Стандарт SCAP

Протокол автоматизации управления данными безопасности (SCAP) — набор открытых стандартов, определяющих технические спецификации для представления и обмена данными по безопасности. Эти данные могут быть использованы для нескольких целей, включая автоматизацию процесса поиска уязвимостей, оценки соответствия технических механизмов контроля и измерения уровня защищенности. Правительство, совместно с научными и коммерческими организациями, использует и поддерживает распространение SCAP.

SCAP состоит из следующих стандартов:

Типовые уязвимости и ошибки конфигурации (Common Vulnerabilities and Exposures CVE(r)) ^[1]
Список типовых конфигураций (Common Configuration Enumeration CCE™) ^[2]
Список типовых платформ (Common Platform Enumeration CPE) ^[3]
Единая система определения величины уязвимостей (Common Vulnerability Scoring System CVSS) ^[4]
Расширяемый формат описания списка проверки конфигурации (Extensible Configuration Checklist Description Format XCCDF) ^[5]
Открытый язык описания уязвимостей и оценки (Open Vulnerability and Assessment Language OVAL™) ^[6]

SCAP — это часть более широкой программы, Программы Автоматизации ИБ (ISAP). ISAP создана для выполнения задач автоматизации процессов внедрения и проверки механизмов безопасности информационных систем (ИС). Цели ISAP включают в себя разработку требований для автоматического обмена данными ИБ, настройку и управление базовыми конфигурациями для различных ИТ продуктов, оценку ИС и проверку соответствия требованиям, использование стандартных метрик для оценки и подсчёта интегрального влияния уязвимостей, устранение обнаруженных уязвимостей. NIST осуществляет руководство данной инициативой совместно с Управлением информационных систем (англ. Defense Information Systems Agency), NSA и DHS (в качестве спонсора).

См. также

NIST
DISA
NSA
DHS
OVAL

Примечания

↑ Стандарт CVE Архивная копия от 19 декабря 2020 на Wayback Machine, (англ.)
↑ Стандарт CCE Архивная копия от 6 января 2008 на Wayback Machine, (англ.)
↑ Стандарт CPE Архивная копия от 13 мая 2016 на Wayback Machine, (англ.)
↑ Стандарт CVSS Архивная копия от 8 марта 2022 на Wayback Machine, (англ.)
↑ Стандарт XCCDF Архивная копия от 19 июня 2016 на Wayback Machine, (англ.)
↑ Стандарт OVAL Архивная копия от 24 февраля 2021 на Wayback Machine, (англ.)

Ссылки

Официальный сайт SCAP (англ.)
Официальный сайт ISAP (англ.)

Похожие исследовательские статьи

В компьютерной безопасности термин «уязвимость» используется для обозначения недостатка в системе, используя который, можно намеренно нарушить её целостность и вызвать неправильную работу. Уязвимость может быть результатом ошибок программирования, недостатков, допущенных при проектировании системы, ненадежных паролей, вирусов и других вредоносных программ, скриптовых и SQL-инъекций. Некоторые уязвимости известны только теоретически, другие же активно используются и имеют известные эксплойты.

OpenSSL — криптографический пакет с открытым исходным кодом для работы с SSL/TLS. Позволяет создавать ключи RSA, DH, DSA и сертификаты X.509, подписывать их, формировать CSR и CRT. Также имеется возможность шифрования данных и тестирования SSL/TLS соединений.

Tiny C Compiler, или TinyCC, или TCC — компилятор C для платформы x86.

Бэкдор, тайный вход — дефект алгоритма, который намеренно встраивается в него разработчиком и позволяет получить несанкционированный доступ к данным или удалённому управлению операционной системой и компьютером в целом.

Общие критерии оценки защищённости информационных технологий —. Общеизвестным является более короткое название Общие критерии. Международный стандарт по компьютерной безопасности. В отличие от стандарта FIPS 140, Common Criteria не приводит списка требований по безопасности или списка особенностей, которые должен содержать продукт. Вместо этого он описывает инфраструктуру (framework), в которой потребители компьютерной системы могут описать требования, разработчики могут заявить о свойствах безопасности продуктов, а эксперты по безопасности определить, удовлетворяет ли продукт заявлениям. Таким образом, Common Criteria позволяет обеспечить условия, в которых процесс описания, разработки и проверки продукта будет произведён с необходимой скрупулёзностью.

Advanced Encryption Standard, AES — конкурс, организованный NIST в 1997 году для выбора нового криптографического стандарта, который должен был стать преемником DES. В результате конкурса в 2000 году победителем был объявлен шифр Rijndael.

