Como o KACE SMA conduz verificações de SCAP
O SCAP (Secure Content Automation Protocol, Protocolo de automação de segurança de conteúdos) é um conjunto de padrões abertos que compila falhas de software, monitora configurações relacionadas à segurança e nomes de produtos, e examina sistemas para determinar a presença de vulnerabilidades e classificar (pontuar) o impacto das questões de segurança constatadas em dispositivos Windows.
O SCAP é mantido pelo Instituto Nacional de Normas e Tecnologia (NIST) e seu uso é imposto por agências governamentais, como a OMB (Agência de gerenciamento e orçamento dos EUA).
O SCAP usa o Banco de dados nacional de vulnerabilidade (NVD) do governo dos EUA, que é um repositório de dados para gerenciamento de vulnerabilidades baseado em padrões. O NVD inclui bancos de dados de listas de verificação de segurança, falhas de software relacionadas à segurança, configurações incorretas, nomes de produtos e medidas de impacto. Para obter mais informações sobre SCAP e NVD, acesse os sites do NIST em http://scap.nist.gov/index.html e http://nvd.nist.gov/.
O KACE SMA dá suporte para o SCAP 1.0, 1.1 e 1.2, e o SCAP possui certificação para executar nas plataformas Windows 7 e superior (sistemas de 32 e 64 bits).
O KACE SMA conduz verificações de SCAP que usam o software do Agente do KACE SMA instalado nos dispositivos gerenciados. O SCAP não está disponível para dispositivos que não tenham o software do Agente do KACE SMA instalado, por exemplo, dispositivos sem agente.
O KACE SMA conduz verificações de SCAP que executam scripts em dispositivos gerenciados por agente selecionado usando listas de verificação de configuração de segurança do Repositório nacional de listas de verificação.
Para o SCAP versões 1.0 e 1.1, o script verifica o fluxo de dados SCAP escrito em formatos de XML que usam os seguintes padrões de SCAP: CCE, CPE, CVE, CVSS, OVAL e XCCDF. Consulte Definições dos padrões de SCAP.
O SCAP 1.2 agrega o conceito de “Fluxo de dados” em que todos os arquivos de resultados individuais são combinados em um único arquivo XML. Além disso, o SCAP 1.2 adiciona um novo formato de saída denominado ARF (Asset Report Format 1.1). Para obter mais informações, vá para http://scap.nist.gov/specifications/arf/.
O KACE SMA usa o software do agente para executar as constatações de conformidade com a verificação de SCAP. Os arquivos de resultados são carregados no banco de dados de soluções ou da organização, e combinados em um único arquivo para geração de relatórios para um órgão governamental (se necessário). Também são exibidos resultados para cada dispositivo na página Resultados da verificação de SCAP da solução.
Se o componente Organização estiver ativado na solução, você poderá visualizar os resultados da verificação de SCAP para cada organização separadamente.
O SCAP usa o OVAL Interpreter versão 5.10.1 e fornece:
Esses recursos aumentam a segurança do software, a avaliação de ameaça e a correção de vulnerabilidade.
As verificações de SCAP monitoram a segurança do dispositivo usando protocolos e padrões especificados.
Padrão |
Definição |
CCE |
A CCE (Common Configuration Enumeration - Enumeração de configuração comum) fornece identificadores exclusivos para questões de configuração do sistema de modo a facilitar a rápida e precisa correlação de dados de configuração em várias fontes e ferramentas de informação.
Os resultados da verificação de conformidade produzidos pela verificação de SCAP do KACE SMA incluem as referências de ID de CCE relevantes para definições XCCDF e OVAL de cada regra verificada de acordo com a definição da lista de verificação.
As informações da CCE estão disponíveis no arquivo de resultados XCCDF e na página Resultados da verificação de SCAP da solução. |
CPE |
A CPE (Common Platform Enumeration - Enumeração de plataforma comum) é um esquema de nomenclatura estruturada para pacotes, plataformas e sistemas de tecnologia da informação. Com base na sintaxe genérica de URI (Uniform Resource Identifiers - Identificadores uniformes de recursos), a CPE inclui um formato de nome formal, uma linguagem para descrever plataformas complexas, um método para verificar nomes em um sistema e um formato de descrição para vinculação de texto e testes a um nome. Em essência, a CPE garante a aplicação da lista de verificação de segurança à plataforma correta.
