Security Content Automation Protocol

Das Security Content Automation Protocol (SCAP) ist eine Methode für die Verwendung bestimmter Standards zur automatisierten Vulnerability-Management-, Mess- und Policy-Compliance-Auswertung (z. B. FISMA Compliance). Die National Vulnerability Database (NVD) ist das Content-Repository der US-Regierung für SCAP.

Das Security Content Automation Protocol (SCAP), ausgesprochen „ess-kap“, kombiniert eine Reihe von offenen Standards, die verwendet werden, um Software-Fehler und Konfigurationsprobleme in Bezug auf Sicherheit darzustellen. Sie messen Systeme, um Schwachstellen zu finden, und bieten Methoden, um mögliche Auswirkungen zu bewerten. Es ist eine Methode zum Einsatz offener Standards für die automatisierte Auswertung von Schwachstellenmanagement, Datenerfassung und Einhaltung der Regeln. SCAP definiert, wie die folgenden Standards (bezeichnet als SCAP-Komponenten) kombiniert sind:

• Common Vulnerabilities and Exposures (CVE)
• Common Configuration Enumeration (CCE)
• Common Platform Enumeration (CPE)
• Common Vulnerability Scoring System (CVSS)
• Extensible Configuration Checklist Description Format (XCCDF)
• Open Vulnerability and Assessment Language (OVAL)

Ab SCAP Version 1.1

• Open Checklist Interactive Language (OCIL) Version 2.0

Ab SCAP Version 1.2

• Asset Identification
• Asset Reporting Format (ARF)
• Common Configuration Scoring System (CCSS)
• Trust Model for Security Automation Data (TMSAD)

SCAP-Checklisten normieren und automatisieren die Abbildung von Sicherheitsmaßnahmen wie NIST Special Publication 800-53 (SP 800-53) auf die Konfiguration von Systemen. Die aktuelle Version von SCAP soll die initiale Bewertung und fortlaufende Überwachung von Sicherheitseinstellungen und der entsprechenden Sicherheitsmaßnahmen durchführen. Zukünftige Versionen werden wahrscheinlich die automatisierte Umsetzung und Änderung der Sicherheitseinstellungen von Sicherheitsmaßnahmen standardisieren. Auf diese Weise trägt SCAP zur Umsetzung, Bewertung und Überwachung Schritte des NIST Risk Management Framework. Dementsprechend ist SCAP ein integraler Bestandteil des NIST-FISMA-Projekts.^[1]

Sicherheitsprogramme, die vom NIST beaufsichtigt werden, haben ihren Fokus auf der Zusammenarbeit mit der Regierung und der Industrie im Bereich sichere Systeme und Netzwerke. Dafür werden Security Assessment Tools, Techniken, Dienstleistungen und Unterstützung von Programmen für Test, Evaluierung und Validierung gefördert. Folgende Bereiche werden adressiert:

• Entwicklung und Pflege der Metriken
• Bewertungskriterien und Evaluierungsmethoden für IT-Sicherheit
• Tests und Prüfverfahren
• Kriterien für die Akkreditierung von Prüfstellen
• Leitlinien für die Verwendung der geprüften Produkte
• Forschung zu Qualitätssicherung und systemweiter Sicherheits- und Bewertungsmethoden
• Überprüfung von Sicherheitsprotokollen
• Koordinierung mit Normungsgremien und Industrieorganisationen bei Bewertungsmethoden

Unabhängige Prüfstellen^[2] sichern dem Anwender, dass das Produkt den NIST-Spezifikationen entspricht. Die SCAP-Standards können sehr komplex sein, und mehrere Konfigurationen müssen für jede Komponente und Funktion getestet werden, um sicherzustellen, dass das Produkt die Anforderungen erfüllt. Durch das National Voluntary Laboratory Accreditation Program (NVLAP) akkreditierte Prüfstellen bieten die Gewissheit, dass Produkte gründlich überprüft wurden und den Anforderungen entsprechen.

Ein Kunde, der den Anforderungen des FISMA unterworfen ist oder Produkte verwenden will, die nach dem SCAP-Standard durch eine unabhängige Prüfstelle getestet und validiert wurden, sollten die Website der SCAP-validierten Produkte^[3] besuchen, um den Status des Produkts zu überprüfen.

• Security Content Automation Protocol Website
• SCAP Validated Tools Comparison Table
• National Vulnerability Database Website
• Mitre „Making Security Measurable“ Website

1. ↑ FISMA
2. ↑ Accredited Independent SCAP Testing Laboratories
3. ↑ Website der SCAP-validierten Produkte