Automação de controles de segurança em ambientes de computação na nuvem: abordagem para conformidade contínua no gerenciamento de vulnerabilidades.
| Ano de defesa: | 2024 |
|---|---|
| Autor(a) principal: | |
| Orientador(a): | |
| Banca de defesa: | |
| Tipo de documento: | Dissertação |
| Tipo de acesso: | Acesso aberto |
| Idioma: | por |
| Instituição de defesa: |
Universidade Federal de Campina Grande
Brasil Centro de Engenharia Elétrica e Informática - CEEI PÓS-GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃO UFCG |
| Programa de Pós-Graduação: |
Não Informado pela instituição
|
| Departamento: |
Não Informado pela instituição
|
| País: |
Não Informado pela instituição
|
| Palavras-chave em Português: | |
| Link de acesso: | https://dspace.sti.ufcg.edu.br/handle/riufcg/40945 |
Resumo: | O atual cenário de segurança exige processos eficientes que correspondam ao avanço das técnicas empenhadas em ataques cibernéticos. Partindo desta perspectiva, a automação de processos é vista como alternativa para suprir a necessidade de segurança requerida nos sistemas de informação, beneficiando atividades manuais com otimizações e provendo escalabilidade. Observados os padrões de segurança ou muitas vezes legislações que exigem moldar uma postura de segurança para manutenção da privacidade de dados ou áreas específicas de atuação, a conformidade se vê presente como meio de comprovação das boas práticas implementadas. A conformidade, muitas vezes é obtida por processos de auditoria de órgãos certificadores, também pode ser alcançada pelo uso de frameworks de segurança. Dessa forma, CIS Controls V8 e NIST Cybersecurity Framework possuem controles de segurança amplamente utilizados. Definimos neste estudo como utilizar estes frameworks de segurança como base de recomendações de segurança para prover conformidade para processos de gerenciamento de vulnerabilidades. Utilizamos CIS Controls V8 para extrair palavras-chave relevantes com uso de algoritmos de aprendizado de máquina que viabilizam a descoberta de ferramentas de segurança, assim obtendo suporte a nossas implementações técnicas de cibersegurança. Operacionalizamos a conformidade com uso de métodos para mensurar a conformidade usando métricas de verificação de vulnerabilidades e cobertura de recomendações de segurança. Finalmente, agrupamos todo nosso aprendizado da operacionalização da conformidade para propor um modelo de conformidade contínua. Este modelo considera automação de processos para execução de ferramentas de verificação de vulnerabilidades para coleta de evidências de segurança sobre a arquitetura do sistema. Também são executadas as análises de vulnerabilidades nocivas à segurança com uso de nossa métrica de verificação que define a explorabilidade e o impacto relacionado aos ativos verificados em nossos processos. |
| id |
UFCG_951e0c369dd0729c9565a106dcb914b5 |
|---|---|
| oai_identifier_str |
oai:dspace.sti.ufcg.edu.br:riufcg/40945 |
| network_acronym_str |
UFCG |
| network_name_str |
Biblioteca Digital de Teses e Dissertações da UFCG |
| repository_id_str |
|
| spelling |
Automação de controles de segurança em ambientes de computação na nuvem: abordagem para conformidade contínua no gerenciamento de vulnerabilidades.Automating Security Controls in Computing Environments In the Cloud: Approach to Continuous Compliance in Cloud Management Vulnerabilities.IaaSGerenciamento de VulnerabilidadeComputação na NuvemAutomação de ControlesSegurançaSafetyAutomation of ControlsCloud ComputingVulnerability ManagementIaaSCiência da ComputaçãoO atual cenário de segurança exige processos eficientes que correspondam ao avanço das técnicas empenhadas em ataques cibernéticos. Partindo desta perspectiva, a automação de processos é vista como alternativa para suprir a necessidade de segurança requerida nos sistemas de informação, beneficiando atividades manuais com otimizações e provendo escalabilidade. Observados os padrões de