1 ISAlliance SCAP VoIP Project Update 12 June 2009 Lawrence G - PowerPoint PPT Presentation

1

ISAlliance SCAP VoIP Project Update 12 June 2009 Lawrence G Dobranski, CISSP-ISSAP, CISM, CSSLP Leader, Security Architecture & Compliance Carrier VoIP and Applications Solutions Nortel ldobran@nortel.com (613) 763-6866 BUSINESS MADE SIMPLE 2

Agenda • ISA VoIP Proposal & Status Snapshot • Schedule, Deliverables & Status • Scope & Objective Statement • Resources • Next Steps • Program Meeting Schedule • Technical Working Groups Meeting • Backup • VoIP Security Standards • Participants from Industry • Participants from Government 3

ISAlliance VoIP Proposal & Status Snapshot • To ¡lead ¡and ¡influence ¡the ¡development ¡of ¡industry ¡based ¡SCAP ¡ checklists ¡for ¡Voice ¡and ¡VoIP ¡Security ¡for ¡Government, ¡CriAcal ¡ Infrastructure ¡and ¡Enterprises ¡ (approved ¡Feb ¡2008 ¡ISAlliance ¡ BoD ¡Mee9ng) ¡ • ¡VoIP ¡Security ¡ImplementaAon ¡and ¡Assurance ¡Workshop ¡held ¡@ ¡ NIST ¡ (complete, ¡Sept ¡22 nd ¡-­‑-­‑ ¡23 rd , ¡2008) ¡ • SCAP ¡Voice ¡and ¡VoIP ¡Checklists: ¡ • Phase ¡I ¡– ¡ reports ¡due ¡Security ¡Autma9on ¡Conference ¡Oct ¡2009 ¡ • Applicability ¡of ¡SCAP ¡to ¡VoIP ¡ • Baseline ¡Standards ¡ • Phase ¡II ¡-­‑-­‑ ¡ proposed ¡ • Based ¡on ¡current ¡industry ¡standards ¡for ¡Voice ¡and ¡VoIP ¡Security ¡ • Developed ¡by ¡a ¡joint ¡Government/Industry ¡working ¡groups ¡ 4

Scope, Objective & Deliverables • Objective: The development of industry based Baseline SCAP checklists for Voice and VoIP Security for Government, Critical Infrastructure and Enterprises • Scope: SCAP Voice and VoIP Checklists • Based on current industry standards for Voice and VoIP Security • Developed by a joint Government/Industry working group • Deliverables: • Policy Checklists for VoIP Security ( XCCDF based) • XML format standardized checklist representing VoIP Security Policy: • CPE – Platform – reference platform configuration based on source VoIP Security standards • CCE – Miss configuration – reference configuration for VoIP systems • CVSS – Impact – reference framework for characteristics and impacts for vulnerabilities in VoIP Systems • Schema for VoIP Systems (OVAL based) • XML format specifying vulnerability and configuration tests or changes • A collection of XML schema for representing VoIP Solution system information, expressing specific machine states, and reporting the results of an assessment • Reference implementation for VoIP Systems • API Reference Implementation • Reference implementation API for VoIP System Vendors, utilizing management, signaling and media plan model. • VoIP Solution vendors will implement specific interpretations of the ISAlliance deliverables for their solutions. 5

