el sistema remoto, una vez conectado.

Escaneo con Diferentes Perfiles

Como se mencionó anteriormente, un archivo XCCDF puede contener múltiples perfiles. Puedes seleccionar un perfil específico utilizando la opción `--profile`.

Para listar los perfiles disponibles en un archivo, utiliza el comando `oscap info`:

oscap info /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml

Esto mostrará una lista de los perfiles, junto con sus IDs y títulos.

Opciones Avanzadas de la Línea de Comandos `oscap`

`oscap` ofrece muchas opciones avanzadas para controlar el comportamiento del escaneo. Algunas de las más útiles son:

• Copiar código

  --results

  : Guarda los resultados "crudos" en formato XML ARF (Asset Reporting Format). Este archivo contiene información detallada sobre cada comprobación, incluyendo el estado, los valores obtenidos y las referencias a las definiciones OVAL. Es útil para procesar los resultados con otras herramientas.
• Copiar código

  --results-arf

  : Similar al anterior.
• Copiar código

  --report

  : Genera un informe HTML con los resultados del escaneo.
• Copiar código

  --tailoring-file

  : Aplica un archivo de personalización (tailoring file) para modificar el perfil base.
• Copiar código

  --fetch-remote-resources

  : Descarga automáticamente los recursos remotos (como definiciones OVAL) referenciados por la política.
• Copiar código

  --verbose

  : Muestra información detallada sobre el progreso del escaneo.
• Copiar código

  --skip-valid

  : Omite la validación del esquema XML de los archivos de entrada. Usar con precaución, solo si estás seguro de que los archivos son válidos.
• Copiar código

  --remediate

  : Aplica automáticamente las correcciones necesarias para cumplir con la política (si el contenido SCAP incluye información de remediación). Utilizar con extrema precaución, ya que puede modificar la configuración del sistema.

Puedes obtener una lista completa de las opciones disponibles ejecutando `oscap xccdf eval --help`.

Automatización de Escaneos (scripts, cron jobs)

Para mantener un nivel de seguridad consistente, es recomendable ejecutar escaneos OpenSCAP de forma regular. Puedes automatizar este proceso utilizando scripts y programadores de tareas (como `cron` en Linux).

Ejemplo de un script Bash simple que ejecuta un escaneo y envía un correo electrónico con los resultados:

#!/bin/bash

# Configuración
PROFILE="xccdf_org.ssgproject.content_profile_standard"
SSG_FILE="/usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml"
REPORT_FILE="/tmp/openscap-report.html"
EMAIL="admin@example.com"

# Ejecutar el escaneo
oscap xccdf eval --profile "$PROFILE" --report "$REPORT_FILE" "$SSG_FILE"

# Enviar el informe por correo electrónico
if [ -f "$REPORT_FILE" ]; then
    mutt -s "Informe de Seguridad OpenSCAP" "$EMAIL" < "$REPORT_FILE"
fi

Este script puede ser programado para ejecutarse diariamente, semanalmente o con la frecuencia que desees utilizando `cron`. Para añadir una tarea a cron se edita el *crontab* del usuario root:

sudo crontab -e

Y se añade una línea como la siguiente (ejecución diaria a las 3:00 AM):

0 3 * * * /ruta/al/script/openscap-scan.sh

La automatización de escaneos es fundamental para una estrategia de seguridad proactiva y para la detección temprana de vulnerabilidades.

Interpretación de Resultados y Generación de Informes

Después de ejecutar un escaneo con OpenSCAP, es crucial interpretar correctamente los resultados y generar informes que sean útiles para la toma de decisiones y la remediación de problemas.

Formatos de Salida de OpenSCAP (HTML, XML, ARF)

OpenSCAP puede generar resultados en varios formatos, cada uno con sus propias ventajas:

• HTML (
  Copiar código

  --report

  ): Es el formato más fácil de leer para los humanos. Genera un informe interactivo que se puede abrir en un navegador web. El informe muestra un resumen de los resultados, una lista de las reglas evaluadas (con su estado, severidad y descripción) y, en algunos casos, información sobre cómo corregir los problemas detectados.
• XML (
  Copiar código

  --results

  o
  Copiar código

  --results-arf

  ): Genera un archivo XML en formato ARF (Asset Reporting Format). Este formato es más adecuado para el procesamiento automatizado por otras herramientas. Contiene información detallada sobre cada comprobación, incluyendo:
  • El estado de la comprobación (pass, fail, error, etc.).
  • Los valores obtenidos del sistema.
  • Las referencias a las definiciones OVAL utilizadas.
  • Información sobre el sistema evaluado (nombre de host, sistema operativo, etc.).