Essas informações estão disponíveis no arquivo de resultados XCCDF e na página Resultados da verificação de SCAP da solução. |
CVE |
A CVE (Common Vulnerability and Exposures - Vulnerabilidades e exposições comuns) é uma lista ou dicionário que fornece identificadores padrão (nomes comuns) das vulnerabilidades de segurança e falhas de software conhecidas.
Os resultados da verificação de conformidade produzidos pela verificação de SCAP do KACE SMA podem incluir as referências de ID de CVE relevantes e a definição de OVAL para cada regra verificada de acordo com a definição da lista de verificação.
Para cada patch ou vulnerabilidade, são fornecidas referências do ID de CVE na página Resultados da verificação de SCAP da solução.
As informações de CVE estão armazenadas em um arquivo XML de resultados do patch gerado pela verificação. O arquivo está disponível para inspeção e verificação no diretório de trabalho do agente e na página Resultados da verificação de SCAP do servidor. |
CVSS |
O CVSS (Common Vulnerability Scoring System - Sistema de pontuação de vulnerabilidades comuns) fornece uma estrutura aberta para comunicação das características e do impacto das vulnerabilidades de TI. Seu modelo quantitativo ajuda a assegurar a medição precisa reproduzível durante a ativação dos usuários paras ver as características de vulnerabilidade subjacentes usadas para geração de pontuações. O CVSS é bem adequado para indústrias, empresas e órgãos públicos que necessitam de pontuações de impacto de vulnerabilidade precisas e consistentes. Entre outros benefícios, o CVSS auxilia a priorização das atividades de correção de vulnerabilidade e o cálculo da severidade das vulnerabilidades. O NVD (National Vulnerability Database - Banco de Dados Nacional de Vulnerabilidades) fornece as pontuações CVSS para praticamente todas as vulnerabilidades conhecidas. |
OVAL |
O OVAL (Open Vulnerability and Assessment Language - Linguagem aberta de avaliação de vulnerabilidade) é um padrão da comunidade internacional de segurança de informações para a promoção de conteúdo de segurança aberto e disponível ao público. Ela padroniza a transferência dessas informações por todo o especto de ferramentas e serviços de segurança.
Os resultados de cada teste OVAL são gravados em vários arquivos no dispositivo de destino e, em seguida, compilados em um único arquivo de resultados na solução e exibidos na página Resultados da verificação de SCAP. |
SCAP |
Protocolo de automação de segurança de conteúdos é um conjunto de padrões abertos que enumeram falhas de software, monitoram nomes de produtos e configurações relacionadas à segurança e examinam dispositivos para determinar a presença de vulnerabilidades e classificar (pontuar) o impacto dos problemas de segurança localizados. Consulte Sobre SCAP. |
XCCDF |
O xCCDF (eXtensible Configuration Checklist Description Format - Formato Extensible da descrição da lista de verificação da configuração) é uma linguagem de especificação para gravar listas de verificação de segurança, referências de desempenho e documentos relacionados. Um arquivo XCCDF contém uma coleção estruturada de regras de configuração de segurança para um conjunto de dispositivos de destino. A especificação é elaborada para dar suporte ao intercâmbio de informações, à geração de documentos, à adequação organizacional e situacional, ao teste automatizado de conformidade e à avaliação da conformidade. Consulte Como funciona uma verificação SCAP. |
Definições dos padrões de SCAP
O SCAP (Secure Content Automation Protocol, Protocolo de automação de segurança de conteúdos) é um conjunto de padrões abertos que compila falhas de software, monitora configurações relacionadas à segurança e nomes de produtos, e examina sistemas para determinar a presença de vulnerabilidades e classificar (pontuar) o impacto das questões de segurança constatadas em dispositivos Windows.
