Automação de controles de segurança em ambientes de computação na nuvem: abordagem para conformidade contínua no gerenciamento de vulnerabilidades.

Detalhes bibliográficos
Ano de defesa: 2024
Autor(a) principal: SILVA, Raiff dos Santos lattes
Orientador(a): Brito, Andrey Elísio Monteiro. lattes
Banca de defesa: GOMES, Reinaldo César de Morais, MACIEL JÚNIOR, Paulo Ditarso., FALCÃO, Eduardo de Lucena.
Tipo de documento: Dissertação
Tipo de acesso: Acesso aberto
Idioma: por
Instituição de defesa: Universidade Federal de Campina Grande
Programa de Pós-Graduação: PÓS-GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃO
Departamento: Centro de Engenharia Elétrica e Informática - CEEI
País: Brasil
Palavras-chave em Português:
IaaS
Gerenciamento de Vulnerabilidade
Computação na Nuvem
Automação de Controles
Segurança
Safety
Automation of Controls
Cloud Computing
Vulnerability Management
Área do conhecimento CNPq:
Ciência da Computação
Link de acesso: https://dspace.sti.ufcg.edu.br/handle/riufcg/40945
Resumo: O atual cenário de segurança exige processos eficientes que correspondam ao avanço das técnicas empenhadas em ataques cibernéticos. Partindo desta perspectiva, a automação de processos é vista como alternativa para suprir a necessidade de segurança requerida nos sistemas de informação, beneficiando atividades manuais com otimizações e provendo escalabilidade. Observados os padrões de segurança ou muitas vezes legislações que exigem moldar uma postura de segurança para manutenção da privacidade de dados ou áreas específicas de atuação, a conformidade se vê presente como meio de comprovação das boas práticas implementadas. A conformidade, muitas vezes é obtida por processos de auditoria de órgãos certificadores, também pode ser alcançada pelo uso de frameworks de segurança. Dessa forma, CIS Controls V8 e NIST Cybersecurity Framework possuem controles de segurança amplamente utilizados. Definimos neste estudo como utilizar estes frameworks de segurança como base de recomendações de segurança para prover conformidade para processos de gerenciamento de vulnerabilidades. Utilizamos CIS Controls V8 para extrair palavras-chave relevantes com uso de algoritmos de aprendizado de máquina que viabilizam a descoberta de ferramentas de segurança, assim obtendo suporte a nossas implementações técnicas de cibersegurança. Operacionalizamos a conformidade com uso de métodos para mensurar a conformidade usando métricas de verificação de vulnerabilidades e cobertura de recomendações de segurança. Finalmente, agrupamos todo nosso aprendizado da operacionalização da conformidade para propor um modelo de conformidade contínua. Este modelo considera automação de processos para execução de ferramentas de verificação de vulnerabilidades para coleta de evidências de segurança sobre a arquitetura do sistema. Também são executadas as análises de vulnerabilidades nocivas à segurança com uso de nossa métrica de verificação que define a explorabilidade e o impacto relacionado aos ativos verificados em nossos processos.
