掌握SCAP NIST指南 使用SCAP工具自動維護安全
SCAP是:“安全軟件產品間互相溝通軟件缺陷以及安全配置信息時,使用的一套標準化格式和系統命名方法。”SCAP的目的是通過標準化方法來(1)組織,(2)表達,(3)測量安全信息,為企業提供維護系統安全性的自動化方法。更具體一點,NIST指南中列出了SCAP能夠維護企業系統安全性的三個方法,其中包括:
1、自動驗證補丁的安裝;
2、檢查系統安全配置;
3、檢查系統是否有被入侵的跡象。
SCAP開發的主要目的是為了幫助那些需要遵從美國聯邦桌面核心配置(FDCC)以及美國政府配置基準(USGCB標準,從FDCC的命令要求中演變而來)的企業。經過SCAP驗證的掃描工具可以用來掃描受到影響的系統,并就這些系統是否遵從FDCC提供有關報告。這是一個節省時間的事物,可以幫助企業更好地準備FDCC遵從審計。
SCAP有兩個主要元素:
首先,它是一個協議。SCAP由四個開放規范組成,這些規范規定了軟件之間交流缺陷和安全配置(這些內容都是使用通用標志符標注的,并嵌入在XML中)的標準化格式和系統命名方法。從本質上講,這是一種確立某些自動化“on/off”開關檢驗的方法,以檢查服務器或者臺式電腦是否遵從某種標準。這樣做很實用,因為其輸出是一種標準化的非專用格式,可以在不同的企業中使用。每個規范又叫做一個SCAP組件。(NIST還給出了SCAPv1.0組件的更多信息。)
其次,SCAP包括軟件缺陷以及安全配置標準的參考數據,又叫做SCAP內容。這些參考數據由NIST管理和國家安全部門(DHS)贊助的國家漏洞數據庫(NVD)提供。SCAP內容在NVD中都可以找到。
因此,SCAP包括SCAP內容(比如,參考數據)和SCAP組件(比如,安全規范)。為了讓它們有效地工作,SCAP的作者們把SCAP內容和SCAP部件集成到了SCAP表述的檢查列表中,這種列表使用標準化語言描述正在討論的是什么平臺(通用平臺標識)以及哪些安全設置應該處理(通用暗渠配置標識)。人們也可以使用這些檢查列表手動設置有問題的系統。然而,設置的數量非常龐大,因此,自動化系統,比如SCAP,會更受歡迎。
國家檢查列表工程(NCP)網站是SCAP表述的檢查列表資源庫。該網站中的一個FDCCWindowsXP檢查列表網頁如圖1所示:
圖1:FDCCWindowsXP檢查列表
提示一下,如果你查看該網頁中的SupportingResources支持資源選項,你會看到“HumanReadable”(易讀)或者“prose”(普通)版的設置。當人們下載這些內容時,該網頁會提供一個電子表格,其中包括政策設置和命名、CCE參考、注冊表設置,還有政策描述以及每個政策的聯邦桌面設置應該是什么(比如,Disabled(禁用)、Disabled(啟用)等等)。圖2顯示了一個這樣的電子表格。
圖2:易讀版的FDCC設置
根據檢查列表的SCAP協議自動化可操作性不同,可以分成不同的層次。我們把這些層次標記為I到IV。
層次I檢查列表主要是文字性的東西,舉個例子,敘述一個人如何手動改變產品配置。
層次II檢查列表試圖用專用的、機器易讀的格式列出推薦的安全設置。
層次III檢查列表使用SCAP協議,以機器可讀、標準化的SCAP格式來整理他們的推薦安全設置。
層次IV檢查列表包含層次III檢查列表的所有屬性。另外,它們能夠用于產品生產,并已通過NIST驗證,確保與其他通過SCAP驗證的產品具有協同工作能力。層次IV檢查列表還具有把低級安全設置映射到高級安全要求(就像FISMA的SP800-53控制框架)的能力。(注:國家漏洞數據庫中所有的FDCC檢查列表都屬于層次IV。)
值得注意的是,那些有義務遵守聯邦SCAP命令的企業,需要為他們的計算機安全自動化使用最高層次的檢查列表。此外,人們還有內容驗證程序計劃,這些程序可以讓供應商或者其他任何人在NVD上發表自己的檢查內容,并把這些內容作為層次III或者層次IV檢查列表的內容。不過,這個計劃實施的時間還未確定。#p#
企業如何利用SCAP?
