SCAP

Share

|

Security Content Automation Protocol (SCAP) é um conjunto abrangente de normas que incluem a CVE, CVSS, CPE, XCCDF, de forma oval. O NIST mantém o conteúdo SCAP, que define como todos estes protocolos trabalham juntos em uma forma automatizada. Ele também contém o conteúdo de todas essas normas no NVD.

SCAP também tem um programa de validação de produtos para auxiliar na avaliação dos produtos para a compatibilidade com os diversos padrões abertos. NIST fornece descrições detalhadas das áreas de validação, abreviado aqui para lhe dar um sentido de possíveis áreas de validação:

Federal Desktop Core Configuration (FDCC) scanner: Um produto com a capacidade de auditoria e avaliar um sistema de destino, a fim de determinar a sua conformidade com os requisitos FDCC, que foram o resultado do governo E.U. OMB Memo M-07-18. Esse memorando prevê que o fornecedor de tecnologia da informação deve certificar as aplicações são totalmente funcionais e funcionam corretamente como pretendido em sistemas usando o FDCC.

• Scanner configuração autenticados: Um produto com a capacidade de auditoria e avaliar um sistema de destino para determinar a sua conformidade com um conjunto definido de requisitos de configuração usando o log do sistema-alvo de privilégios.

 

• Vulnerabilidade autenticados e scanner patch: Um produto com a capacidade de digitalizar um sistema de destino para localizar e identificar a presença de falhas de software conhecido e avaliar o status do patch de software para determinar a conformidade com uma política de correção definidos usando log do sistema-alvo sobre os privilégios.

 

• Scanner de vulnerabilidade Unauthenticated: Um produto com a capacidade de determinar a presença de falhas de software conhecido por avaliar o sistema de destino através da rede.

 

• Detecção de intrusão e sistemas de prevenção: Produtos que os sistemas ou redes para monitorar atividades não autorizadas ou mal-intencionados. Um IPS protege ativamente o sistema ou rede contra essas atividades.

 

• Patch de correção: a capacidade de instalar os patches em um sistema de destino, em conformidade com uma política definida de patch.

 

• Misconfiguration remediação: a capacidade de alterar a configuração de um sistema de destino, a fim de trazê-lo em conformidade com o definido um conjunto de recomendações de configuração.

 

• Gestão de activos: a capacidade de descobrir ativamente, auditoria e avaliar as características de ativos, incluindo equipamento e produtos licenciados; localização no interior do mundo, uma rede, ou uma empresa, a propriedade, e outras informações relacionadas a ativos de TI, tais como estações de trabalho, servidores e roteadores.

 

• Asset banco de dados: a capacidade de armazenar de forma passiva e informar sobre as características de ativos, incluindo equipamento e produtos licenciados; localização no interior do mundo, uma rede, ou uma empresa, a propriedade, e outras informações relacionadas a ativos de TI, tais como estações de trabalho, servidores e roteadores.

Banco de dados de Vulnerabilidade: Um produto que contém um catálogo de segurança, problemas de software relacionados falha marcado com AVCs, quando aplicável. Estes dados são acessíveis aos utilizadores através de um recurso de pesquisa ou de alimentação de dados e contém descrições de falhas de software, referências para informações adicionais (por exemplo, links para patches ou alertas de vulnerabilidade), e os escores de impacto.

• Misconfiguration banco de dados: Um produto que contém um catálogo de segurança, problemas de configuração relacionados marcado com AVCs, quando aplicável.

 

• Malware ferramenta: a capacidade de identificar e informar sobre a presença de vírus, cavalos de Tróia, spyware ou outros malwares no sistema alvo.

Quando um produto é avaliado e validado, é para uma ou mais dessas áreas. O status de validação de produtos é postado no site do NIST na Web pública. Sendo validado não garante a qualidade ou a confiabilidade do produto, apenas que ele atenda os critérios estabelecidos pelo programa SCAP.

---