id UFCG_951e0c369dd0729c9565a106dcb914b5
oai_identifier_str oai:dspace.sti.ufcg.edu.br:riufcg/40945
network_acronym_str UFCG
network_name_str Biblioteca Digital de Teses e Dissertações da UFCG
repository_id_str
spelling Brito, Andrey Elísio Monteiro.BRITO, Andreyhttp://lattes.cnpq.br/2634324830901340GOMES, Reinaldo César de MoraisMACIEL JÚNIOR, Paulo Ditarso.FALCÃO, Eduardo de Lucena.SILVA, R. S.http://lattes.cnpq.br/3141388403876772SILVA, Raiff dos SantosO atual cenário de segurança exige processos eficientes que correspondam ao avanço das técnicas empenhadas em ataques cibernéticos. Partindo desta perspectiva, a automação de processos é vista como alternativa para suprir a necessidade de segurança requerida nos sistemas de informação, beneficiando atividades manuais com otimizações e provendo escalabilidade. Observados os padrões de segurança ou muitas vezes legislações que exigem moldar uma postura de segurança para manutenção da privacidade de dados ou áreas específicas de atuação, a conformidade se vê presente como meio de comprovação das boas práticas implementadas. A conformidade, muitas vezes é obtida por processos de auditoria de órgãos certificadores, também pode ser alcançada pelo uso de frameworks de segurança. Dessa forma, CIS Controls V8 e NIST Cybersecurity Framework possuem controles de segurança amplamente utilizados. Definimos neste estudo como utilizar estes frameworks de segurança como base de recomendações de segurança para prover conformidade para processos de gerenciamento de vulnerabilidades. Utilizamos CIS Controls V8 para extrair palavras-chave relevantes com uso de algoritmos de aprendizado de máquina que viabilizam a descoberta de ferramentas de segurança, assim obtendo suporte a nossas implementações técnicas de cibersegurança. Operacionalizamos a conformidade com uso de métodos para mensurar a conformidade usando métricas de verificação de vulnerabilidades e cobertura de recomendações de segurança. Finalmente, agrupamos todo nosso aprendizado da operacionalização da conformidade para propor um modelo de conformidade contínua. Este modelo considera automação de processos para execução de ferramentas de verificação de vulnerabilidades para coleta de evidências de segurança sobre a arquitetura do sistema. Também são executadas as análises de vulnerabilidades nocivas à segurança com uso de nossa métrica de verificação que define a explorabilidade e o impacto relacionado aos ativos verificados em nossos processos.The current security landscape demands efficient processes that correspond to the advancement of techniques employed in cyber attacks. From this perspective, process automation is seen as an alternative to meet the security needs required in information systems, benefiting manual activities with optimizations and providing scalability. Observing security standards or often legislation that require shaping a security posture for maintaining data privacy or specific areas of operation, compliance is present as a means of proving the good practices implemented. Compliance, often obtained through audit processes by certifying bodies, can also be achieved through the use of security frameworks. Thus, CIS Controls V8 and the NIST Cybersecurity Framework have widely used security controls. In this study, we define how to use these security frameworks as a basis for security recommendations to provide compliance for vulnerability management processes. We use CIS Controls V8 to extract relevant keywords with the use of machine learning algorithms that enable the discovery of security tools, thus supporting our technical cybersecurity implementations. We operationalize compliance by using methods to measure compliance using vulnerability verification metrics and security recommendation coverage. Finally, we aggregate all our learning from the operationalization of compliance to propose a continuous compliance model. This model considers process