La elección del formato depende del uso que le vayas a dar a los resultados. Si quieres revisar los resultados manualmente, el informe HTML es la mejor opción. Si quieres integrar OpenSCAP con otras herramientas (como sistemas de gestión de vulnerabilidades o SIEM), el formato XML ARF es más adecuado.

Interpretación de los Resultados del Escaneo

El informe HTML generado por OpenSCAP proporciona una visión general del estado de seguridad del sistema evaluado. Los elementos clave a los que debes prestar atención son:

• Resumen de resultados: Muestra el número total de reglas evaluadas, el número de reglas que pasaron, fallaron, etc. También suele mostrar una puntuación general de cumplimiento (por ejemplo, un porcentaje).
• Tabla de resultados: Lista todas las reglas evaluadas, junto con su estado, severidad y descripción.
  • Estado (Result): Indica el resultado de la comprobación. Los estados posibles son:
    • Copiar código

      pass

      : La regla se cumplió.
    • Copiar código

      fail

      : La regla no se cumplió.
    • Copiar código

      error

      : Ocurrió un error al evaluar la regla.
    • Copiar código

      notapplicable

      : La regla no es aplicable al sistema evaluado.
    • Copiar código

      unknown

      : No se pudo determinar el estado de la regla.
    • Copiar código

      informational

      :La regla es de tipo informativa y no se considera para el cómputo de cumplimiento.
    • Copiar código

      notchecked

      : La regla no se evaluó.
    • Copiar código

      fixed

      : La regla falló, pero se aplicó una remediación.
  • Severidad (Severity): Indica el nivel de riesgo asociado a la regla. Los niveles de severidad típicos son: high, medium, low.
  • Descripción (Description): Proporciona una descripción de la regla y, en algunos casos, información sobre cómo corregir el problema.
  • Identificador (Identifier): Identificadores como CCE, CVE o de la propia regla.

Resultados `pass`, `fail`, `error`, `notapplicable`, `unknown`, `informational`, `notchecked`, `fixed`

Detalle de cada uno de los posibles resultados:

• Copiar código

  pass

  : La regla se cumplió. El sistema cumple con el requisito de seguridad definido por la regla.
• Copiar código

  fail

  : La regla no se cumplió. El sistema *no* cumple con el requisito de seguridad. Esto indica una posible vulnerabilidad o configuración incorrecta.
• Copiar código

  error

  : Ocurrió un error al evaluar la regla. Esto puede deberse a un problema con la definición OVAL, a un problema de permisos o a un problema con el sistema evaluado. Es importante investigar la causa del error.
• Copiar código

  notapplicable

  : La regla no es aplicable al sistema evaluado. Por ejemplo, una regla que comprueba la configuración de un servidor web no sería aplicable a un sistema que no tiene un servidor web instalado.
• Copiar código

  unknown

  : No se pudo determinar el estado de la regla. Esto puede ocurrir si la definición OVAL es incompleta o si hay un problema con la lógica de la comprobación.
• Copiar código

  informational

  : La regla es de tipo informativa y no se considera para el cómputo de cumplimiento. Proporciona información adicional sobre el sistema, pero no indica un problema de seguridad.
• Copiar código

  notchecked

  :La regla no ha sido evaluada. Esto puede pasar si se ha configurado OpenSCAP para que ignore esa regla, o hay algun error en la definicion de la regla.
• Copiar código

  fixed

  : La regla falló inicialmente, pero OpenSCAP aplicó una remediación que corrigió el problema. Este estado solo aparece si se utiliza la opción `--remediate`.

Al interpretar los resultados, debes prestar especial atención a las reglas que fallaron (

fail

error

Generación de Informes Detallados

El informe HTML generado por `oscap` con la opción `--report` suele ser suficiente para la mayoría de los casos de uso. Sin embargo, si necesitas un informe más detallado, puedes utilizar la opción `--results` para generar un archivo XML ARF.