O SCAP é mantido pelo Instituto Nacional de Normas e Tecnologia (NIST) e seu uso é imposto por agências governamentais, como a OMB (Agência de gerenciamento e orçamento dos EUA).
O SCAP usa o Banco de dados nacional de vulnerabilidade (NVD) do governo dos EUA, que é um repositório de dados para gerenciamento de vulnerabilidades baseado em padrões. O NVD inclui bancos de dados de listas de verificação de segurança, falhas de software relacionadas à segurança, configurações incorretas, nomes de produtos e medidas de impacto. Para obter mais informações sobre SCAP e NVD, acesse os sites do NIST em http://scap.nist.gov/index.html e http://nvd.nist.gov/.
O KACE SMA dá suporte para o SCAP 1.0, 1.1 e 1.2, e o SCAP possui certificação para executar nas plataformas Windows 7 e superior (sistemas de 32 e 64 bits).
O KACE SMA conduz verificações de SCAP que usam o software do Agente do KACE SMA instalado nos dispositivos gerenciados. O SCAP não está disponível para dispositivos que não tenham o software do Agente do KACE SMA instalado, por exemplo, dispositivos sem agente.
O KACE SMA conduz verificações de SCAP que executam scripts em dispositivos gerenciados por agente selecionado usando listas de verificação de configuração de segurança do Repositório nacional de listas de verificação.
Para o SCAP versões 1.0 e 1.1, o script verifica o fluxo de dados SCAP escrito em formatos de XML que usam os seguintes padrões de SCAP: CCE, CPE, CVE, CVSS, OVAL e XCCDF. Consulte Definições dos padrões de SCAP.
O SCAP 1.2 agrega o conceito de “Fluxo de dados” em que todos os arquivos de resultados individuais são combinados em um único arquivo XML. Além disso, o SCAP 1.2 adiciona um novo formato de saída denominado ARF (Asset Report Format 1.1). Para obter mais informações, vá para http://scap.nist.gov/specifications/arf/.
O KACE SMA usa o software do agente para executar as constatações de conformidade com a verificação de SCAP. Os arquivos de resultados são carregados no banco de dados de soluções ou da organização, e combinados em um único arquivo para geração de relatórios para um órgão governamental (se necessário). Também são exibidos resultados para cada dispositivo na página Resultados da verificação de SCAP da solução.
Se o componente Organização estiver ativado na solução, você poderá visualizar os resultados da verificação de SCAP para cada organização separadamente.
O SCAP usa o OVAL Interpreter versão 5.10.1 e fornece:
Esses recursos aumentam a segurança do software, a avaliação de ameaça e a correção de vulnerabilidade.
As verificações de SCAP monitoram a segurança do dispositivo usando protocolos e padrões especificados.
Padrão |
Definição |
CCE |
A CCE (Common Configuration Enumeration - Enumeração de configuração comum) fornece identificadores exclusivos para questões de configuração do sistema de modo a facilitar a rápida e precisa correlação de dados de configuração em várias fontes e ferramentas de informação.
Os resultados da verificação de conformidade produzidos pela verificação de SCAP do KACE SMA incluem as referências de ID de CCE relevantes para definições XCCDF e OVAL de cada regra verificada de acordo com a definição da lista de verificação.
As informações da CCE estão disponíveis no arquivo de resultados XCCDF e na página Resultados da verificação de SCAP da solução. |
CPE |
A CPE (Common Platform Enumeration - Enumeração de plataforma comum) é um esquema de nomenclatura estruturada para pacotes, plataformas e sistemas de tecnologia da informação. Com base na sintaxe genérica de URI (Uniform Resource Identifiers - Identificadores uniformes de recursos), a CPE inclui um formato de nome formal, uma linguagem para descrever plataformas complexas, um método para verificar nomes em um sistema e um formato de descrição para vinculação de texto e testes a um nome. Em essência, a CPE garante a aplicação da lista de verificação de segurança à plataforma correta.
