Protocolo de automatización de contenido de seguridad

Conjunto de especificaciones de intercambio de información de seguridad.

El Protocolo de automatización de contenidos de seguridad ( SCAP ) es un método para utilizar estándares específicos para permitir la gestión automatizada de vulnerabilidades, la medición y la evaluación del cumplimiento de políticas de los sistemas implementados en una organización, incluido, por ejemplo, el cumplimiento de FISMA (Ley Federal de Gestión de Seguridad de la Información, 2002) . La Base de datos nacional de vulnerabilidad (NVD) es el depósito de contenidos del gobierno de EE. UU. para SCAP. Un ejemplo de implementación de SCAP es OpenSCAP. SCAP es un conjunto de herramientas que se han compilado para que sean compatibles con varios protocolos para cosas como gestión de configuración, requisitos de cumplimiento, fallas de software o parches de vulnerabilidades. La acumulación de estos estándares proporciona un medio para que los datos se comuniquen entre humanos y máquinas de manera eficiente. El objetivo del marco es promover un enfoque comunitario para la implementación de mecanismos de seguridad automatizados que no estén monopolizados. ^[1]

Objetivo

Para protegerse contra las amenazas a la seguridad, las organizaciones necesitan monitorear continuamente los sistemas informáticos y las aplicaciones que han implementado, incorporar actualizaciones de seguridad al software e implementar actualizaciones en las configuraciones. El Protocolo de automatización de contenidos de seguridad (SCAP), pronunciado "ess-cap", ^[2] pero más comúnmente como "skap" comprende una serie de estándares abiertos que se utilizan ampliamente para enumerar fallas de software y problemas de configuración relacionados con la seguridad. Las aplicaciones que realizan monitoreo de seguridad utilizan los estándares al medir los sistemas para encontrar vulnerabilidades y ofrecen métodos para calificar esos hallazgos con el fin de evaluar el posible impacto. El conjunto de especificaciones SCAP estandariza la nomenclatura y los formatos utilizados por estos productos automatizados de gestión, medición y cumplimiento de políticas de vulnerabilidades.

Listas de verificación SCAP

Las listas de verificación del Protocolo de automatización de contenido de seguridad (SCAP) estandarizan y permiten la automatización del vínculo entre las configuraciones de seguridad informática y el marco de controles de la Publicación especial 800-53 (SP 800-53) del NIST . Desde 2018, la versión 1.3 de SCAP está destinada a realizar mediciones iniciales y monitoreo continuo de la configuración de seguridad y los controles SP 800-53 correspondientes. Es probable que las versiones futuras estandaricen y permitan la automatización para implementar y cambiar la configuración de seguridad de los controles SP 800-53 correspondientes. De esta manera, SCAP contribuye a los pasos de implementación, evaluación y seguimiento del Marco de Gestión de Riesgos del NIST. En consecuencia, SCAP forma parte integral del proyecto de implementación NIST FISMA.

Programa de Validación SCAP

El Programa de Validación SCAP prueba la capacidad de los productos para emplear estándares SCAP. El Programa Nacional Voluntario de Acreditación de Laboratorios (NVLAP) del NIST acredita laboratorios independientes bajo el programa para realizar validaciones SCAP. Un proveedor de un escáner de configuración de sistemas informáticos puede validar su producto con SCAP, demostrando que interoperará con otros escáneres y expresará los resultados del escaneo de forma estandarizada. Los proveedores que buscan la validación de un producto pueden comunicarse con un laboratorio de validación SCAP acreditado por NVLAP para obtener ayuda en el proceso de validación.

Un cliente que esté sujeto a los requisitos de FISMA , o que desee utilizar productos de seguridad que hayan sido probados y validados según el estándar SCAP por un laboratorio externo independiente, debe visitar la página web de productos validados por SCAP para verificar el estado de los productos. ) siendo considerado.

Componentes SCAP

SCAP define cómo se combinan los siguientes estándares (denominados 'Componentes' de SCAP): A partir de la versión 1.0 de SCAP (noviembre de 2009)

• Vulnerabilidades y exposiciones comunes (CVE)
• Enumeración de configuración común (CCE) (sitio web anterior en MITRE)
• Enumeración de plataforma común (CPE)
• Sistema de puntuación de vulnerabilidad común (CVSS)
• Formato de descripción de lista de verificación de configuración extensible (XCCDF)
• Lenguaje abierto de evaluación y vulnerabilidad (OVAL)

A partir de SCAP versión 1.1 (febrero de 2011)

• Lenguaje interactivo de lista de verificación abierta (OCIL) versión 2.0

A partir de SCAP versión 1.2 (septiembre de 2011)

• Identificación de Activos (AID)
• Formato de informe de activos (ARF)
• Sistema de puntuación de configuración común (CCSS)
• Modelo de confianza para datos de automatización de seguridad (TMSAD)

A partir de SCAP versión 1.3 (febrero de 2018)

• Etiquetas de identificación de software (SWID)

Referencias

1. División de Seguridad Informática, Laboratorio de Tecnología de la Información (7 de diciembre de 2016). "Protocolo de automatización de contenidos de seguridad | CSRC | CSRC". CSRC | NIST . Consultado el 15 de enero de 2024 .
2. Radack, Shirley; Kuhn, Rick (4 de febrero de 2011). "Gestión de la seguridad: el protocolo de automatización de contenidos de seguridad". Profesional de TI . 13 (1): 9-11. doi :10.1109/MITP.2011.11. ISSN  1520-9202. S2CID  5344382.

enlaces externos

• Sitio web del Protocolo de automatización de contenido de seguridad
• Sitio web de la base de datos nacional de vulnerabilidad
• Sitio web de Mitre "Haciendo Medible la Seguridad"
• Búsqueda SCAP