El archivo XML ARF contiene información detallada sobre cada comprobación, incluyendo:

• El ID de la regla.
• El perfil al que pertenece la regla.
• El estado de la comprobación.
• Los valores obtenidos del sistema (por ejemplo, el valor de una configuración).
• Las referencias a las definiciones OVAL utilizadas.
• Información sobre el sistema evaluado (nombre de host, sistema operativo, etc.).
• La hora y fecha del escaneo.
• La versión de OpenSCAP utilizada.

Este archivo XML puede ser procesado por otras herramientas para generar informes personalizados, integrarlo con sistemas de gestión de vulnerabilidades o realizar análisis más avanzados.

Personalización de Informes

Aunque OpenSCAP no ofrece muchas opciones integradas para personalizar el informe HTML, puedes modificar la apariencia del informe editando la hoja de estilos CSS que utiliza. El fichero suele estar referenciado dentro del propio HTML, en un tag ``. Simplemente, se copia ese CSS a un fichero local, se modifica y se indica a oscap que use ese fichero CSS con la opción `--stylesheet`.

Si necesitas una mayor flexibilidad, puedes procesar el archivo XML ARF con una herramienta de transformación XSLT (como `xsltproc`) para generar informes personalizados en el formato que desees (HTML, PDF, CSV, etc.).

Uso de Herramientas para Visualizar Resultados (OpenSCAP Workbench)

OpenSCAP Workbench facilita la visualización de los resultados del escaneo. Proporciona una interfaz gráfica para:

• Abrir y ver informes HTML generados por `oscap`.
• Navegar por la estructura de la política (Benchmark, Profile, Group, Rule).
• Ver el estado de cada regla y su descripción.
• Filtrar los resultados por estado, severidad, etc.
• Ver los detalles de la comprobación OVAL (si está disponible).

OpenSCAP Workbench es una herramienta útil para analizar los resultados del escaneo, especialmente si no estás familiarizado con el formato XML ARF.

Integración de OpenSCAP con Otras Herramientas

Una de las mayores fortalezas de OpenSCAP es su capacidad para integrarse con otras herramientas de seguridad y gestión de sistemas. Esto permite automatizar flujos de trabajo de seguridad más complejos y aprovechar las capacidades de diferentes herramientas.

Integración con Herramientas de Gestión de Configuración (Ansible, Puppet, Chef)

Las herramientas de gestión de configuración, como Ansible, Puppet y Chef, se utilizan para automatizar la configuración y el despliegue de sistemas. OpenSCAP puede integrarse con estas herramientas para:

• Verificar que los sistemas se configuran de acuerdo con las políticas de seguridad definidas en OpenSCAP.
• Aplicar automáticamente las correcciones necesarias para cumplir con las políticas (remediación).
• Integrar la evaluación de seguridad en el proceso de despliegue de sistemas (DevSecOps).

Ansible:

Ansible es una de las herramientas de gestión de configuración más populares y se integra especialmente bien con OpenSCAP. Existen módulos de Ansible específicos para interactuar con OpenSCAP:

• Copiar código

  community.general.oscap

  : Un módulo que permite ejecutar análisis OpenSCAP en hosts remotos o locales, recopilar los resultados y aplicar remediaciones. (Requiere que OpenSCAP esté instalado en el *target*).

Ejemplo de un playbook de Ansible que utiliza el módulo `community.general.oscap`:

---
- hosts: all
  become: true
  tasks:
    - name: Escanear con OpenSCAP
      community.general.oscap:
        xccdf_path: /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml
        profile: xccdf_org.ssgproject.content_profile_standard
        results_file: /tmp/openscap-results.xml

Luego, podrías tener otra tarea para procesar `openscap-results.xml` y actuar en consecuencia.

Puppet:

Existen módulos de Puppet que permiten ejecutar escaneos OpenSCAP y aplicar remediaciones. El módulo `simp/openscap` es un ejemplo: https://forge.puppet.com/simp/openscap. La instalación se realiza a través del gestor de módulos de Puppet:

puppet module install simp-openscap

Este módulo requiere que OpenSCAP esté instalado en los nodos gestionados por Puppet.

Chef:

Chef también puede integrarse con OpenSCAP. Se pueden utilizar *cookbooks* de Chef para instalar OpenSCAP, ejecutar escaneos y aplicar remediaciones. Un ejemplo es el cookbook `openscap-chef-client`: https://github.com/mitre/openscap-chef-client. La instalación y configuración de este *cookbook* se describe en su documentación.

