A Módulo, líder global em soluções para automatização de GRC, Governança, Riscos e Compliance, acaba de lançar o projeto modSIC (Modulo Open Source Intelligent Collector): primeira iniciativa Open Source no setor. Com base nos padrões abertos SCAP (Security Content Automation Protocol) formatado pelo instituto americano NIST, a empresa disponibilizará o componente responsável pela coleta e assesment de ativos de TI da solução Módulo Risk Manager, premiado programa de GRC. Os usuários poderão lançar mão da plataforma para coletar dados a partir de bases de conhecimento públicas que utilizam o OVAL, padrão aberto e interoperável, a partir qualquer repositório para analisar seu ambiente de TI de forma remota e centralizada. O Lançamento do projeto modSic aconteceu essa semana na sexta conferência anual de automação para segurança em Ti, em Baltimore, nos Estados Unidos.
Desenvolvido pelo Instituto Nacional de Padrões e Tecnologia (NIST) dos EUA, o SCAP é um formato comum para troca de dados de segurança de TI e estabelece padrões para comunicação entre os sistemas corporativos. Ao utilizar produtos baseados em SCAP, as empresas podem automatizar tarefas críticas como verificar a presença de patches, verificação de configurações do sistema de segurança e análise de conformidade com base nas melhores práticas estipuladas por diversas entidades especializadas.
“Nós acreditamos que é quase impossível uma única empresa construir coletores de dados suficientes para todos os cenários, considerando a grande variedade tecnológica que existe atualmente. Além disso, a disponibilidade limitada de soluções de coleta de dados SCAP tornou sua adoção restrita no contexto mais amplo de segurança e de GRC. Até o momento, os usuários precisavam escrever as suas próprias APIs ou exportar seus dados em planilhas do Excel. Porém, depois de investir mais de 12 meses de pesquisa e desenvolvimento, decidimos abrir a nossa tecnologia e disponibilizá-la ao público – seria a melhor opção para atender às diversas demandas nos mais variados ambientes. Estamos muito encorajados pelo interesse da comunidade de TI pelo projeto”, acrescentou Alberto Bastos.
Para Jonathan O. Baker, da MITRE Corporation, um dos desenvolvedores do Padrão OVAL, com o modSIC, Módulo Risk Manager e a participação no Programa de Adoção OVAL, a Modulo está pronta para ajudar a expandir a implementação do SCAP.
“Hoje não existe uma abordagem comum para a coleta de dados de GRC. Ao liberar um framework estruturado para o desenvolvimento de coletores de dados SCAP, a Módulo viabiliza o crescimento da comunidade SCAP e a expansão de coletores baseados nestes padrões, dando às organizações a possibilidade de maior interoperabilidade entre os seus produtos de segurança e GRC, além de fazer avanços importantes na automação do processo de coleta”, disse Scott Crawford, Diretor de Pesquisas da EMA.
O modSIC tornará mais fácil para os fornecedores, desenvolvedores e usuários finais a criação e melhoria de seus próprios coletores de dados e a automatização do processo de coleta em seus ambientes de Ti.
Seus maiores benefícios são:
- Utilização de Formatos padronizados: Aproveitando padrões abertos como SCAP e OVAL, pode-se recorrer a uma grande gama de bases de conhecimento de diversas entidades creditadas para testar a conformidade de determinado ambiente de Ti. Possibilita a integração com diversas ferramentas e retorna resultados práticos e utilizáveis por usuários e outros sistemas. O serviço é adaptável e pode ser integrado com software de terceiros através de um protocolo de comunicação trivial.
- Arquitetura distribuída: Possibilita a coleta de dados em diferentes infraestruturas, mesmo que isoladas entre si, por diferentes redes, de maneira escalável e automática. É possível executar múltiplas buscas e agendar horários para as coleta de dados, remotamente (agentless) para cada ativo da rede.
- Desenvolvimento aberto: A ferramenta é extensível para contribuições da comunidade, possibilitando o surgimento de uma grande comunidade de teste. Desenvolvedores podem estender as funcionalidades do serviço facilmente, criando novos plugins para novos Sistemas Operacionais, por exemplo. Por ser uma solução de software open source, seu código será disponibilizado, possibilitando auditoria e garantindo a confiabilidade do que está sendo executado no Datacenter do usuário.
Fonte: Approach