SCAP合规

InsightVM符合Unauthenticated Scanner产品的SCAP (Security Content Automation Protocol)标准。SCAP是一个标准集合,用于以标准化的方式表达和操作安全数据。它由美国政府授权,并由美国国家标准与技术研究所(NIST)维护。

本附录提供了关于SCAP标准如何在未经认证扫描器上实现的信息:

  • 通用平台枚举(CPE)基于统一资源标识符(Uniform Resource identifier, URI)的通用语法的命名方案是一种用于标识操作系统和软件应用程序的方法。
  • 常见漏洞和暴露(CVE)标准规定了产品应该如何识别漏洞,使安全产品更容易交换漏洞数据。
  • 通用漏洞评分系统(CVSS)是一个用于计算漏洞风险评分的开放框架。
  • 公共配置枚举(CCE)是为配置控件分配惟一标识符(称为cce)的标准,以允许在不同环境中一致地标识这些控件。

CPE是如何实施的

在扫描过程中,InsightVM利用其指纹技术识别目标平台和应用程序。在完成扫描并使用新获取的数据填充扫描数据库后,只要有相应的CPE名称,它就将CPE名称应用到指纹平台和应用程序中。

在数据库中,CPE名称会随着国家标准协会(NIST) CPE词典的变化而不断更新。对于字典的每次修订,应用程序都将新可用的CPE名称映射到以前没有CPE名称的应用程序描述。

安全控制台Web界面显示扫描数据表中的CPE名称。您可以在资产、软件和操作系统的列表以及特定资产的页面上查看这些名称。CPE名称也出现在XML Export格式的报告中。

CVE是如何实施的

当InsightVM用发现的漏洞填充其扫描数据库时,只要这些漏洞可用,它就会对这些漏洞应用通用漏洞和暴露(CVE)标识符。

在Security Console Web界面的漏洞详情页面可以查看CVE标识。每个列出的标识符都是链接到CVE在线数据库(nvd.nist.gov)的超文本链接,在那里你可以找到更多的相关信息和链接。

您可以使用CVE标识符作为搜索条件,在应用程序界面中搜索漏洞。

CVE标识符还出现在报告的“已发现的漏洞”部分。

该应用程序使用来自CVE邮件列表和更改日志的最新CVE列表。由于应用程序总是使用最新的CVE列表,所以它不必列出CVE版本号。应用程序每6小时通过订阅服务更新其漏洞定义,订阅服务维护现有定义和链接,并不断添加新的定义和链接。

CVSS是如何实现的

对于发现的每个漏洞,InsightVM计算一个通用漏洞评分系统(CVSS)版本2评分。当数据可用时,还将计算版本3的分数。如果存在,InsightVM将在漏洞表视图中选择Version 3得分。在安全控制台Web界面中,列出了每个漏洞及其CVSS评分。您可以使用此评分、严重性排名和基于暂时评分或加权评分模型(取决于您的配置优先级)的风险评分来确定漏洞补救任务的优先级。

该应用程序将CVSS评分合并到PCI执行摘要和PCI漏洞详细信息报告中,这些报告提供详细的支付卡行业(PCI)遵从性结果。每个发现的漏洞是根据其CVSS评分排名。Rapid7是经批准的扫描供应商(ASV);InsightVM是支付卡行业(PCI)认可的合规审计工具。CVSS评分与严重程度排名相对应,asv使用严重程度排名来确定给定资产是否符合PCI标准。

该应用程序还包括在各种报告模板中出现的报告部分中的CVSS分数。的最高风险漏洞详细信息部分列出最高风险的弱点,包括他们的类别,风险分数,和他们的CVSS分数。的脆弱性指数部分包括每个漏洞的严重性级别和CVSS评级。

PCI漏洞细节部分包含关于PCI审计(遗留)报告中包含的每个漏洞的详细信息。它根据其严重性级别和CVSS评级量化漏洞。

CCE是如何实现的

InsightVM测试资产是否符合配置策略。它在每个测试资产的扫描结果页面上显示遵从性测试的结果。的政策清单此页上的表格显示了资产测试所针对的每个策略。

每个列出的策略都是指向有关该策略的页面的超链接,该页面包括其组成规则的表。每个列出的规则都是指向该规则的页面的超链接。规则页面包括关于规则的详细技术信息,并列出了它的CCE标识符。

可以通过搜索特性找到CCE条目。看到使用搜索功能在用户指南中。

在哪里可以找到SCAP更新信息和OVAL文件

InsightVM在每次内容更新时自动包含任何新的SCAP内容。界面上可以查看SCAP更新信息SCAP页,您可以从政府在安全控制台Web界面中。

SCAP页面上有四个表:

  • CPE数据
  • CVE数据
  • CVSS数据
  • CCE数据

每个表列出了最新的内容更新,包括新的SCAP数据和NIST生成新数据的最新日期。

在SCAP页面上,您还可以查看在配置策略检查期间导入的打开漏洞和评估语言(OVAL)文件的列表。按照FDCC的要求,每个列出的文件名都是一个超链接,您可以单击它来下载xml结构的检查内容。