SCAP


  Share  
|

Security Content Automation Protocol (SCAP) es un conjunto general de normas que incluyen CVE, CVSS, CPE, XCCDF, y Oval. El NIST mantiene el contenido de comandante supremo, que define cómo todos estos protocolos de trabajo en conjunto de manera automatizada. También incluye el contenido de todas estas normas en el NVD.

SCAP también tiene un programa de validación de productos para ayudar en la evaluación de los productos para la compatibilidad con los diversos estándares abiertos. NIST provee descripciones detalladas de las áreas de validación, abreviado aquí para dar una idea de las posibles áreas de validación:

Federal Desktop Core Configuration (FDCC) escáner: Un producto con la capacidad de auditoría y evaluación de un sistema objetivo con el fin de determinar su conformidad con los requisitos FDCC, que fueron el resultado del gobierno de EE.UU. OMB Memo M-07-18. Ese memorándum establece que el proveedor de tecnología de la información deberá certificar las aplicaciones son completamente funcionales y funcionar correctamente según lo previsto en los sistemas que utilizan el FDCC.

  • Configuración del escáner autenticados: Un producto con la capacidad de auditoría y evaluación de un sistema objetivo para determinar su conformidad con un conjunto definido de las necesidades de configuración mediante el registro del sistema de objetivos en los privilegios.

 

  • Vulnerabilidad autenticados y escáner parche: Es un producto con la posibilidad de escanear un sistema objetivo de localizar e identificar la presencia de defectos de software conocido y evaluar el estado de los parches de software para determinar el cumplimiento de una política de parches definidos mediante registro del sistema de objetivos en los privilegios.

 

  • Escáner de vulnerabilidades no autenticados: Un producto con la capacidad para determinar la presencia de defectos de software conocida por la evaluación del sistema de destino en la red.

 

  • Detección de intrusiones y sistemas de prevención: los productos que los sistemas de seguimiento o redes para actividades no autorizadas o maliciosas. Un IPS protege activamente el sistema de destino o de la red contra estas actividades.

 

  • De remediación Patch: La capacidad de instalar los parches en un sistema objetivo en el cumplimiento de una política de parches definidos.

 

  • La configuración errónea de rehabilitación: La habilidad de alterar la configuración de un sistema objetivo con el fin de ponerla en conformidad con un conjunto definido de las recomendaciones de configuración.

 

  • Gestión de activos: La capacidad de descubrir activamente, auditoría, y evaluar las características de los activos, incluida la instalación y licencia de productos, la ubicación en el mundo, una red, o una empresa; la propiedad, y otra información relacionada sobre los activos de TI, tales como estaciones de trabajo, servidores y routers.

 

  • Base de datos de activos: La capacidad para almacenar de forma pasiva y el informe sobre las características de los activos, incluida la instalación y licencia de productos, la ubicación en el mundo, una red, o una empresa; la propiedad, y otra información relacionada sobre los activos de TI, tales como estaciones de trabajo, servidores y enrutadores.

Base de datos de vulnerabilidad: un producto que contiene un catálogo de cuestiones de seguridad relacionadas con el software falla etiquetados con CVEs en su caso. Esta información es accesible a los usuarios a través de una capacidad de búsqueda o un pienso de datos y contiene descripciones de defectos de software, las referencias a información adicional (por ejemplo, enlaces a los parches o advertencias de vulnerabilidad), y los resultados de impacto.

  • Base de datos de configuración errónea: Un producto que contiene un catálogo de seguridad, problemas de configuración relacionados con la etiqueta CVEs en su caso.

 

  • Herramienta de malware: La capacidad para identificar e informar sobre la presencia de virus, troyanos, spyware u otro malware en un sistema de destino.

Cuando un producto es evaluado y validado, es para uno o más de estas áreas. El estado de la validación de los productos es publicado en el sitio Web público del NIST. Que se está validando no garantiza la calidad o la fiabilidad del producto, sólo que cumple con los criterios establecidos por el programa de comandante supremo.

un artículo presentado por Matei Ionov

Share  
© 2005-2010 E-articles.info All Rights Reserved - Terms and conditions