segurança ou muitas vezes legislações que exigem moldar uma postura de segurança para manutenção da privacidade de dados ou áreas específicas de atuação, a conformidade se vê presente como meio de comprovação das boas práticas implementadas. A conformidade, muitas vezes é obtida por processos de auditoria de órgãos certificadores, também pode ser alcançada pelo uso de frameworks de segurança. Dessa forma, CIS Controls V8 e NIST Cybersecurity Framework possuem controles de segurança amplamente utilizados. Definimos neste estudo como utilizar estes frameworks de segurança como base de recomendações de segurança para prover conformidade para processos de gerenciamento de vulnerabilidades. Utilizamos CIS Controls V8 para extrair palavras-chave relevantes com uso de algoritmos de aprendizado de máquina que viabilizam a descoberta de ferramentas de segurança, assim obtendo suporte a nossas implementações técnicas de cibersegurança. Operacionalizamos a conformidade com uso de métodos para mensurar a conformidade usando métricas de verificação de vulnerabilidades e cobertura de recomendações de segurança. Finalmente, agrupamos todo nosso aprendizado da operacionalização da conformidade para propor um modelo de conformidade contínua. Este modelo considera automação de processos para execução de ferramentas de verificação de vulnerabilidades para coleta de evidências de segurança sobre a arquitetura do sistema. Também são executadas as análises de vulnerabilidades nocivas à segurança com uso de nossa métrica de verificação que define a explorabilidade e o impacto relacionado aos ativos verificados em nossos processos.The current security landscape demands efficient processes that correspond to the advancement of techniques employed in cyber attacks. From this perspective, process automation is seen as an alternative to meet the security needs required in information systems, benefiting manual activities with optimizations and providing scalability. Observing security standards or often legislation that require shaping a security posture for maintaining data privacy or specific areas of operation, compliance is present as a means of proving the good practices implemented. Compliance, often obtained through audit processes by certifying bodies, can also be achieved through the use of security frameworks. Thus, CIS Controls V8 and the NIST Cybersecurity Framework have widely used security controls. In this study, we define how to use these security frameworks as a basis for security recommendations to provide compliance for vulnerability management processes. We use CIS Controls V8 to extract relevant keywords with the use of machine learning algorithms that enable the discovery of security tools, thus supporting our technical cybersecurity implementations. We operationalize compliance by using methods to measure compliance using vulnerability verification metrics and security recommendation coverage. Finally, we aggregate all our learning from the operationalization of compliance to propose a continuous compliance model. This model considers process automation for the execution of vulnerability verification tools to collect security evidence about the system architecture. It also includes the analysis of vulnerabilities harmful to security using our verification metric that defines the exploitability and impact related to the assets verified in our processes.Universidade Federal de Campina GrandeBrasilCentro de Engenharia Elétrica e Informática - CEEIPÓS-GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃOUFCGBrito, Andrey Elísio Monteiro.BRITO, Andreyhttp://lattes.cnpq.br/2634324830901340GOMES, Reinaldo César de MoraisMACIEL JÚNIOR, Paulo Ditarso.FALCÃO, Eduardo de Lucena.SILVA, Raiff dos Santos2024-09-042025-03-11T18:32:10Z2025-03-112025-03-11T18:32:10Zinfo:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesishttps://dspace.sti.ufcg.edu.br/handle/riufcg/40945SILVA, Raiff dos Santos. Automação de controles de segurança em ambientes de computação na nuvem: abordagem para conformidade contínua no gerenciamento de vulnerabilidades. 