1. Biblioteca Digital de Teses e Dissertações da UFCG
  2. Campus Campina Grande | Centro de Engenharia Elétrica e Informática - CEEI
  3. PÓS-GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃO
  4. Mestrado em Ciência da Computação.
Please use this identifier to cite or link to this item: http://dspace.sti.ufcg.edu.br:8080/jspui/handle/riufcg/40945
Title: Automação de controles de segurança em ambientes de computação na nuvem: abordagem para conformidade contínua no gerenciamento de vulnerabilidades.
Other Titles: Automating Security Controls in Computing Environments In the Cloud: Approach to Continuous Compliance in Cloud Management Vulnerabilities.
???metadata.dc.creator???: SILVA, Raiff dos Santos
???metadata.dc.contributor.advisor1???: Brito, Andrey Elísio Monteiro.
???metadata.dc.contributor.referee1???: GOMES, Reinaldo César de Morais
???metadata.dc.contributor.referee2???: MACIEL JÚNIOR, Paulo Ditarso.
???metadata.dc.contributor.referee3???: FALCÃO, Eduardo de Lucena.
Keywords: IaaS;Gerenciamento de Vulnerabilidade;Computação na Nuvem;Automação de Controles;Segurança;Safety;Automation of Controls;Cloud Computing;Vulnerability Management;IaaS
Issue Date: 4-Sep-2024
Publisher: Universidade Federal de Campina Grande
Citation: SILVA, Raiff dos Santos. Automação de controles de segurança em ambientes de computação na nuvem: abordagem para conformidade contínua no gerenciamento de vulnerabilidades. 2024. 175 f. Dissertação (Mestrado em Ciência da Computação) – Programa de Pós-Graduação em Ciência da Computação, Centro de Engenharia Elétrica e Informática, Universidade Federal de Campina Grande, Paraíba, Brasil, 2024.
???metadata.dc.description.resumo???: O atual cenário de segurança exige processos eficientes que correspondam ao avanço das técnicas empenhadas em ataques cibernéticos. Partindo desta perspectiva, a automação de processos é vista como alternativa para suprir a necessidade de segurança requerida nos sistemas de informação, beneficiando atividades manuais com otimizações e provendo escalabilidade. Observados os padrões de segurança ou muitas vezes legislações que exigem moldar uma postura de segurança para manutenção da privacidade de dados ou áreas específicas de atuação, a conformidade se vê presente como meio de comprovação das boas práticas implementadas. A conformidade, muitas vezes é obtida por processos de auditoria de órgãos certificadores, também pode ser alcançada pelo uso de frameworks de segurança. Dessa forma, CIS Controls V8 e NIST Cybersecurity Framework possuem controles de segurança amplamente utilizados. Definimos neste estudo como utilizar estes frameworks de segurança como base de recomendações de segurança para prover conformidade para processos de gerenciamento de vulnerabilidades. Utilizamos CIS Controls V8 para extrair palavras-chave relevantes com uso de algoritmos de aprendizado de máquina que viabilizam a descoberta de ferramentas de segurança, assim obtendo suporte a nossas implementações técnicas de cibersegurança. Operacionalizamos a conformidade com uso de métodos para mensurar a conformidade usando métricas de verificação de vulnerabilidades e cobertura de recomendações de segurança. Finalmente, agrupamos todo nosso aprendizado da operacionalização da conformidade para propor um modelo de conformidade contínua. Este modelo considera automação de processos para execução de ferramentas de verificação de vulnerabilidades para coleta de evidências de segurança sobre a arquitetura do sistema. Também são executadas as análises de vulnerabilidades nocivas à segurança com uso de nossa métrica de verificação que define a explorabilidade e o impacto relacionado aos ativos verificados em nossos processos.
Abstract: The current security landscape demands efficient processes that correspond to the advancement of techniques employed in cyber attacks. From this perspective, process automation is seen as an alternative to meet the security needs required in information systems, benefiting manual activities with optimizations and providing scalability. Observing security standards or often legislation that require shaping a security posture for maintaining data privacy or specific areas of operation, compliance is present as a means of proving the good practices implemented. Compliance, often obtained through audit processes by certifying bodies, can also be achieved through the use of security frameworks. Thus, CIS Controls V8 and the NIST Cybersecurity Framework have widely used security controls. In this study, we define how to use these security frameworks as a basis for security recommendations to provide compliance for vulnerability management processes. We use CIS Controls V8 to extract relevant keywords with the use of machine learning algorithms that enable the discovery of security tools, thus supporting our technical cybersecurity implementations. We operationalize compliance by using methods to measure compliance using vulnerability verification metrics and security recommendation coverage. Finally, we aggregate all our learning from the operationalization of compliance to propose a continuous compliance model. This model considers process automation for the execution of vulnerability verification tools to collect security evidence about the system architecture. It also includes the analysis of vulnerabilities harmful to security using our verification metric that defines the exploitability and impact related to the assets verified in our processes.
Keywords: IaaS
Gerenciamento de Vulnerabilidade
Computação na Nuvem
Automação de Controles
Segurança
Safety
Automation of Controls
Cloud Computing
Vulnerability Management
IaaS
???metadata.dc.subject.cnpq???: Ciência da Computação
URI: http://dspace.sti.ufcg.edu.br:8080/jspui/handle/riufcg/40945
Appears in Collections:Mestrado em Ciência da Computação.

Files in This Item:
File Description SizeFormat 
RAIFF DOS SANTOS SILVA - DISSERTAÇÃO (PPGCC) 2024.pdf3.09 MBAdobe PDFView/Open
Show full item record


Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.