Essas informações estão disponíveis no arquivo de resultados XCCDF e na página Resultados da verificação de SCAP da solução. |
CVE |
A CVE (Common Vulnerability and Exposures - Vulnerabilidades e exposições comuns) é uma lista ou dicionário que fornece identificadores padrão (nomes comuns) das vulnerabilidades de segurança e falhas de software conhecidas.
Os resultados da verificação de conformidade produzidos pela verificação de SCAP do KACE SMA podem incluir as referências de ID de CVE relevantes e a definição de OVAL para cada regra verificada de acordo com a definição da lista de verificação.
Para cada patch ou vulnerabilidade, são fornecidas referências do ID de CVE na página Resultados da verificação de SCAP da solução.
As informações de CVE estão armazenadas em um arquivo XML de resultados do patch gerado pela verificação. O arquivo está disponível para inspeção e verificação no diretório de trabalho do agente e na página Resultados da verificação de SCAP do servidor. |
CVSS |
O CVSS (Common Vulnerability Scoring System - Sistema de pontuação de vulnerabilidades comuns) fornece uma estrutura aberta para comunicação das características e do impacto das vulnerabilidades de TI. Seu modelo quantitativo ajuda a assegurar a medição precisa reproduzível durante a ativação dos usuários paras ver as características de vulnerabilidade subjacentes usadas para geração de pontuações. O CVSS é bem adequado para indústrias, empresas e órgãos públicos que necessitam de pontuações de impacto de vulnerabilidade precisas e consistentes. Entre outros benefícios, o CVSS auxilia a priorização das atividades de correção de vulnerabilidade e o cálculo da severidade das vulnerabilidades. O NVD (National Vulnerability Database - Banco de Dados Nacional de Vulnerabilidades) fornece as pontuações CVSS para praticamente todas as vulnerabilidades conhecidas. |
OVAL |
O OVAL (Open Vulnerability and Assessment Language - Linguagem aberta de avaliação de vulnerabilidade) é um padrão da comunidade internacional de segurança de informações para a promoção de conteúdo de segurança aberto e disponível ao público. Ela padroniza a transferência dessas informações por todo o especto de ferramentas e serviços de segurança.
Os resultados de cada teste OVAL são gravados em vários arquivos no dispositivo de destino e, em seguida, compilados em um único arquivo de resultados na solução e exibidos na página Resultados da verificação de SCAP. |
SCAP |
Protocolo de automação de segurança de conteúdos é um conjunto de padrões abertos que enumeram falhas de software, monitoram nomes de produtos e configurações relacionadas à segurança e examinam dispositivos para determinar a presença de vulnerabilidades e classificar (pontuar) o impacto dos problemas de segurança localizados. Consulte Sobre SCAP. |
XCCDF |
O xCCDF (eXtensible Configuration Checklist Description Format - Formato Extensible da descrição da lista de verificação da configuração) é uma linguagem de especificação para gravar listas de verificação de segurança, referências de desempenho e documentos relacionados. Um arquivo XCCDF contém uma coleção estruturada de regras de configuração de segurança para um conjunto de dispositivos de destino. A especificação é elaborada para dar suporte ao intercâmbio de informações, à geração de documentos, à adequação organizacional e situacional, ao teste automatizado de conformidade e à avaliação da conformidade. Consulte Como funciona uma verificação SCAP. |
Sobre os parâmetros de comparação
Um parâmetro de comparação SCAP é uma lista de verificação de configuração de segurança que contém uma série de regras para avaliar as vulnerabilidades de um dispositivo em um ambiente operacional específico.
O NIST (National Institute of Standards and Technology, Instituto nacional de normas e tecnologia) mantém o Repositório nacional de listas de verificação, que contém várias listas de verificação de configuração de segurança para produtos e categorias específicas de TI.
O padrão do parâmetro de comparação USGCB (United States Government Configuration Baseline) evoluiu da FDCC (Federal Desktop Core Configuration), e, atualmente, gerenciar o Windows 7 (juntamente com versões anteriores do Windows, como o Windows XP ou o Windows Vista), e o Internet Explorer versões 7 e 8.
