Sim, disse o Bill Gates ! (Não sei se ele realmente disse isso), mesmo que tenha dito, para o mundo te tecnologia a palavra direto do “vendor” não gera muito entusiasmo, e por isso é possível contar com sistemas de avaliação feita por organizações independentes.
Um laboratório independente faz os testes e gera relatórios de segurança e pode certificar um produto de tecnologia, assim o consumidor confiará mais pois trata-se da palavra de uma organização independente que testou e avaliou e não apenas a palavra do fabricante.
A certificação é uma analise técnica do produto que garante que ele vai de encontro com as necessidades atuais de segurança e dá uma nota.
Sistemas de Avaliação
Para saber, existem alguns sistemas de avaliação como por exemplo:
Trusted Computer System Evaluation Criteria(TCSEC) (Orange Book) – Desenvolvido pelo Departamento de Defesa dos Estados Unidos. Avalia a confidencialidade e vale para produtos não conectados à Internet
Information Technology – Security Evaluation Criteria (ITSEC) – Uma evolução do TCSEC, pois avalia dispositivos que estão conectados a rede Avalia não somente a confidencialidade, mas também a integridade e pode avaliar o nível de garantia do produto (Level Of Assurance).
Common Criteria
The Common Criteria information security evaluation framework ou apenas “Common Criteria” CC é um conjunto de diretrizes internacionalmente reconhecido e adotado como padrão internacional (ISO / IEC 15408) para a certificação de segurança de produtos de tecnologia da informação.
A uma certificação Common Criteria é importante, e nesse artigo vamos entender a diferença entre Perfis de proteção e Níveis de garantia de avaliação.
Profile Protection é uma validação baseada numa classe de dispositivos que identifica os requerimentos de segurança, como Sistemas Operacionais, Firewalls, etc,
TOE é o Target of Evaluation, define um produto ou sistemas que será avaliado, e em nosso artigo o TOE será o Windows Server 2019
Podemos consultar nos documentos o que foi definido como TOE (Security Audit,Cryptographic Support,User Data Protection e mais, consulte o documento através do link no fim desse artigo)
Security Target é um documento criado pelo vendor (Em nosso exemplo a Microsoft ) que define as funcionalidades especificas do produto e suas funcionalidades de segurança que ele diz possuir e o CC vai testar esses pontos e o resultado será uma classificação de avaliação chamada EAL (Evaluation Assurance Level) .
- EAL1: Functionally Tested
- EAL2: Structurally Tested
- EAL3: Methodically Tested and Checked
- EAL4: Methodically Designed, Tested and Reviewed
- EAL5: Semiformally Designed and Tested
- EAL6: Semiformally Verified Design and Tested
- EAL7: Formally Verified Design and Tested
Cada EAL corresponde a um pacote de requerimentos quer são testados. Do mais simples o EAL1 ao mais completo teste o EAL7
Para responder a questão feita no inicio desse artigo, se o Windows 10 e o Windows Server 2019 são realmente seguros ?
Podemos consultar os relatórios :
Microsoft Windows 10 1909 and Microsoft Windows Server 1909
- Certification ReportSecurity Target
- PP-Module for VPN Client Version 2.1
- Protection Profile for General Purpose Operating Systems, Version 4.2.1
- Extended Package for Wireless Local Area Network (WLAN) Clients
Visite o site oficial https://www.commoncriteriaportal.org/products/ e tenha acesso a todos os resultados de avaliação de produtos do CC.
Seja o primeiro a comentar