SCAP合规性

InsightVM符合未经验证扫描仪产品的安全内容自动化协议(SCAP)标准。SCAP是以标准化方式表达和操作安全数据的标准集合。它由美国政府授权,并由国家标准与技术研究所(NIST)维护。

本附录提供了有关如何为未经验证的扫描仪实施SCAP标准的信息:

  • 这个公共平台枚举(CPE)命名方案基于统一资源标识符(URI)的通用语法,是一种识别操作系统和软件应用程序的方法。
  • 这个常见漏洞和暴露(CVE)该标准规定了产品应如何识别漏洞,使安全产品更容易交换漏洞数据。
  • 这个通用漏洞评分系统(CVSS)是计算脆弱性风险分数的开放式框架。
  • 公共配置枚举(CCE)是为配置控制分配唯一标识符(称为CCE)的标准,以允许在不同环境中一致标识这些控制。

CPE是如何实施的

在扫描过程中,InsightVM利用其指纹技术识别目标平台和应用程序。在完成扫描并用新获取的数据填充其扫描数据库后,只要相应的CPE名称可用,它就会将CPE名称应用于指纹平台和应用程序。

在数据库中,CPE名称随着国家标准研究所(NIST)CPE字典的更改而不断更新。在字典的每次修订中,应用程序都会将新可用的CPE名称映射到以前没有CPE名称的应用程序描述。

安全控制台Web界面在扫描数据表中显示CPE名称。您可以在资产、软件和操作系统列表中以及特定资产的页面上查看这些名称。CPE名称也以XML导出格式出现在报告中。

CVE是如何实现的

当InsightVM用发现的漏洞填充其扫描数据库时,只要这些标识符可用,它就会对这些漏洞应用通用漏洞和暴露(CVE)标识符。

您可以在安全控制台Web界面的漏洞详细信息页面上查看CVE标识符。列出的每个标识符都是指向nvd.nist.gov上CVE在线数据库的超文本链接,您可以在那里找到其他相关信息和链接。

您可以使用CVE标识符作为搜索条件来搜索应用程序界面中的漏洞。

CVE标识符也出现在报告的“发现的漏洞”部分中。

该应用程序使用CVE邮件列表和变更日志中最新的CVE列表。由于应用程序始终使用最新的CVE列表,因此不必列出CVE版本号。应用程序通过订阅服务每六小时更新一次其漏洞定义,该服务维护现有定义和链接,并不断添加新的定义和链接。

CVSS是如何实现的

对于发现的每个漏洞,InsightVM都会计算通用漏洞评分系统(CVSS)版本2的分数。当数据可用时,还将计算版本3的分数。InsightVM更喜欢漏洞表视图中的版本3分数(如果存在)。在安全控制台Web界面中,列出了每个漏洞及其CVSS分数。根据您的配置偏好,您可以基于时态或加权评分模型使用此分数、严重性排名和风险分数来确定漏洞修复任务的优先级。

该应用程序将CVSS分数合并到PCI执行摘要和PCI漏洞详细信息报告中,这些报告提供了详细的支付卡行业(PCI)合规性结果。每个发现的漏洞都根据其CVSS得分进行排名。Rapid7是经批准的扫描供应商(ASV);InsightVM是一种支付卡行业(PCI)认可的工具,用于进行合规性审核。CVSS分数与严重性等级相对应,ASV使用该等级来确定给定资产是否符合PCI标准。

该应用程序还包括各种报告模板中显示的报告部分中的CVSS分数。这个最高风险漏洞详细信息第节列出了最高风险漏洞,包括其类别、风险分数和CVSS分数。这个脆弱性指数第节包括每个漏洞的严重性级别和CVSS评级。

这个PCI漏洞详细信息第节包含PCI审计(遗留)报告中包含的每个漏洞的详细信息。它根据漏洞的严重程度和CVSS等级对漏洞进行量化。

CCE是如何实现的

InsightVM测试资产是否符合配置策略。它在每个测试资产的扫描结果页面上显示符合性测试的结果。这个保单清单此页面上的表显示了测试资产所依据的每个策略。

每个列出的策略都是指向有关该策略的页面的超链接,该页面包括其组成规则的表。每个列出的规则都是指向该规则的页面的超链接。规则页面包括关于规则的详细技术信息,并列出了它的CCE标识符。

可以通过搜索特性找到CCE条目。看到使用搜索功能在用户指南中。

在哪里可以找到SCAP更新信息和OVAL文件

InsightVM在每次内容更新时自动包含任何新的SCAP内容。界面上可以查看SCAP更新信息肩胛骨页面,您可以从政府安全控制台Web界面中的页面。

SCAP页面上有四个表:

  • CPE数据
  • CVE数据
  • CVSS数据
  • CCE数据

每个表列出了包括新SCAP数据的最新内容更新以及NIST生成新数据的最新日期。

在SCAP页面上,您还可以查看在配置策略检查期间导入的开放式漏洞和评估语言(OVAL)文件列表。根据FDCC要求,列出的每个文件名都是一个超链接,您可以单击该超链接下载XML结构化检查内容。