El Protocolo de automatización de contenido de seguridad ( SCAP ) es un método para usar estándares específicos para permitir la gestión automatizada de vulnerabilidades, la medición y la evaluación del cumplimiento de políticas de los sistemas implementados en una organización, incluido, por ejemplo, el cumplimiento con FISMA (Ley Federal de Administración de Seguridad de la Información, 2002) . La base de datos nacional de vulnerabilidades (NVD) es el repositorio de contenido del gobierno de EE. UU. Para SCAP. Un ejemplo de implementación de SCAP es OpenSCAP.
Propósito
Para protegerse contra las amenazas de seguridad, las organizaciones necesitan monitorear continuamente los sistemas informáticos y las aplicaciones que han implementado, incorporar actualizaciones de seguridad al software e implementar actualizaciones a las configuraciones. El Protocolo de Automatización de Contenido de Seguridad (SCAP), pronunciado "ess-cap", pero más comúnmente como "skap", comprende una serie de estándares abiertos que se utilizan ampliamente para enumerar fallas de software y problemas de configuración relacionados con la seguridad. Las aplicaciones que realizan el monitoreo de la seguridad utilizan los estándares cuando miden los sistemas para encontrar vulnerabilidades y ofrecen métodos para calificar esos hallazgos con el fin de evaluar el posible impacto. El conjunto de especificaciones de SCAP estandariza la nomenclatura y los formatos utilizados por estos productos automatizados de gestión, medición y cumplimiento de políticas de vulnerabilidades.
Un proveedor de un escáner de configuración de sistemas informáticos puede validar su producto con SCAP, demostrando que interoperará con otros escáneres y expresará los resultados del escaneo de una manera estandarizada.
SCAP define cómo se combinan los siguientes estándares (denominados 'Componentes' de SCAP):
Componentes de SCAP
A partir de la versión 1.0 de SCAP (noviembre de 2009)
- Vulnerabilidades y exposiciones comunes (CVE)
- Enumeración de configuración común (CCE) ( sitio web anterior en MITRE )
- Enumeración de plataforma común (CPE)
- Sistema de puntuación de vulnerabilidad común (CVSS)
- Formato de descripción de lista de verificación de configuración extensible (XCCDF)
- Lenguaje abierto de evaluación y vulnerabilidad (OVAL)
A partir de la versión 1.1 de SCAP (febrero de 2011)
A partir de la versión 1.2 de SCAP (septiembre de 2011)
- Identificación de activos (AID)
- Formato de informe de activos (ARF)
- Sistema de puntuación de configuración común (CCSS)
- Modelo de confianza para datos de automatización de seguridad (TMSAD)
A partir de la versión 1.3 de SCAP (febrero de 2018)
Listas de verificación de SCAP
Las listas de verificación del Protocolo de automatización de contenido de seguridad (SCAP) estandarizan y permiten la automatización del vínculo entre las configuraciones de seguridad informática y el marco de controles de la Publicación especial 800-53 (SP 800-53) del NIST . La corriente [ ¿cuándo? ] La versión de SCAP está destinada a realizar una medición inicial y una supervisión continua de la configuración de seguridad y los controles SP 800-53 correspondientes. Es probable que las versiones futuras estandaricen y permitan la automatización para implementar y cambiar la configuración de seguridad de los controles SP 800-53 correspondientes. De esta manera, SCAP contribuye a los pasos de implementación, evaluación y monitoreo del Marco de Gestión de Riesgos del NIST. En consecuencia, SCAP forma parte integral del proyecto de implementación NIST FISMA .
Programa de validación SCAP
El programa de validación SCAP prueba la capacidad de los productos para emplear los estándares SCAP. El Programa Nacional Voluntario de Acreditación de Laboratorios del NIST (NVLAP) acredita laboratorios independientes bajo el programa para realizar validaciones SCAP.
Un proveedor que busque la validación de un producto puede comunicarse con un laboratorio de validación SCAP acreditado por NVLAP para obtener asistencia en el proceso de validación.
Un cliente que esté sujeto a los requisitos de FISMA , o quiera utilizar productos de seguridad que hayan sido probados y validados según el estándar SCAP por un laboratorio externo independiente, debe visitar la página web de productos validados por SCAP para verificar el estado del producto (s ) siendo considerado.