automation for the execution of vulnerability verification tools to collect security evidence about the system architecture. It also includes the analysis of vulnerabilities harmful to security using our verification metric that defines the exploitability and impact related to the assets verified in our processes.Submitted by Helder Soares Dantas (helder-dantas@hotmail.com) on 2025-03-11T18:32:10Z No. of bitstreams: 1 RAIFF DOS SANTOS SILVA - DISSERTAÇÃO (PPGCC) 2024.pdf: 3165469 bytes, checksum: 75ea94a986c277bfb7e1ba685d159608 (MD5)Made available in DSpace on 2025-03-11T18:32:10Z (GMT). No. of bitstreams: 1 RAIFF DOS SANTOS SILVA - DISSERTAÇÃO (PPGCC) 2024.pdf: 3165469 bytes, checksum: 75ea94a986c277bfb7e1ba685d159608 (MD5) Previous issue date: 2024-09-04Universidade Federal de Campina GrandePÓS-GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃOUFCGBrasilCentro de Engenharia Elétrica e Informática - CEEICiência da ComputaçãoIaaSGerenciamento de VulnerabilidadeComputação na NuvemAutomação de ControlesSegurançaSafetyAutomation of ControlsCloud ComputingVulnerability ManagementIaaSAutomação de controles de segurança em ambientes de computação na nuvem: abordagem para conformidade contínua no gerenciamento de vulnerabilidades.Automating Security Controls in Computing Environments In the Cloud: Approach to Continuous Compliance in Cloud Management Vulnerabilities.2024-09-042025-03-11T18:32:10Z2025-03-112025-03-11T18:32:10Zhttps://dspace.sti.ufcg.edu.br/handle/riufcg/40945SILVA, Raiff dos Santos. Automação de controles de segurança em ambientes de computação na nuvem: abordagem para conformidade contínua no gerenciamento de vulnerabilidades. 2024. 175 f. Dissertação (Mestrado em Ciência da Computação) – Programa de Pós-Graduação em Ciência da Computação, Centro de Engenharia Elétrica e Informática, Universidade Federal de Campina Grande, Paraíba, Brasil, 2024.info:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisporinfo:eu-repo/semantics/openAccessreponame:Biblioteca Digital de Teses e Dissertações da UFCGinstname:Universidade Federal de Campina Grande (UFCG)instacron:UFCGTEXTRAIFF DOS SANTOS SILVA - DISSERTAÇÃO (PPGCC) 2024.pdf.txtRAIFF DOS SANTOS SILVA - DISSERTAÇÃO (PPGCC) 2024.pdf.txttext/plain331767https://dspace.sti.ufcg.edu.br/bitstream/riufcg/40945/3/RAIFF+DOS+SANTOS+SILVA+-+DISSERTA%C3%87%C3%83O+%28PPGCC%29+2024.pdf.txtd4a398c86ef2f56d63ecd99007a43652MD53LICENSElicense.txtlicense.txttext/plain; charset=utf-81748https://dspace.sti.ufcg.edu.br/bitstream/riufcg/40945/2/license.txt8a4605be74aa9ea9d79846c1fba20a33MD52ORIGINALRAIFF DOS SANTOS SILVA - DISSERTAÇÃO (PPGCC) 2024.pdfRAIFF DOS SANTOS SILVA - DISSERTAÇÃO (PPGCC) 2024.pdfapplication/pdf3165469https://dspace.sti.ufcg.edu.br/bitstream/riufcg/40945/1/RAIFF+DOS+SANTOS+SILVA+-+DISSERTA%C3%87%C3%83O+%28PPGCC%29+2024.pdf75ea94a986c277bfb7e1ba685d159608MD51riufcg/409452025-11-18 04:15:39.349oai:dspace.sti.ufcg.edu.br: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Biblioteca Digital de Teses e Dissertaçõeshttp://bdtd.ufcg.edu.br/PUBhttp://dspace.sti.ufcg.edu.br:8080/oai/requestbdtd@setor.ufcg.edu.br || bdtd@setor.ufcg.edu.bropendoar:48512025-11-18T07:15:39Biblioteca Digital de Teses e Dissertações da UFCG - Universidade Federal de Campina Grande (UFCG)false
dc.title.pt_BR.fl_str_mv Automação de controles de segurança em ambientes de computação na nuvem: abordagem para conformidade contínua no gerenciamento de vulnerabilidades.
dc.title.alternative.pt_BR.fl_str_mv Automating Security Controls in Computing Environments In the Cloud: Approach to Continuous Compliance in Cloud Management Vulnerabilities.
title Automação de controles de segurança em ambientes de computação na nuvem: abordagem para conformidade contínua no gerenciamento de vulnerabilidades.
spellingShingle Automação de controles de segurança em ambientes de computação na nuvem: abordagem para conformidade contínua no gerenciamento de vulnerabilidades.