Generalmente la instalación se realiza con el comando `knife`:

knife cookbook site install openscap

Integración con Sistemas de Gestión de Vulnerabilidades (Nessus, OpenVAS)

Los sistemas de gestión de vulnerabilidades, como Nessus y OpenVAS, se utilizan para identificar vulnerabilidades en los sistemas. OpenSCAP puede complementar estas herramientas proporcionando una evaluación más detallada de la configuración de los sistemas.

La integración puede realizarse de varias formas:

• Importar los resultados de OpenSCAP (en formato XML ARF) en el sistema de gestión de vulnerabilidades.
• Utilizar el sistema de gestión de vulnerabilidades para programar y ejecutar escaneos OpenSCAP.
• Combinar los resultados de OpenSCAP con los resultados de otras herramientas de escaneo de vulnerabilidades para obtener una visión más completa del estado de seguridad de los sistemas.

Nessus: Nessus, de Tenable, es una herramienta comercial. Puede importar resultados de OpenSCAP en formato ARF. Consulta la documentación de Nessus para obtener detalles sobre cómo realizar la importación.

OpenVAS: OpenVAS (Open Vulnerability Assessment System) es una herramienta de código abierto. Puedes usar `openvas-cli` para importar resultados de OpenSCAP, o configurar OpenVAS para ejecutar escaneos OpenSCAP directamente (aunque esto requiere una configuración más avanzada). Consulta la documentación de OpenVAS para más detalles.

Integración con Sistemas SIEM (Splunk, ELK Stack)

Los sistemas SIEM (Security Information and Event Management), como Splunk y ELK Stack (Elasticsearch, Logstash, Kibana), se utilizan para recopilar, analizar y correlacionar eventos de seguridad de diversas fuentes. OpenSCAP puede integrarse con los sistemas SIEM para:

• Enviar los resultados de los escaneos OpenSCAP al SIEM para su análisis y correlación con otros eventos de seguridad.
• Generar alertas en el SIEM cuando se detectan incumplimientos de las políticas de seguridad.
• Utilizar el SIEM para visualizar los resultados de OpenSCAP y generar informes.

La integración suele realizarse enviando los resultados de OpenSCAP (en formato XML ARF o en un formato personalizado) al SIEM a través de un agente, un *syslog* o una API.

Splunk:

Existe una aplicación de Splunk para OpenSCAP que facilita la importación y visualización de los resultados: https://splunkbase.splunk.com/app/1753/. La instalación se realiza a través de la interfaz de Splunk.

ELK Stack:

Puedes utilizar Logstash para ingerir los resultados de OpenSCAP (en formato XML o JSON) en Elasticsearch y luego utilizar Kibana para visualizarlos y crear paneles de control. No hay una solución "oficial" para OpenSCAP y ELK, pero hay varios ejemplos y tutoriales disponibles en línea que muestran cómo configurar Logstash para procesar los resultados de OpenSCAP. Un flujo típico sería:

1. Configurar OpenSCAP para generar resultados en formato XML.
2. Configurar Logstash para leer los archivos XML de OpenSCAP utilizando el input plugin `file`.
3. Utilizar el filtro `xml` de Logstash para parsear el XML.
4. Utilizar el output plugin `elasticsearch` para enviar los datos a Elasticsearch.
5. Utilizar Kibana para crear visualizaciones y paneles de control.

Integración con Plataformas de Orquestación (Kubernetes, OpenShift)

Las plataformas de orquestación de contenedores, como Kubernetes y OpenShift, se utilizan para gestionar aplicaciones en contenedores. OpenSCAP puede integrarse con estas plataformas para:

• Escanear las imágenes de los contenedores en busca de vulnerabilidades y configuraciones incorrectas antes de desplegarlas. Esto se puede hacer, por ejemplo, integrando OpenSCAP en el proceso de construcción de imágenes (CI/CD).
• Escanear los nodos del clúster (los servidores que ejecutan los contenedores) para verificar que cumplen con las políticas de seguridad.
• Supervisar el cumplimiento de las políticas de seguridad en tiempo de ejecución.

