Security Content Automation Protocol
Security Content Automation Protocol ( SCAP ) är en metod för att använda specifika standarder för att möjliggöra automatiserad sårbarhetshantering, mätning och utvärdering av policyefterlevnad av system som används i en organisation, inklusive t.ex. FISMA (Federal Information Security Management Act, 2002) . National Vulnerability Database (NVD) är den amerikanska regeringens innehållsförråd för SCAP. Ett exempel på en implementering av SCAP är OpenSCAP.
Syfte
För att skydda sig mot säkerhetshot måste organisationer kontinuerligt övervaka de datorsystem och applikationer de har distribuerat, införliva säkerhetsuppgraderingar av programvara och distribuera uppdateringar av konfigurationer. Security Content Automation Protocol (SCAP), uttalad "ess-cap", men oftast som "skap" omfattar ett antal öppna standarder som används allmänt för att räkna upp mjukvarubrister och konfigurationsproblem relaterade till säkerhet. Applikationer som utför säkerhetsövervakning använder standarderna när de mäter system för att hitta sårbarheter och erbjuder metoder för att poängsätta dessa resultat för att utvärdera den möjliga effekten. SCAP-sviten med specifikationer standardiserar nomenklaturen och formaten som används av dessa automatiska produkter för sårbarhetshantering, mätning och policyefterlevnad.
En leverantör av en skanner för datorsystemkonfiguration kan få sin produkt validerad mot SCAP, vilket visar att den kommer att samverka med andra skannrar och uttrycka skanningsresultaten på ett standardiserat sätt.
SCAP definierar hur följande standarder (kallade SCAP 'Komponenter') kombineras:
SCAP-komponenter
Börjar med SCAP version 1.0 (november 2009)
- Common Vulnerabilities and Exposures (CVE)
- Common Configuration Enumeration (CCE) ( tidigare webbplats på MITER )
- Common Platform Enumeration (CPE)
- Common Vulnerability Scoring System (CVSS)
- Extensible Configuration Checklist Description Format (XCCDF)
- Open Vulnerability and Assessment Language (OVAL)
Börjar med SCAP version 1.1 (februari 2011)
Börjar med SCAP version 1.2 (september 2011)
- Asset Identification (AID)
- Asset Reporting Format (ARF)
- Common Configuration Scoring System (CCSS)
- Trust Model for Security Automation Data (TMSAD)
Börjar med SCAP version 1.3 (februari 2018)
SCAP checklistor
Checklistor för Security Content Automation Protocol (SCAP) standardiserar och möjliggör automatisering av kopplingen mellan datorsäkerhetskonfigurationer och NIST Special Publication 800-53 (SP 800-53) kontrollramverk. Den nuvarande [ när? ] versionen av SCAP är avsedd att utföra initial mätning och kontinuerlig övervakning av säkerhetsinställningar och motsvarande SP 800-53 kontroller. Framtida versioner kommer sannolikt att standardisera och möjliggöra automatisering för implementering och ändring av säkerhetsinställningar för motsvarande SP 800-53-kontroller. På detta sätt bidrar SCAP till implementeringen, bedömningen och övervakningsstegen av NIST Risk Management Framework. implementeringsprojektet NIST FISMA .
SCAP-valideringsprogram
SCAP Validation Program testar produkters förmåga att använda SCAP-standarder. NIST National Voluntary Laboratory Accreditation Program (NVLAP) ackrediterar oberoende laboratorier under programmet för att utföra SCAP-valideringar.
En leverantör som söker validering av en produkt kan kontakta ett NVLAP-ackrediterat SCAP-valideringslaboratorium för hjälp med valideringsprocessen.
En kund som omfattas av FISMA -kraven, eller vill använda säkerhetsprodukter som har testats och validerats enligt SCAP-standarden av ett oberoende tredje parts laboratorium, bör besöka webbsidan för SCAP-validerade produkter för att verifiera produktens/produkternas status ) övervägs.
externa länkar
- Webbplats för Security Content Automation Protocol
- National Vulnerability Database webbplats
- Mitre "Making Security Measurable" webbplats
- SCAP-sökning
| Myndighetskontroll : Nationella bibliotek |
|---|
