SCAP (Security Content Automation Protocol) es una especificación abierta enfocada a la definición y manipulación de datos de seguridad de manera estandarizada. SCAP recicla varias especificaciones individuales ya preexistentes.
Abierta quiere decir que su definición, uso y modificación está abierta a cualquier persona o entidad.
CVE Common Vulnerabilities and Exposures CCE Common Configuration Enumeration CPE Common Platform Enumeration XCCDF extensible Configuration Checklist Description Format OVAL Open Vulnerability and Assessment Language CVSS Common Vulnerability Scoring System OCIL Open Checklist Interactive Language AI Asset Identification ARF Asset Reporting Format CCSS Common Configuration Scoring System TMSAD Trust Model fuere Security Automation Data
SCAP Security Guide es la política de seguridad escrita en forma de documentos siguiendo las especificaciones SCAP.
Se basa en las recomendaciones de seguridad de autoridades globalmente reconocidas, transforma estas guías de seguridad en un formato legible por la máquina que luego puede ser usado por herramientas como la implementación open source de Red Hat OpenSCAP para la comprobación de los sistemas.
La SCAP Security Guide establece varias líneas base de seguridad a partir de un contenido común de alta calidad en formato SCAP
Una de esas líneas base son las Security Technical Implementation Guides (STIG) para RHEL de la agencia americana Defense Information System Agency (DISA)
Las DISA STIG suministran los ajustes necesarios para los sistemas del Departamento de Defensa de los Estados Unidos.
Las DISA STIG son un ejemplo de línea base creada a partir del enfoque SCAP Security Guide.
En la actualidad SCAP Security Guide es un proyecto abierto y dinámico en el que muchas organizaciones interesadas en la seguridad informática comparten sus esfuerzos y colaboran en las políticas de seguridad contenidas en la guía de seguridad SCAP que tiene uso en organizaciones militares, inteligencia, asistencia sanitaria, aviación, telecomunicaciones, entre otros.
La política de seguridad o las definiciones para su cumplimiento rara vez se escriben desde cero. El estándar ISO 27000, trabajos derivados de este y otras fuentes suministran modelos de políticas de seguridad y recomendaciones prácticas que deberían ser útiles como base para su definición.
Aquellas organizaciones que creen su programa de seguridad informática deben poder adaptar los modelos de políticas para alinearlos a sus necesidades.
Las políticas de seguridad de SCAP se definen en la mayor parte en un lenguaje XML llamada extensible Configuration Checklist Description Format (XCCDF). Este lenguaje provee de una fisonomía común de las Security Technical Implementation Guides (STIG). La especificación de las XCCDF se complementa con las definiciones OVAL para las comprobaciones de CVEs en los sistemas.
Los documentos XCCDF y OVAL se expresan en formato XML y pueden ser convalidados con un analizador de XML Schema. Red Hat Enterprise Linux ofrece OpenSCAP como implementación de referencia diseñada para adoptar automáticamente las políticas y auditar su cumplimiento
El proyecto OpenSCAP es una colección de herramientas de código abierto para implementar y cumplir este estándar.
La SCAP Security Guide, junto con las herramientas OpenSCAP, se puede utilizar para la implantación de la gestión continua de la seguridad de forma automatizada en tu organización.
Instalamos los paquetes
# yum install openscap-scanner # yum install scap-security-guide # yum install scap-workbench
# oscap info /usr/share/xml/scap/ssg/content/ssg-rhel7-xccdf.xml
# oscap info /usr/share/xml/scap/ssg/content/ssg-rhel7-xccdf.xml
# oscap xccdf eval --profile pci-dss --results results.xml /usr/share/xml/scap/ssg/content/ssg-rhel7-xccdf.xml
# oscap xccdf generate report --output report.html results.xml