Existen varias herramientas y proyectos que facilitan la integración de OpenSCAP con Kubernetes y OpenShift, como:

• OpenSCAP Image Inspector: Una herramienta que permite escanear imágenes de contenedores utilizando OpenSCAP. Se puede instalar desde el código fuente en GitHub: https://github.com/OpenSCAP/container-compliance. No hay un paquete precompilado, por lo que la instalación requiere clonar el repositorio y compilar la herramienta.
• Compliance Operator: Un operador de Kubernetes que permite definir y aplicar políticas de seguridad basadas en OpenSCAP en un clúster. La instalación y configuración se realizan siguiendo las instrucciones de su documentación: https://compliance-operator.github.io/compliance-operator/.
• kube-bench: Aunque no es estrictamente OpenSCAP, `kube-bench` es una herramienta que implementa el CIS Kubernetes Benchmark. Es útil para evaluar la seguridad de un clúster de Kubernetes: https://github.com/aquasecurity/kube-bench. La instalación suele realizarse descargando un binario precompilado o ejecutando `kube-bench` dentro de un contenedor.

Casos de Uso y Ejemplos Prácticos

OpenSCAP puede utilizarse en una amplia variedad de escenarios para mejorar la seguridad y el cumplimiento normativo de los sistemas. A continuación, se presentan algunos casos de uso comunes y ejemplos prácticos.

Verificación del Cumplimiento de Estándares (PCI DSS, HIPAA, CIS Benchmarks)

Uno de los usos más comunes de OpenSCAP es verificar si los sistemas cumplen con los estándares de seguridad de la industria y las regulaciones gubernamentales. Esto es especialmente importante para organizaciones que manejan información sensible, como datos de tarjetas de crédito (PCI DSS), información médica (HIPAA) o datos gubernamentales.

El SCAP Security Guide (SSG) proporciona perfiles predefinidos para muchos de estos estándares, como:

• CIS Benchmarks: Los CIS Benchmarks son guías de configuración segura desarrolladas por el Center for Internet Security (CIS). El SSG incluye perfiles para varios sistemas operativos y aplicaciones basados en los CIS Benchmarks.
• PCI DSS (Payment Card Industry Data Security Standard): El SSG incluye perfiles que ayudan a verificar el cumplimiento de los requisitos de seguridad de PCI DSS, que se aplican a las organizaciones que procesan, almacenan o transmiten datos de tarjetas de crédito.
• HIPAA (Health Insurance Portability and Accountability Act): El SSG incluye perfiles que ayudan a verificar el cumplimiento de los requisitos de seguridad de HIPAA, que se aplican a las organizaciones que manejan información médica protegida.
• DISA STIGs (Defense Information Systems Agency Security Technical Implementation Guides): Aunque no están incluidos directamente en el SSG base, existen proyectos que proporcionan contenido SCAP para los STIGs del Departamento de Defensa de EE. UU.

Ejemplo:

Para verificar si un sistema RHEL 8 cumple con el perfil CIS Benchmark para RHEL 8, puedes utilizar el siguiente comando:

oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_cis_server_l1 --report report.html /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml

Esto generará un informe HTML que muestra el estado de cumplimiento del sistema con el perfil CIS.

Detección de Vulnerabilidades en Sistemas

OpenSCAP puede utilizarse para detectar vulnerabilidades conocidas en los sistemas. Esto se hace utilizando definiciones OVAL que comprueban la presencia de software vulnerable o configuraciones incorrectas que pueden ser explotadas.

El SSG incluye definiciones OVAL para muchas vulnerabilidades comunes. También puedes utilizar fuentes de definiciones OVAL externas, como las proporcionadas por el NIST o por los proveedores de software.

Ejemplo:

Para escanear un sistema en busca de vulnerabilidades utilizando las definiciones OVAL del SSG, puedes utilizar el siguiente comando (aunque normalmente se utiliza junto con XCCDF):

oscap oval eval --results results.xml /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml

Este comando generará un archivo XML con los resultados del escaneo, que indicará si se encontraron vulnerabilidades.

Pero, lo más común, es usarlo junto con XCCDF:

oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_standard --report report.html /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml

Implementación de Políticas de Seguridad Personalizadas en una Organización

Además de utilizar los perfiles predefinidos del SSG, puedes crear tus propias políticas de seguridad personalizadas utilizando XCCDF y OVAL. Esto te permite definir los requisitos de seguridad específicos de tu organización y verificar que los sistemas los cumplen.

Ejemplo:

Supongamos que tu organización requiere que todos los servidores tengan una longitud mínima de contraseña de 12 caracteres y que el servicio SSH esté configurado para no permitir el inicio de sesión como root.