Schedule, Deliverables & Status Event ¡ Plan ¡ Status ¡ Kick-­‑off ¡meeAng ¡with ¡NIST ¡to ¡ • July ¡2008 ¡ ¡ ü Complete ¡ present ¡ISA ¡Proposal ¡& ¡iniAal ¡ parAcipants ¡ Jointly ¡host ¡with ¡NIST ¡a ¡ VoIP ¡ • Proposed ¡agenda ¡end ¡of ¡July ¡ ü At ¡NIST’s ¡ 4th ¡Annual ¡ Security ¡Implementa3on ¡and ¡ 2008 ¡ Informa3on ¡Security ¡ Assurance ¡Workshop ¡to ¡discuss ¡the ¡ • Key ¡parAcipants ¡IDed ¡mid ¡ Automa3on ¡Conference ¡ applicability ¡of ¡SCAP ¡to ¡VoIP ¡and ¡to ¡ August ¡2008 ¡ (Sept ¡22nd ¡– ¡23rd ¡) ¡ establish ¡the ¡need ¡for ¡a ¡SCAP ¡ • Event ¡Oct ¡2008 ¡ ü ¡ISAlliance ¡presented ¡at ¡the ¡ checklist ¡for ¡VoIP ¡ developed ¡by ¡ conference ¡ ¡ industry . ¡ ü ISAlliance ¡hosted ¡a ¡day ¡long ¡ workshop ¡on ¡the ¡ applicability ¡of ¡SCAP ¡to ¡VoIP ¡ ISA ¡lead ¡working ¡groups ¡formed ¡to: ¡ • Bi-­‑weekly ¡virtual ¡meeAngs ¡ 1) ¡assess ¡applicability ¡of ¡SCAP ¡to ¡ • Reports ¡complete ¡end ¡August ¡ VoIP, ¡2) ¡to ¡determine ¡appropriate ¡ ¡ 2009 ¡ reference ¡standards ¡ • Reports ¡to ¡be ¡presented ¡at ¡ 5th ¡ Annual ¡Informa3on ¡Security ¡ Automa3on ¡Conference ¡(Sept ¡ 2009) ¡ 6

SCAP Applicability Working Group • Status: Green • Accomplishments To Date: • Defined Scope of Effort (Basic VoIP Service) Just Voice, Just SIP, No SIP-trunking, No Voicemail • Defined Reference VoIP System • Near Term Work Plan (Due 7/4): • Conduct TRA on Reference VoIP System • Produce Control Matrix base on SP 800-53 • Longer Term Work Plan: • Develop Future Applicability Roadmap (Due 7/18) • Draft Whitepaper (Due 8/10) • Produce Presentation (Due 8/31) • Virtual Meetings: • meets every 2 nd Tuesday @ 1:00 PM Eastern for 1 hour • Leadership: • Chaired by Paul Sand, President of Salare Security 7

SCAP Baseline Working Group • Status: Yellow • Accomplishments To Date: • SCAP 101 and 102 presented • Near Term Work Plan (Due 7/4): • Strawman work plan developed • Longer Term Work Plan: • Draft Whitepaper (Due 8/10) • Produce Presentation (Due 8/31) • Virtual Meetings: • Meets every 2nd Thursday @ 1:00 PM Eastern for 1 hour • Leadership • Co chair (1): Scott Armstrong, VP at Gideon Technologies • Co chair (2): TBD 8

Detailed Schedule • Technical Working Group Meetings: • 1 hour duration • Applicability Working Group meets every 2 nd Tuesday @ 1:00 PM Eastern • Baseline Working Group meets every 2 nd Thursday @ 1:00 PM Eastern • Applicability & Baseline Working Groups meet in the same week 9

Participants • Agilent Technologies, Inc. • Joint Task Force-Global Network Operations • American Century Investments • Jones Day • Assuria Ltd. • Lone Star College System • AT&T • ManTech • Boeing • McAfee • Center For Internet Security • Microsoft • City of Seattle • NASA • CNA Insurance • National Security Agency • Compliance Collaborators, Inc. • Nortel Networks • Damac Holding • Northrop Grumman • Department of Commerce • Oklahoma Office of State Finance • Department of Veterans Affairs • Palindrome Technologies • DHS • Pearl Technology • Direct Computer Resources • Raytheon • Disney • RedSeal • DoD • Rolls Royce • eTrade Financial • Salare Security • EWA-Canada • Science Applications International Corporation (SAIC) • Expedia • Secure Acuity Networks, LLC • FDA • Time Warner Cable • Gideon Technologies • US Department of Transportation • Global UniDocs Company • US-CERT • HSBC North America • Vanguard • IBM • VeriSign • ICSAlabs, an Independent Division of Verizon Business • VoIPshield Systems Inc. • Information Security and Forensics Management Team • Waters Edge Consulting • Institute for Defense Analyses • Invensys Process Systems 10

Backup BUSINESS MADE SIMPLE 11

Communications Tools -- collaboration site To join contact Barry Foer: bfoer@isalliance.org 12

13