SILVA, Raiff dos Santos
Ciência da Computação
IaaS
Gerenciamento de Vulnerabilidade
Computação na Nuvem
Automação de Controles
Segurança
Safety
Automation of Controls
Cloud Computing
Vulnerability Management
IaaS
title_short Automação de controles de segurança em ambientes de computação na nuvem: abordagem para conformidade contínua no gerenciamento de vulnerabilidades.
title_full Automação de controles de segurança em ambientes de computação na nuvem: abordagem para conformidade contínua no gerenciamento de vulnerabilidades.
title_fullStr Automação de controles de segurança em ambientes de computação na nuvem: abordagem para conformidade contínua no gerenciamento de vulnerabilidades.
title_full_unstemmed Automação de controles de segurança em ambientes de computação na nuvem: abordagem para conformidade contínua no gerenciamento de vulnerabilidades.
title_sort Automação de controles de segurança em ambientes de computação na nuvem: abordagem para conformidade contínua no gerenciamento de vulnerabilidades.
author SILVA, Raiff dos Santos
author_facet SILVA, Raiff dos Santos
author_role author
dc.contributor.advisor1.fl_str_mv Brito, Andrey Elísio Monteiro.
dc.contributor.advisor1ID.fl_str_mv BRITO, Andrey
dc.contributor.advisor1Lattes.fl_str_mv http://lattes.cnpq.br/2634324830901340
dc.contributor.referee1.fl_str_mv GOMES, Reinaldo César de Morais
dc.contributor.referee2.fl_str_mv MACIEL JÚNIOR, Paulo Ditarso.
dc.contributor.referee3.fl_str_mv FALCÃO, Eduardo de Lucena.
dc.contributor.authorID.fl_str_mv SILVA, R. S.
dc.contributor.authorLattes.fl_str_mv http://lattes.cnpq.br/3141388403876772
dc.contributor.author.fl_str_mv SILVA, Raiff dos Santos
contributor_str_mv Brito, Andrey Elísio Monteiro.
GOMES, Reinaldo César de Morais
MACIEL JÚNIOR, Paulo Ditarso.
FALCÃO, Eduardo de Lucena.
dc.subject.cnpq.fl_str_mv Ciência da Computação
topic Ciência da Computação
IaaS
Gerenciamento de Vulnerabilidade
Computação na Nuvem
Automação de Controles
Segurança
Safety
Automation of Controls
Cloud Computing
Vulnerability Management
IaaS
dc.subject.por.fl_str_mv IaaS
Gerenciamento de Vulnerabilidade
Computação na Nuvem
Automação de Controles
Segurança
Safety
Automation of Controls
Cloud Computing
Vulnerability Management
IaaS
description O atual cenário de segurança exige processos eficientes que correspondam ao avanço das técnicas empenhadas em ataques cibernéticos. Partindo desta perspectiva, a automação de processos é vista como alternativa para suprir a necessidade de segurança requerida nos sistemas de informação, beneficiando atividades manuais com otimizações e provendo escalabilidade. Observados os padrões de segurança ou muitas vezes legislações que exigem moldar uma postura de segurança para manutenção da privacidade de dados ou áreas específicas de atuação, a conformidade se vê presente como meio de comprovação das boas práticas implementadas. A conformidade, muitas vezes é obtida por processos de auditoria de órgãos certificadores, também pode ser alcançada pelo uso de frameworks de segurança. Dessa forma, CIS Controls V8 e NIST Cybersecurity Framework possuem controles de segurança amplamente utilizados. Definimos neste estudo como utilizar estes frameworks de segurança como base de recomendações de segurança para prover conformidade para processos de gerenciamento de vulnerabilidades. Utilizamos CIS Controls V8 para extrair palavras-chave relevantes com uso de algoritmos de aprendizado de máquina que viabilizam a descoberta de ferramentas de segurança, assim obtendo suporte a nossas implementações técnicas de cibersegurança. Operacionalizamos a conformidade com uso de métodos para mensurar a conformidade usando métricas de verificação de vulnerabilidades e cobertura de recomendações de segurança. Finalmente, agrupamos todo nosso aprendizado da operacionalização da conformidade para propor um modelo de conformidade contínua. Este modelo considera automação de processos para execução de ferramentas de verificação de vulnerabilidades para coleta de evidências de segurança sobre a arquitetura do sistema. Também são executadas as análises de vulnerabilidades nocivas à segurança com uso de nossa métrica de verificação que define a explorabilidade e o impacto relacionado aos ativos verificados em nossos processos.