Podrías crear un archivo XCCDF personalizado que defina estas reglas y luego utilizar OpenSCAP para evaluar los servidores contra esta política.

Automatización de la Corrección de Configuraciones Incorrectas (Remediation)

OpenSCAP puede, en algunos casos, aplicar automáticamente las correcciones necesarias para cumplir con una política. Esto se conoce como remediación.

La remediación se realiza utilizando scripts (generalmente Bash o Ansible) que se incluyen en el contenido SCAP. Estos scripts modifican la configuración del sistema para cumplir con los requisitos de la política.

Importante: La remediación debe utilizarse con extrema precaución, ya que puede modificar la configuración del sistema y potencialmente causar problemas. Siempre debes probar la remediación en un entorno de prueba antes de aplicarla en producción.

Remediation con Ansible

Como se vio antes, Ansible se integra muy bien con OpenSCAP. Es la opción recomendada para hacer remediaciones de forma automática, segura y controlada.

Para usar la remediación con Ansible, se usa el módulo `community.general.oscap`:

---
- hosts: all
  become: true
  tasks:
    - name: Escanear y remediar con OpenSCAP
      community.general.oscap:
        xccdf_path: /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml
        profile: xccdf_org.ssgproject.content_profile_standard
        results_file: /tmp/openscap-results.xml
        remediate: true # ¡Usar con precaución!

Remediation con Scripts Bash

OpenSCAP permite usar scripts Bash para la remediación. Es una opción menos robusta que Ansible, pero puede ser útil en algunos casos. Para usar la remediación *inline*, se debe incluir un script dentro del propio contenido SCAP, asociado a una regla.

Para usar la remediación desde la línea de comandos, se indica con la opción `--remediate`:

oscap xccdf eval --profile  xccdf_org.ssgproject.content_profile_standard --remediate --report report.html /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml

Repito: Hay que usar la opción `--remediate` con mucha precaución.

Mejores Prácticas y Recomendaciones

Para obtener el máximo beneficio de OpenSCAP y asegurar una implementación efectiva, es importante seguir algunas mejores prácticas y recomendaciones:

Mantenimiento Actualizado de las Definiciones de Seguridad

Las vulnerabilidades y las amenazas de seguridad evolucionan constantemente. Por lo tanto, es crucial mantener actualizadas las definiciones de seguridad que utiliza OpenSCAP (el contenido SCAP, como el SSG).

• Actualiza regularmente el SSG: El proyecto SCAP Security Guide se actualiza con frecuencia para incluir nuevas definiciones de vulnerabilidades, configuraciones y mejoras en las políticas existentes. Utiliza el gestor de paquetes de tu distribución para mantener actualizado el paquete `scap-security-guide`.
• Considera el uso de fuentes de contenido SCAP adicionales: Además del SSG, puedes utilizar otras fuentes de contenido SCAP, como las proporcionadas por el NIST, los proveedores de software o la comunidad.
• Si creas tu propio contenido SCAP, mantenlo actualizado: Revisa y actualiza regularmente tus propias políticas XCCDF y definiciones OVAL para asegurarte de que reflejan los últimos requisitos de seguridad y las mejores prácticas.

Pruebas Regulares de las Políticas de Seguridad

Es fundamental realizar pruebas regulares de las políticas de seguridad para:

• Verificar que las políticas se aplican correctamente: Asegúrate de que las reglas XCCDF y las definiciones OVAL funcionan como se espera y detectan las configuraciones incorrectas o las vulnerabilidades.
• Identificar falsos positivos y falsos negativos: Ajusta las políticas para minimizar los falsos positivos (resultados que indican un problema que no existe) y los falsos negativos (problemas que no se detectan).
• Evaluar el impacto de las políticas en el rendimiento del sistema: Algunas comprobaciones de seguridad pueden ser intensivas en recursos. Realiza pruebas para asegurarte de que las políticas no afectan negativamente al rendimiento de los sistemas.

Es recomendable realizar pruebas en un entorno de pruebas antes de aplicar las políticas en producción.

