Common Criteria es una forma independiente de evaluar que un producto / herramienta / dispositivo de seguridad realmente hace lo que el proveedor dice que hace.
La certificación CC no garantiza que el producto / herramienta / dispositivo sea seguro, eso depende de la implementación, pero sí muestra que las afirmaciones del proveedor son ciertas.
CC está en desacuerdo con la filosofía y los modelos de desarrollo detrás del código abierto: la certificación es larga y costosa, y se presta al desarrollo tradicional en cascada. Entonces, en ciertas áreas no tener certificación CC no es necesariamente algo malo.
- Cómo proteger mi dispositivo de ser pirateado
- ¿Por qué las 'herramientas de craqueo de software' aparentemente inofensivas son marcadas como malware por los programas antivirus?
- ¿Cuál es el mejor enfoque para la prueba de lápiz de caja negra?
- ¿Cómo conseguiste tu primer trabajo de piratería, o en la misma industria?
- ¿Cuál es el alcance de las pruebas de penetración y seguridad en India?
Dicho esto, si está comprando equipos de red, probablemente debería asegurarse de que tenga la certificación CC. ¿Por qué?
- Es un poco de equipo que tiene que cumplir algunas funciones específicas. CC es una forma de verificar las afirmaciones del proveedor y asegurarse de que hace lo que dice en la lata
- Si un proveedor ha enviado su producto para la evaluación CC y lo ha certificado, entonces * también * debe tener una implementación de referencia o instrucciones sobre cómo implementar el producto de manera segura.
- Para el hardware de red COTS (comercial en el mercado) y el software que se ejecuta en él, el modelo de desarrollo y prueba se adapta bien a cómo funciona el proceso CC: la certificación agrega valor allí debido a esto.
- Es una buena forma de eliminar a los vendedores. Digamos que es un cuadro DPI (inspección profunda de paquetes). El proveedor hace algunas afirmaciones sobre el cifrado utilizado para proteger la consola de administración. Es poco probable que tenga el tiempo o los recursos para verificar esos reclamos; sin embargo, si son falsos y alguien puede robar las credenciales de administrador a ese cuadro, su red estará abierta de par en par. Por lo tanto, tener un tercero que pueda evaluar esas afirmaciones es útil
- Si está comprando un kit de red, comprará soporte. Si el vendedor no ha enviado su kit para la evaluación CC, ¿por qué no? ¿Les faltan los recursos? ¿O sus cosas no funcionan? Cosas que debe saber antes de conectar el equipo que podría funcionar durante más de 5 años en su red, con costosas tarifas de soporte.
No creo que CC sea útil en todas las áreas: Windows 2000 obtuvo la certificación CC y ese no era el mejor sistema operativo, pero para cosas como dispositivos, sistemas integrados y hardware, creo que es algo útil y sospecharía de un vendedor en esas áreas, vendiendo equipo de seguridad, que no lo tenía.