publishDate 2024
dc.date.issued.fl_str_mv 2024-09-04
dc.date.accessioned.fl_str_mv 2025-03-11T18:32:10Z
dc.date.available.fl_str_mv 2025-03-11
2025-03-11T18:32:10Z
dc.type.status.fl_str_mv info:eu-repo/semantics/publishedVersion
dc.type.driver.fl_str_mv info:eu-repo/semantics/masterThesis
format masterThesis
status_str publishedVersion
dc.identifier.uri.fl_str_mv https://dspace.sti.ufcg.edu.br/handle/riufcg/40945
dc.identifier.citation.fl_str_mv SILVA, Raiff dos Santos. Automação de controles de segurança em ambientes de computação na nuvem: abordagem para conformidade contínua no gerenciamento de vulnerabilidades. 2024. 175 f. Dissertação (Mestrado em Ciência da Computação) – Programa de Pós-Graduação em Ciência da Computação, Centro de Engenharia Elétrica e Informática, Universidade Federal de Campina Grande, Paraíba, Brasil, 2024.
url https://dspace.sti.ufcg.edu.br/handle/riufcg/40945
identifier_str_mv SILVA, Raiff dos Santos. Automação de controles de segurança em ambientes de computação na nuvem: abordagem para conformidade contínua no gerenciamento de vulnerabilidades. 2024. 175 f. Dissertação (Mestrado em Ciência da Computação) – Programa de Pós-Graduação em Ciência da Computação, Centro de Engenharia Elétrica e Informática, Universidade Federal de Campina Grande, Paraíba, Brasil, 2024.
dc.language.iso.fl_str_mv por
language por
dc.rights.driver.fl_str_mv info:eu-repo/semantics/openAccess
eu_rights_str_mv openAccess
dc.publisher.none.fl_str_mv Universidade Federal de Campina Grande
dc.publisher.program.fl_str_mv PÓS-GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃO
dc.publisher.initials.fl_str_mv UFCG
dc.publisher.country.fl_str_mv Brasil
dc.publisher.department.fl_str_mv Centro de Engenharia Elétrica e Informática - CEEI
publisher.none.fl_str_mv Universidade Federal de Campina Grande
dc.source.none.fl_str_mv reponame:Biblioteca Digital de Teses e Dissertações da UFCG
instname:Universidade Federal de Campina Grande (UFCG)
instacron:UFCG
instname_str Universidade Federal de Campina Grande (UFCG)
instacron_str UFCG
institution UFCG
reponame_str Biblioteca Digital de Teses e Dissertações da UFCG
collection Biblioteca Digital de Teses e Dissertações da UFCG
bitstream.url.fl_str_mv https://dspace.sti.ufcg.edu.br/bitstream/riufcg/40945/3/RAIFF+DOS+SANTOS+SILVA+-+DISSERTA%C3%87%C3%83O+%28PPGCC%29+2024.pdf.txt
https://dspace.sti.ufcg.edu.br/bitstream/riufcg/40945/2/license.txt
https://dspace.sti.ufcg.edu.br/bitstream/riufcg/40945/1/RAIFF+DOS+SANTOS+SILVA+-+DISSERTA%C3%87%C3%83O+%28PPGCC%29+2024.pdf
bitstream.checksum.fl_str_mv d4a398c86ef2f56d63ecd99007a43652
8a4605be74aa9ea9d79846c1fba20a33
75ea94a986c277bfb7e1ba685d159608
bitstream.checksumAlgorithm.fl_str_mv MD5
MD5
MD5
repository.name.fl_str_mv Biblioteca Digital de Teses e Dissertações da UFCG - Universidade Federal de Campina Grande (UFCG)
repository.mail.fl_str_mv bdtd@setor.ufcg.edu.br || bdtd@setor.ufcg.edu.br
_version_ 1863363564261081088

Registros relacionados