Das Security Content Automation Protocol (SCAP) ist eine Methode für die Verwendung bestimmter Standards zur automatisierten Vulnerability-Management-, Mess-und Policy-Compliance Auswertung zu ermöglichen (z.B. FISMA Compliance). Die National Vulnerability Database (NVD) ist die US-Regierung Content Repository für SCAP.
Zweck
Die Security Content Automation Protocol (SCAP), ausgesprochen "ess-kap", kombiniert eine Reihe von offenen Standards die verwendet werden um Software-Fehler und Konfigurationsprobleme in Bezug auf Sicherheit darzustellen. Sie messen Systeme um Schwachstellen zu finden, und bieten Methoden um mögliche Auswirkungen zu bewerten. Es ist eine Methode zum Einsatz offener Standards für die automatisierte Auswertung von Schwachstellenmanagement, Datenerfassung und Einhaltung der Regeln. SCAP definiert, wie die folgenden Standards (bezeichnet als SCAP 'Komponenten') kombiniert sind:
SCAP Komponenten
- Common Vulnerabilities and Exposures (CVE)
- Common Configuration Enumeration (CCE)
- Common Platform Enumeration (CPE)
- Common Vulnerability Scoring System (CVSS)
- Extensible Configuration Checklist Description Format (XCCDF)
- Open Vulnerability and Assessment Language (OVAL)
Starting with SCAP version 1.1
Starting with SCAP version 1.2
- Asset Identification
- Asset Reporting Format (ARF)
- Common Configuration Scoring System (CCSS)
- Trust Model for Security Automation Data (TMSAD)
SCAP Checklisten
SCAP Checklisten normieren und automatisieren die Abbildung von Sicherheitsmaßnahmen wie NIST Special Publication 800-53 (SP 800-53) auf die Konfiguration von Systemen. Die aktuelle Version von SCAP soll die initiale Bewertung und fortlaufende Überwachung von Sicherheitseinstellungen und der entsprechenden Sicherheitsmaßnahmen durchführen. Zukünftige Versionen werden wahrscheinlich die automatisierte Umsetzung und Änderung der Sicherheitseinstellungen von Sicherheitsmaßnahmen standardisieren. Auf diese Weise trägt SCAP zur Umsetzung, Bewertung und Überwachung Schritte des NIST Risk Management Framework. Dementsprechend ist SCAP ein integraler Bestandteil des NIST FISMA Projekts.
SCAP Validation Program
Sicherheitsprogramme, die vom NIST beaufsichtigt werden, haben ihren Fokus auf der Zusammenarbeit mit der Regierung und der Industrie im Bereich sichere Systeme und Netzwerke. Dafür werden Security Assessment Tools, Techniken, Dienstleistungen und Unterstützung von Programmen für Test, Evaluierung und Validierung gefördert. Folgende Bereiche werden adressiert:
- Entwicklung und Pflege der Metriken
- Bewertungskriterien und Evaluierungsmethoden für IT-Sicherheit
- Tests und Prüfverfahren
- Kriterien für die Akkreditierung von Prüfstellen
- Leitlinien für die Verwendung der geprüften Produkte
- Forschung zu Qualitätssicherung und systemweiter Sicherheits-und Bewertungsmethoden
- Überprüfung von Sicherheitsprotokollen
- Koordinierung mit Normungsgremien und Industrieorganisationen bei Bewertungsmethoden
# scap_labs Unabhängige Prüfstellen sichern dem Anwender, dass das Produkt den NIST Spezifikationen entspricht. Die SCAP Standards können sehr komplex sein und mehrere Konfigurationen müssen für jede Komponente und Funktion getestet werden, um sicherzustellen, dass das Produkt die Anforderungen erfüllt. Durch National Voluntary Laboratory Accreditation Program (NVLAP)) akkreditierte Prüfstellen bieten die Gewissheit, dass Produkte gründlich überprüft wurden und den Anforderungen entsprechen.
Ein Kunde, der den Anforderungen des FISMA unterworfen ist, oder Produkte verwendet will, die nach dem SCAP-Standard durch eine verwenden/scapproducts.cfm#scap_labs unabhängige Prüfstelle getestet und validiert wurden, sollten die SCAP validierten Produkte Webseite besuchen, um den Status des Produkts zu überprüfen.