Security Content Automation Protocol

De Wikipedia, la enciclopedia libre
Saltar a: navegación, búsqueda

El Security Content Automation Protocol, también conocido por sus siglas SCAP o S'CAP, es conjunto de especificaciones del NIST para expresar (formatos y nomenclaturas) y manipular información relacionada con la seguridad sobre fallos y configuraciones, de una forma estandarizada. De esta forma se permite automatizar, en cierto grado, el chequeo (búsqueda) de vulnerabilidades, evaluar posibles impactos de vulnerabilidades, la gestión de vulnerabilidades, mediciones de seguridad, y evaluación de políticas a adoptar. En definitiva, provee una infraestructura poderosa para la elaboración de análisis e informes sobre vulnerabilidades en los sistemas de información.

Componentes[editar]

Las especificaciones incluyen los siguientes componentes:

  1. Common Vulnerabilities and Exposures (siglas CVE): Es una lista de información de seguridad sobre vulnerabilidades con el objetivo de proveer una nomenclatura común para el conocimiento público de este tipo de problemas. Antes de publicar una vulnerabilidad o exposición pasa por ciertas etapas previas por lo que la lista no contiene vulnerabilidades recién descubiertas.
  2. Common Configuration Enumeration (siglas CCE).- Es similar a CVE pero contienen vulnerabilidades de seguridad e incosistencias de interfaces encontradas en configuraciones de sisstemas. Provee la información en forma narrativa y normalmente recomienda soluciones.
  3. Common Platform Enumeration (siglas CPE).- Se ocupa de la correcta nomenclatura del software y ofrece una estructura jerárquica. De esta forma se facilita la gestión del nombre del software.
  4. eXtensible Configuration Checklist Description Format (siglas XCCDF).- Es una plantilla XML que facilita la preparación estandarizada de documentos guia de seguridad que presentan vulnerabilidades o asuntos de seguridad sobre el software
  5. Open Vulnerability and Assessment Language (siglas OVAL).- Es un lenguaje para representar información de configuración, evaluación de los estados de la máquina y informes de resultados de la evaluación.
  6. Common Vulnerability Scoring System (siglas CVSS).- Es un algoritmo que tiene en cuenta distintos parámetros relativos al software y da una expresión del nivel de seguridad calculado.
  7. Open Checklist Interactive Language (siglas OCIL) (desde versión 1.1).- Es un lenguaje para representar controles que recogen información sobre gente o datos existentes almacenados.
  8. Asset Identification (siglas AI) (desde versión 1.2).- Formato para identificar de forma única activos basados en conocidos identificadores y/o información sobre los activos
  9. Asset Reporting Format (siglas ARF) (desde versión 1.2).- Formato para expresar información sobre activos y la relaciones entre activos e informes.
  10. Common Configuration Scoring System (siglas CCSS) (desde versión 1.2).- Sistema para medir la importancia relativa de un asunto de configuración de la seguridad de un sistema.
  11. Trust Model for Security Automation Data (siglas TMSAD) (desde versión 1.2).- Especificación para usar firmas digitales en un modelo de confianza común aplicado a las espeficaciones del SCAP.


Estas especificaciones las podemos clasificar según el tipo de utilidad que proporcionan en:

  • Lenguajes.- Proveen vocabulario y convenciones para expresarse en el contentos. A este tipo de especificaciones pertenecen: XCCDF,OVAL y OCIL.
  • Formato de informes.- Proveen una serie de construcciones necesarias para expresar la información que gestionan de una forma estandarizada. A este tipo de especificaciones pertenecen: ARF y Asset Identification.
  • Enumeraciones.- Definen una nomenclatura estándar (formato de nombres) y una lista de artículos expresados usando la nomenclatura. A este tipo de especificaciones pertenecen: CPE, CCE y CVE.
  • Mediciones y sistemas de puntuación.- Permiten evaluar características específicas de una vulnerabilidad de seguridad (Ej vulnerabilidades software o deficiente configuración de seguridad) y basándose en estas características generar una puntuación que refleje su importancia relativa. A este tipo de especificaciones pertenece: CVSS y CCSS.
  • Integridad.- Ayudan a preservar la integridad de los contenidos y resultados. A este tipo de especificaciones pertenece TMSAD.

Referencias[editar]