Documentación Adecuada de las Políticas y Procedimientos

La documentación es esencial para una implementación exitosa de OpenSCAP. Documenta:

• Las políticas de seguridad: Describe claramente los requisitos de seguridad que deben cumplir los sistemas, las reglas XCCDF y las definiciones OVAL utilizadas, y la justificación de cada regla.
• Los procedimientos de escaneo: Describe cómo ejecutar los escaneos OpenSCAP, cómo interpretar los resultados y cómo responder a los problemas detectados.
• Los procedimientos de remediación: Describe cómo aplicar las correcciones necesarias para cumplir con las políticas, incluyendo los scripts o las herramientas utilizadas. Documenta los riesgos asociados a la remediación y los pasos a seguir para mitigar esos riesgos.
• Las excepciones: Si hay sistemas o configuraciones que no pueden cumplir con una política específica, documenta las excepciones y la justificación de cada una.

Integración en un Proceso de Desarrollo Seguro (DevSecOps)

OpenSCAP puede integrarse en un proceso de desarrollo seguro (DevSecOps) para automatizar la evaluación de seguridad en todo el ciclo de vida del software.

• Integración con CI/CD: Ejecuta escaneos OpenSCAP como parte del proceso de integración continua (CI) y despliegue continuo (CD) para detectar vulnerabilidades y configuraciones incorrectas antes de que el software se despliegue en producción.
• Seguridad como código: Define las políticas de seguridad como código (utilizando XCCDF y OVAL) y almacénalas en un repositorio de control de versiones. Esto permite un seguimiento de los cambios en las políticas y facilita la colaboración.
• Automatización de la remediación: Utiliza herramientas como Ansible para aplicar automáticamente las correcciones necesarias para cumplir con las políticas.

Gestión de Excepciones y Falsos Positivos

Es inevitable que se produzcan excepciones y falsos positivos al utilizar OpenSCAP.

• Excepciones: Puede haber sistemas o configuraciones que no puedan cumplir con una política específica debido a limitaciones técnicas o requisitos de negocio. Define un proceso formal para gestionar las excepciones, documentando la justificación de cada una y revisándolas periódicamente.
• Falsos positivos: Ajusta las políticas para minimizar los falsos positivos. Esto puede implicar modificar las reglas XCCDF, las definiciones OVAL o utilizar archivos de personalización (tailoring files).
• Es muy útil el uso de *tailoring files* para registrar las excepciones.

Preguntas Frecuentes (FAQ)

¿Qué diferencia hay entre XCCDF y OVAL?

XCCDF (Extensible Configuration Checklist Description Format) se utiliza para describir políticas de seguridad y checklists de configuración. OVAL (Open Vulnerability and Assessment Language) se utiliza para definir comprobaciones de seguridad específicas (cómo verificar la presencia de vulnerabilidades, configuraciones incorrectas o el estado de parches).

¿Puedo utilizar OpenSCAP en Windows?

Sí, OpenSCAP tiene una versión para Windows, aunque con algunas limitaciones en comparación con la versión de Linux. Es recomendable utilizar perfiles SCAP diseñados específicamente para Windows.

¿Cómo puedo crear mis propias políticas de seguridad?

Puedes crear tus propias políticas de seguridad utilizando XCCDF y OVAL. Esto requiere un buen conocimiento de ambos lenguajes. Puedes usar OpenSCAP Workbench para crear políticas más simples, con una interfaz gráfica.

¿Qué es la remediación y cómo funciona?

La remediación es la aplicación automática de correcciones para cumplir con una política de seguridad. OpenSCAP puede utilizar scripts (Bash o Ansible) para modificar la configuración del sistema. La remediación debe utilizarse con precaución.

¿Cómo puedo integrar OpenSCAP con Ansible?

Ansible tiene un módulo, `community.general.oscap` que permite interactuar con OpenSCAP. Puedes usar ese módulo en tus playbooks.

¿OpenSCAP detecta todas las vulnerabilidades?

No, OpenSCAP no detecta todas las vulnerabilidades. Se basa en las definiciones OVAL y en el contenido SCAP disponible. Es importante mantener actualizado el contenido SCAP y complementar OpenSCAP con otras herramientas de seguridad.

¿Es OpenSCAP una herramienta de "hacking"?

No, OpenSCAP no es una herramienta de "hacking". Es una herramienta de *auditoría* de seguridad. Se utiliza para verificar si los sistemas cumplen con las políticas de seguridad, no para explotar vulnerabilidades.

¿Es necesario ser root/administrador para ejecutar OpenSCAP?

Sí, en la inmensa mayoría de los casos es necesario. OpenSCAP necesita acceder a ficheros y configuraciones del sistema que requieren privilegios elevados.