Open Vulnerability and Assessment Language (OVAL) (открытый язык описания и оценки уязвимостей) - это международный стандарт по информационной безопасности. Он включает в себя как сам язык, так и репозитории контента. OVAL стандартизует 3 основных компонента процесса оценки: представление конфигурационной информации для системы, анализ системы на предмет наличия состояний (уязвимости, обновления, конфигурации и т.п.), представление отчётов по оценке системы.

Bashdoor — серия программных уязвимостей, обнаруженных в программе GNU Bash в сентябре 2014 года и открыто опубликованных 24 сентября. Множество интернет-сервисов, в том числе веб-серверы, могут использовать Bash для обработки некоторых запросов, например при исполнении CGI-скриптов. Уязвимость позволяет атакующему исполнять произвольные команды, получив неправомерный доступ к компьютерным системам.

Badlock — ошибка в протоколе SMB/CIFS. Краткая информация об уязвимости была опубликована 24 марта 2016 года, подробная информация и исправления — 12 апреля. Ошибка была обнаружена как в свободной реализации протокола, так и в Windows. Также присутствует в ряде решений, основанных на Samba.

Уязвимость Dirty COW — серьёзная программная уязвимость в ядре Linux и Darwin, существующая с 2007 года и исправленная в октябре 2016 года. С её помощью локальный пользователь может повысить свои привилегии из-за ошибки состязания (гонки) в реализации механизма копирования при записи (COW) для страниц памяти, помеченных флагом Dirty bit. На октябрь 2016 года сообщается об активной эксплуатации уязвимости при взломах серверов.

Безопасное программирование — методика разработки программного обеспечения (ПО), предотвращающая случайное внедрение уязвимостей и обеспечивающая устойчивость к воздействию вредоносных программ и несанкционированному доступу. Баги и логические ошибки являются основной причиной появления уязвимостей программного обеспечения.

BlueBorne — общее название восьми опасных уязвимостей электронных устройств, работающих с различными имплементациями Bluetooth в Android, iOS, Windows и Linux.

CVE — база данных общеизвестных уязвимостей информационной безопасности. Каждой уязвимости присваивается идентификационный номер вида CVE-год-номер, описание и ряд общедоступных ссылок с описанием.

В 2007 году Национальная лаборатория штата Айдахо провела Тест Генератора Авроры, чтобы продемонстрировать, как кибератака может уничтожить физические компоненты электросети. В эксперименте использовалась компьютерная программа для быстрого включения и выключения прерывателя дизельной электростанции в противофазе с остальной сетью, что приводит её к взрыву. Эта уязвимость называется Aurora Vulnerability — уязвимость Авроры. Автор тестирования — Перри Педерсон.

Безопасность приложения включает в себя меры, принимаемые для повышения безопасности приложения, часто путем обнаружения, исправления и предотвращения уязвимостей в безопасности. Для выявления уязвимостей на разных этапах жизненного цикла приложений, таких как проектирование, разработка, развертывание, обновление, обслуживание, используются различные методы. В основном в программах наблюдается рост количества разного рода дефектов и уязвимостей, которые со временем могут нанести существенный вред программному обеспечению.

BlueKeep — компьютерная уязвимость в реализации Microsoft Remote Desktop Protocol, позволяющая осуществить удалённое выполнение кода. BlueKeep подвержены все необновлённые версии Windows линейки Windows NT, начиная с Windows 2000 и заканчивая Windows Server 2008 R2 и Windows 7. В сентябре 2019 года был выложен в открытый доступ эксплоит BlueKeep в составе проекта Metasploit.

CL DATAPK — программно-аппаратный комплекс российского производства, обеспечивающий кибербезопасность АСУ ТП.

Common Vulnerability Scoring System (CVSS) — открытый стандарт, используемый для расчета количественных оценок уязвимости в безопасности компьютерной системы, обычно с целью понять приоритет её исправления.

Log4Shell (CVE-2021-44228) — это уязвимость нулевого дня в Log4j, популярной среде ведения журналов Java, включающая выполнение произвольного кода. Уязвимость — её существование не было замечено с 2013 года — была раскрыта в частном порядке Apache Software Foundation, проектом которой является Log4j, Чен Чжаоцзюнь из группы безопасности Alibaba Cloud 24 ноября 2021 года и публично раскрыта 9 декабря 2021 года. Apache дал Log4Shell оценку серьезности CVSS 10, наивысшую доступную оценку. Подсчитано, что эксплойт затрагивает сотни миллионов устройств и очень прост в использовании.

В криптографии и криптосистемах, разме́р ключа́ — это число бит в ключе, используемом в криптографических операциях, таких как шифрование и подписывание электронной цифровой подписью.

Эта страница основана на статье Википедии.
Текст доступен на условиях лицензии CC BY-SA 4.0; могут применяться дополнительные условия.
Изображения, видео и звуки доступны по их собственным лицензиям.