2024. 175 f. Dissertação (Mestrado em Ciência da Computação) – Programa de Pós-Graduação em Ciência da Computação, Centro de Engenharia Elétrica e Informática, Universidade Federal de Campina Grande, Paraíba, Brasil, 2024.porinfo:eu-repo/semantics/openAccessreponame:Biblioteca Digital de Teses e Dissertações da UFCGinstname:Universidade Federal de Campina Grande (UFCG)instacron:UFCG2025-11-18T07:15:39Zoai:dspace.sti.ufcg.edu.br:riufcg/40945Biblioteca Digital de Teses e Dissertaçõeshttp://bdtd.ufcg.edu.br/PUBhttp://dspace.sti.ufcg.edu.br:8080/oai/requestbdtd@setor.ufcg.edu.br || bdtd@setor.ufcg.edu.bropendoar:48512025-11-18T07:15:39Biblioteca Digital de Teses e Dissertações da UFCG - Universidade Federal de Campina Grande (UFCG)false |
| dc.title.none.fl_str_mv |
Automação de controles de segurança em ambientes de computação na nuvem: abordagem para conformidade contínua no gerenciamento de vulnerabilidades. Automating Security Controls in Computing Environments In the Cloud: Approach to Continuous Compliance in Cloud Management Vulnerabilities. |
| title |
Automação de controles de segurança em ambientes de computação na nuvem: abordagem para conformidade contínua no gerenciamento de vulnerabilidades. |
| spellingShingle |
Automação de controles de segurança em ambientes de computação na nuvem: abordagem para conformidade contínua no gerenciamento de vulnerabilidades. SILVA, Raiff dos Santos IaaS Gerenciamento de Vulnerabilidade Computação na Nuvem Automação de Controles Segurança Safety Automation of Controls Cloud Computing Vulnerability Management IaaS Ciência da Computação |
| title_short |
Automação de controles de segurança em ambientes de computação na nuvem: abordagem para conformidade contínua no gerenciamento de vulnerabilidades. |
| title_full |
Automação de controles de segurança em ambientes de computação na nuvem: abordagem para conformidade contínua no gerenciamento de vulnerabilidades. |
| title_fullStr |
Automação de controles de segurança em ambientes de computação na nuvem: abordagem para conformidade contínua no gerenciamento de vulnerabilidades. |
| title_full_unstemmed |
Automação de controles de segurança em ambientes de computação na nuvem: abordagem para conformidade contínua no gerenciamento de vulnerabilidades. |
| title_sort |
Automação de controles de segurança em ambientes de computação na nuvem: abordagem para conformidade contínua no gerenciamento de vulnerabilidades. |
| author |
SILVA, Raiff dos Santos |
| author_facet |
SILVA, Raiff dos Santos |
| author_role |
author |
| dc.contributor.none.fl_str_mv |
Brito, Andrey Elísio Monteiro. BRITO, Andrey http://lattes.cnpq.br/2634324830901340 GOMES, Reinaldo César de Morais MACIEL JÚNIOR, Paulo Ditarso. FALCÃO, Eduardo de Lucena. |
| dc.contributor.author.fl_str_mv |
SILVA, Raiff dos Santos |
| dc.subject.por.fl_str_mv |
IaaS Gerenciamento de Vulnerabilidade Computação na Nuvem Automação de Controles Segurança Safety Automation of Controls Cloud Computing Vulnerability Management IaaS Ciência da Computação |
| topic |
IaaS Gerenciamento de Vulnerabilidade Computação na Nuvem Automação de Controles Segurança Safety Automation of Controls Cloud Computing Vulnerability Management IaaS Ciência da Computação |
| description |
