SCAP合规
对于未经身份验证的扫描仪产品,暴露符合安全内容自动化协议(SCAP)标准。SCAP是一个标准集合,用于以标准化的方式表达和操作安全数据。它由美国政府授权,并由美国国家标准与技术研究所(NIST)维护。
本附录提供了关于SCAP标准如何在未经认证扫描器上实现的信息:
- 的通用平台枚举(CPE)基于统一资源标识符(Uniform Resource identifier, URI)的通用语法的命名方案是一种用于标识操作系统和软件应用程序的方法。
- 的常见漏洞和暴露(CVE)标准规定了产品应该如何识别漏洞,使安全产品更容易交换漏洞数据。
- 的通用漏洞评分系统(CVSS)是一个用于计算漏洞风险评分的开放框架。
- 常见配置枚举(CCE)是为配置控件分配惟一标识符(称为cce)的标准,以允许在不同环境中一致地标识这些控件。
CPE是如何实施的
在扫描过程中,exposure利用其指纹技术来识别目标平台和应用程序。在完成扫描并使用新获取的数据填充扫描数据库后,只要有相应的CPE名称,它就将CPE名称应用到指纹平台和应用程序中。
在数据库中,CPE名称随着国家标准研究所(NIST)CPE字典的更改而不断更新。在字典的每次修订中,应用程序都会将新可用的CPE名称映射到以前没有CPE名称的应用程序描述。
安全控制台Web界面在扫描数据表中显示CPE名称。您可以在资产、软件和操作系统列表中以及特定资产的页面上查看这些名称。CPE名称也以XML导出格式出现在报告中。
CVE是如何实施的
当Nexpose用发现的漏洞填充其扫描数据库时,只要这些标识符可用,Nexpose就会对这些漏洞应用通用漏洞和暴露(CVE)标识符。
在Security Console Web界面的漏洞详情页面可以查看CVE标识。每个列出的标识符都是链接到CVE在线数据库(nvd.nist.gov)的超文本链接,在那里你可以找到更多的相关信息和链接。
您可以使用CVE标识符作为搜索条件,在应用程序界面中搜索漏洞。
CVE标识符也出现在报告的“发现的漏洞”部分中。
该应用程序使用来自CVE邮件列表和更改日志的最新CVE列表。由于应用程序总是使用最新的CVE列表,所以它不必列出CVE版本号。应用程序每6小时通过订阅服务更新其漏洞定义,订阅服务维护现有定义和链接,并不断添加新的定义和链接。
CVSS是如何实现的
对于它发现的每个漏洞,Nexpose都计算了一个常见的漏洞评分系统(CVSS)版本2分数。当数据可用时,也将计算3个版本。如果存在,Nexpose将更喜欢漏洞表视图中的第3版本3分数。在安全控制台Web界面中,每个漏洞都以其CVSS分数列出。您可以根据时间或加权评分模型使用此分数,严重性排名和风险分数 - 根据您的配置首选项 - 优先级漏洞修复任务。
该应用程序将CVSS评分合并到PCI执行摘要和PCI漏洞详细信息报告中,这些报告提供详细的支付卡行业(PCI)遵从性结果。每个发现的漏洞是根据其CVSS评分排名。Rapid7是经批准的扫描供应商(ASV);而exposure是支付卡行业(PCI)批准的合规审计工具。CVSS评分与严重程度排名相对应,asv使用严重程度排名来确定给定资产是否符合PCI标准。
该应用程序还包括各种报告模板中显示的报告部分中的CVSS分数。这个最高风险漏洞详细信息第节列出了最高风险漏洞,包括其类别、风险分数和CVSS分数。这个脆弱性指数第节包括每个漏洞的严重性级别和CVSS评级。
的PCI漏洞细节部分包含关于PCI审计(遗留)报告中包含的每个漏洞的详细信息。它根据其严重性级别和CVSS评级量化漏洞。
CCE是如何实现的
公开测试资产以符合配置策略。它在每个测试资产的扫描结果页面上显示遵从性测试的结果。的政策清单此页上的表格显示了资产测试所针对的每个策略。
每个列出的策略都是关于该策略的页面的超链接,其中包括其成分规则的表。每个列出的规则都是关于该规则的页面的超链接。规则页面包含有关该规则的详细技术信息,并列出其CCE标识符。
可以通过搜索特性找到CCE条目。看到使用搜索功能在用户指南中。
在哪里可以找到SCAP更新信息和OVAL文件
Nexpose会在每次内容更新时自动包含任何新的SCAP内容。您可以在上查看SCAP更新信息SCAP页面,您可以从政府安全控制台Web界面中的页面。
SCAP页面上有四个表:
- CPE数据
- CVE数据
- CVSS数据
- CCE数据
每个表列出了最新的内容更新,包括新的SCAP数据和NIST生成新数据的最新日期。
在SCAP页面上,您还可以查看在配置策略检查期间导入的开放式漏洞和评估语言(OVAL)文件列表。根据FDCC要求,列出的每个文件名都是一个超链接,您可以单击该超链接下载XML结构化检查内容。