当提到安全内容自动化协议(SCAP)时,人们会有许多问题。在上一部分《掌握SCAP NIST指南 使用SCAP工具自动维护安全(上)》中,我们重点介绍了SCAP的概念,功能和作用。本文我们将介绍企业应该如何企业如何利用SCAP。 企业如何利用SCAP? 根据NIST,想要利用SCAP工具(英文网站有pdf下载)的企业应该遵守下列公开建议: 使用SCAP表述的安全配置检查列表自动改善和监控系统安全。
SCAP表述的检查列表会帮助你自动产生评估和规则遵从证据,该列表可以从上述国家检查列表程序网站上下载。然而,值得注意的是,目前的SCAP版本不能修复或者修改实际配置与检查列表之间的任何不同,这……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
当提到安全内容自动化协议(SCAP)时,人们会有许多问题。在上一部分《掌握SCAP NIST指南 使用SCAP工具自动维护安全(上)》中,我们重点介绍了SCAP的概念,功能和作用。本文我们将介绍企业应该如何企业如何利用SCAP。
企业如何利用SCAP?
根据NIST,想要利用SCAP工具(英文网站有pdf下载)的企业应该遵守下列公开建议:
- 使用SCAP表述的安全配置检查列表自动改善和监控系统安全。SCAP表述的检查列表会帮助你自动产生评估和规则遵从证据,该列表可以从上述国家检查列表程序网站上下载。然而,值得注意的是,目前的SCAP版本不能修复或者修改实际配置与检查列表之间的任何不同,这个功能未来会在SCAP工具中出现,目前在某些专用应用程序中已经出现。
- 充分利用SCAP的优势,验证你的系统是否遵从那些源自命令、标准和指导方针的高级安全要求,比如说FDCC。这还可以帮助企业更好地为FISMA审计做准备。
- 使用标准化的SCAP标识、标志符和产品名称,比如通用漏洞批漏(CVE)、通用安全配置标识(CCE)和通用平台标识(CPE)等命名方法。换句话说,使用一种通用语言可以让漏洞或者批漏描述使用相同的术语,参考相同的MITRE CVE/CCE/CPE数据库。当企业之间进行对话、企业遇到安全相关的软件缺陷、安全配置问题和平台时,可以更好地理解系统漏洞和受影响的配置。
- 结合通用漏洞评分系统(CVSS),CVE以及CPE,你可以利用SCAP进行大量重复的漏洞测试和评分。因为SCAP能够在分析中提供某些评分,所以你可以利用这些分数来画出并确立各种趋势,进行比较等等。
- 获得并使用通过SCAP验证的产品。美国联邦结构和那些支持美国政府机构的公司必须使用通过SCAP验证的FDCC扫描器,以便进行FDCC遵从测试和评估。
值得注意的是,NIST还确立了SCAP产品验证程序和一个国家志愿者实验室鉴定程序(NVLAP)。这些程序用来确保SCAP产品能够得到有效的测试和验证,以满足SCAP要求。NIST还建立了一个鉴定实验室以及通过验证的产品列表。图3显示了目前已经通过验证的产品。
图3:已通过SCAP验证的产品(示例)
- 开发软件或安全检查列表时,采用SCAP并利用它的能力,从而证明了该软件具有评估基本软件配置的能力,而不是依靠更加昂贵的手动检查或者专用检查机制。
除了上述NIST SP 800-117建议,NIST计算机科学家和项目经理Karen Scarfone还编写了一个非常好的SCAP概述(.pdf),这篇文章指出了SCAP的一般用法,列举如下:
- 进行安全配置验证:你可以把SCAP表述的检查列表与系统实际配置相比较。你可以在实际部署之前用这些检查列表验证并审计一个系统。而且,你用检查列表还可以把个人系统设置映射到高级别的要求上,比如FDCC,等等。
- 检查系统是否有安全入侵迹象:如果你知道攻击的特点,你就可以检查被更改过的文件或者检查是否存在恶意服务软件。比如,如果你知道攻击更改了某个.dll文件,你可以对相关文件进行检查,看是否有任何改动。
优点
SCAP正在向前发展和贯彻执行,其主要原因是来自美国管理和预算办公室的联邦命令。人们正在采用SCAP v1.0,而且SCAP产品正在NIST认可的实验室中进行开发和测试。Karen Scarfone表示,当时预计1.1版在2010年年底出现,而1.2版的规范已经在进行审查。
企业使用SCAP的潜在好处是什么?这里列出了几项:
- 使用SCAP,你可以增加自动化程度、减少手动努力获得评估结果、决定所需要的整改措施,因此可以节省大量成本。
- 由于你使用的是SCAP规定的通用语言,因此你的结果肯定是XML编码,那么你就可以更容易地与其他SCAP系统用户进行交流。此外,安全企业之间的设置问题就可以进行比较,因为漏洞都是用同样的规律(CVSS,CVE和CPE)描述。
- 使用通过SCAP验证的产品,企业可以更好地为FDCC审计做准备。
- SCAP内容的一个主要好处是能够建立和修改自己的检查列表。你没有义务只使用FDCC/USGCB一种内容,除非你要遵守政府的命令。
我想我们将来会听到更多关于SCAP的执行情况,而且,随着新版协议的发布,自动化安全过程也会带来更多好处。
美国政府配置基准(USGCB)将是FDCC的继任者,它将包含Win7以及其他的操作系统,比如Red Hat,Solaris等等(当他们的内容最终确定以后)。USGCB预计会融合到SCAP 1.1中。
作者
翻译
相关推荐
-
抢先看:DHS和NIST发布IoT安全指南
在一系列利用IoT设备默认安全设置的大规模分布式拒绝服务攻击发生后,美国两个政府机构发布了有关IoT安全的安全指导文件……
-
做好觉悟了吗?弃用短信双因素身份验证!
美国国家标准技术研究所(NIST)计划弃用基于短信的双因素身份验证,而专家表示,这种改变早该进行了。
-
下一代安全工具:SHA-3
美国国家标准与技术研究所(NIST)在今年8月公布了安全哈希算法3(Secure Hash Algorithm-3,SHA-3),并称其为保护电子信息完整性的下一代安全工具。那么,它会是吗?
-
NIST SP800-82:ICS指南的发展史(二)
SP800-82系列的发展是怎样的?修订版2已经出来,但800-82是从何而来?是谁的想法带来了这一系列非常有用的指南?是什么在推动NIST专注于ICS安全性?