O atual cenário de segurança exige processos eficientes que correspondam ao avanço das técnicas empenhadas em ataques cibernéticos. Partindo desta perspectiva, a automação de processos é vista como alternativa para suprir a necessidade de segurança requerida nos sistemas de informação, beneficiando atividades manuais com otimizações e provendo escalabilidade. Observados os padrões de segurança ou muitas vezes legislações que exigem moldar uma postura de segurança para manutenção da privacidade de dados ou áreas específicas de atuação, a conformidade se vê presente como meio de comprovação das boas práticas implementadas. A conformidade, muitas vezes é obtida por processos de auditoria de órgãos certificadores, também pode ser alcançada pelo uso de frameworks de segurança. Dessa forma, CIS Controls V8 e NIST Cybersecurity Framework possuem controles de segurança amplamente utilizados. Definimos neste estudo como utilizar estes frameworks de segurança como base de recomendações de segurança para prover conformidade para processos de gerenciamento de vulnerabilidades. Utilizamos CIS Controls V8 para extrair palavras-chave relevantes com uso de algoritmos de aprendizado de máquina que viabilizam a descoberta de ferramentas de segurança, assim obtendo suporte a nossas implementações técnicas de cibersegurança. Operacionalizamos a conformidade com uso de métodos para mensurar a conformidade usando métricas de verificação de vulnerabilidades e cobertura de recomendações de segurança. Finalmente, agrupamos todo nosso aprendizado da operacionalização da conformidade para propor um modelo de conformidade contínua. Este modelo considera automação de processos para execução de ferramentas de verificação de vulnerabilidades para coleta de evidências de segurança sobre a arquitetura do sistema. Também são executadas as análises de vulnerabilidades nocivas à segurança com uso de nossa métrica de verificação que define a explorabilidade e o impacto relacionado aos ativos verificados em nossos processos. |
| publishDate |
2024 |
| dc.date.none.fl_str_mv |
2024-09-04 2025-03-11T18:32:10Z 2025-03-11 2025-03-11T18:32:10Z |
| dc.type.status.fl_str_mv |
info:eu-repo/semantics/publishedVersion |
| dc.type.driver.fl_str_mv |
info:eu-repo/semantics/masterThesis |
| format |
masterThesis |
| status_str |
publishedVersion |
| dc.identifier.uri.fl_str_mv |
https://dspace.sti.ufcg.edu.br/handle/riufcg/40945 SILVA, Raiff dos Santos. Automação de controles de segurança em ambientes de computação na nuvem: abordagem para conformidade contínua no gerenciamento de vulnerabilidades. 2024. 175 f. Dissertação (Mestrado em Ciência da Computação) – Programa de Pós-Graduação em Ciência da Computação, Centro de Engenharia Elétrica e Informática, Universidade Federal de Campina Grande, Paraíba, Brasil, 2024. |
| url |
https://dspace.sti.ufcg.edu.br/handle/riufcg/40945 |
| identifier_str_mv |
SILVA, Raiff dos Santos. Automação de controles de segurança em ambientes de computação na nuvem: abordagem para conformidade contínua no gerenciamento de vulnerabilidades. 2024. 175 f. Dissertação (Mestrado em Ciência da Computação) – Programa de Pós-Graduação em Ciência da Computação, Centro de Engenharia Elétrica e Informática, Universidade Federal de Campina Grande, Paraíba, Brasil, 2024. |
| dc.language.iso.fl_str_mv |
por |
| language |
por |
| dc.rights.driver.fl_str_mv |
info:eu-repo/semantics/openAccess |
| eu_rights_str_mv |
openAccess |
| dc.publisher.none.fl_str_mv |
Universidade Federal de Campina Grande Brasil Centro de Engenharia Elétrica e Informática - CEEI PÓS-GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃO UFCG |
| publisher.none.fl_str_mv |
Universidade Federal de Campina Grande Brasil Centro de Engenharia Elétrica e Informática - CEEI PÓS-GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃO UFCG |
| dc.source.none.fl_str_mv |
reponame:Biblioteca Digital de Teses e Dissertações da UFCG instname:Universidade Federal de Campina Grande (UFCG) instacron:UFCG |
| instname_str |
Universidade Federal de Campina Grande (UFCG) |
| instacron_str |
UFCG |
| institution |
UFCG |
| reponame_str |
Biblioteca Digital de Teses e Dissertações da UFCG |
| collection |
Biblioteca Digital de Teses e Dissertações da UFCG |
| repository.name.fl_str_mv |
Biblioteca Digital de Teses e Dissertações da UFCG - Universidade Federal de Campina Grande (UFCG) |
| repository.mail.fl_str_mv |
bdtd@setor.ufcg.edu.br || bdtd@setor.ufcg.edu.br |
| _version_ |
1851784697470779392 |