根據NIST,想要利用SCAP工具的企業應該遵守下列公開建議:
使用SCAP表述的安全配置檢查列表自動改善和監控系統安全。SCAP表述的檢查列表會幫助你自動產生評估和規則遵從證據,該列表可以從上述國家檢查列表程序網站上下載。然而,值得注意的是,目前的SCAP版本不能修復或者修改實際配置與檢查列表之間的任何不同,這個功能未來會在SCAP工具中出現,目前在某些專用應用程序中已經出現。
充分利用SCAP的優勢,驗證你的系統是否遵從那些源自命令、標準和指導方針的高級安全要求,比如說FDCC。這還可以幫助企業更好地為FISMA審計做準備。
使用標準化的SCAP標識、標志符和產品名稱,比如通用漏洞批漏(CVE)、通用安全配置標識(CCE)和通用平臺標識(CPE)等命名方法。換句話說,使用一種通用語言可以讓漏洞或者批漏描述使用相同的術語,參考相同的MITRECVE/CCE/CPE數據庫。當企業之間進行對話、企業遇到安全相關的軟件缺陷、安全配置問題和平臺時,可以更好地理解系統漏洞和受影響的配置。
結合通用漏洞評分系統(CVSS),CVE以及CPE,你可以利用SCAP進行大量重復的漏洞測試和評分。因為SCAP能夠在分析中提供某些評分,所以你可以利用這些分數來畫出并確立各種趨勢,進行比較等等。
獲得并使用通過SCAP驗證的產品。美國聯邦結構和那些支持美國政府機構的公司必須使用通過SCAP驗證的FDCC掃描器,以便進行FDCC遵從測試和評估。
值得注意的是,NIST還確立了SCAP產品驗證程序和一個國家志愿者實驗室鑒定程序(NVLAP)。這些程序用來確保SCAP產品能夠得到有效的測試和驗證,以滿足SCAP要求。NIST還建立了一個鑒定實驗室以及通過驗證的產品列表。圖3顯示了目前已經通過驗證的產品。
圖3:已通過SCAP驗證的產品(示例)
開發軟件或安全檢查列表時,采用SCAP并利用它的能力,從而證明了該軟件具有評估基本軟件配置的能力,而不是依靠更加昂貴的手動檢查或者專用檢查機制。
除了上述NISTSP800-117建議,NIST計算機科學家和項目經理KarenScarfone還編寫了一個非常好的SCAP概述,這篇文章指出了SCAP的一般用法,列舉如下:
進行安全配置驗證:你可以把SCAP表述的檢查列表與系統實際配置相比較。你可以在實際部署之前用這些檢查列表驗證并審計一個系統。而且,你用檢查列表還可以把個人系統設置映射到高級別的要求上,比如FDCC,等等。
檢查系統是否有安全入侵跡象:如果你知道攻擊的特點,你就可以檢查被更改過的文件或者檢查是否存在惡意服務軟件。比如,如果你知道攻擊更改了某個.dll文件,你可以對相關文件進行檢查,看是否有任何改動。
優點
SCAP正在向前發展和貫徹執行,其主要原因是來自美國管理和預算辦公室的聯邦命令。人們正在采用SCAPv1.0,而且SCAP產品正在NIST認可的實驗室中進行開發和測試。KarenScarfone表示,當時預計1.1版在2010年年底出現,而1.2版的規范已經在進行審查。
企業使用SCAP的潛在好處是什么?這里列出了幾項:
使用SCAP,你可以增加自動化程度、減少手動努力獲得評估結果、決定所需要的整改措施,因此可以節省大量成本。
由于你使用的是SCAP規定的通用語言,因此你的結果肯定是XML編碼,那么你就可以更容易地與其他SCAP系統用戶進行交流。此外,安全企業之間的設置問題就可以進行比較,因為漏洞都是用同樣的規律(CVSS,CVE和CPE)描述。
使用通過SCAP驗證的產品,企業可以更好地為FDCC審計做準備。
SCAP內容的一個主要好處是能夠建立和修改自己的檢查列表。你沒有義務只使用FDCC/USGCB一種內容,除非你要遵守政府的命令。
我想我們將來會聽到更多關于SCAP的執行情況,而且,隨著新版協議的發布,自動化安全過程也會帶來更多好處。
美國政府配置基準(USGCB)將是FDCC的繼任者,它將包含Win7以及其他的操作系統,比如RedHat,Solaris等等(當他們的內容最終確定以后)。USGCB預計會融合到SCAP1.1中。
【編輯推薦】