Uma lista de verificação é formada por um arquivo ZIP que contém vários arquivos XML chamados de Fluxo SCAP. O arquivo principal do fluxo é o arquivo XCCDF. O arquivo XCCDF é uma coleção estruturada de regras de configuração de segurança para um conjunto de dispositivos de destino. Basicamente, é uma lista de testes OVAL que devem ser executados. Os demais arquivos XML contêm os testes OVAL especificados no arquivo XCCDF. Para informações detalhadas sobre a Especificação do XCCDF, acesse http://scap.nist.gov/specifications/xccdf/.
Um parâmetro de comparação pode conter um ou mais perfis. Um perfil especifica quais regras são executadas em tipos específicos de dispositivos. Por exemplo, um parâmetro de comparação pode conter um conjunto de regras para desktops e outro conjunto para servidores.
Como funciona uma verificação SCAP
Antes de conduzir verificações de SCAP, o KACE SMA importa e verifica um parâmetro de comparação. Depois da importação e verificação, a referência de desempenho é carregada na solução e o arquivo XCCDF passa por um processo chamado resolução.
Durante a resolução, é gerado o arquivo oval-command.zip. Este arquivo ZIP contém os arquivos de entrada necessários para executar um determinado perfil. É possível visualizar os arquivos na página Detalhe do script. Consulte Configuração dos cronogramas de SCAP.
A verificação SCAP é controlada por um KScript. Quando a verificação é executada, os seguintes arquivos são baixados para o dispositivo de destino como dependências de script:
• |
benchmark.zip: contém os arquivos de parâmetro de comparação, ou seja, a Fluxo SCAP que foi carregado na solução. (Na verdade, o arquivo XCCDF não é usado pelo dispositivo.) |
• |
ovalref.zip: contém o mecanismo de verificação OVAL ( ovaldi.exe). |
O KScript inicia as verificações OVAL no dispositivo de destino e gera vários arquivos de resultados. O mecanismo de verificação OVAL é executado duas ou três vezes:
Cada execução gera um arquivo de resultados. Esses arquivos são nomeados de acordo com a execução. Por exemplo, o arquivo da primeira execução é denominado scap-profile-10-result-1.xml e o da segunda é chamado de scap-profile-10-result-2.xml. Esses arquivos estão localizados no seguinte diretório: C:\Documents and Settings\All Users\Quest\KACE\kbots_cache\packages\kbots\<working directory>.
Para localizar o diretório de trabalho do Agente do KACE SMA, vá para Inventário > Dispositivos > Detalhes do dispositivo > Registros.
Esses arquivos de resultados são então carregados no KACE SMA e combinados em um único arquivo de resultados (xccdf-results.xml). Use este arquivo para informar os resultados a um órgão do governo como o OMB (Agência de gerenciamento e orçamento) dos EUA. O KACE SMA e o dispositivo gerenciado retêm apenas os arquivos de resultados mais recentes.
Na etapa final de uma execução, um subconjunto dos arquivos de resultados é extraído, armazenado no banco de dados da organização para fins de relatório e exibido na página Resultados da verificação de SCAP de cada dispositivo.
As tabelas do banco de dados que contêm essas informações são SCAP_RESULT, SCAP_RESULT_RULE e SCAP_RESULT_SCORE. Consulte Exibição dos resultados da verificação de SCAP.
É possível acessar as informações da verificação de SCAP na seção Segurança.
a. |
Faça login no Console do administrador do KACE SMA: https://KACE_SMA_hostname/admin. Ou, se a opção Mostrar menu da organização no cabeçalho administrativo estiver ativada nas Configurações gerais da solução, selecione uma organização na lista suspensa no canto superior direito da página, ao lado das informações de login. |
▪ |
Catálogo: Mostra o status de referência de desempenho do SCAP. Além dessa página, você pode importar listas de verificação, excluir listas de verificação e exportar uma lista de verificação para o formato CSV. |
▪ |
Cronogramas: Exibe o nome das referências de desempenho e para quando elas estão agendadas para execução. Além dessa página, você pode adicionar e excluir referências de desempenho, ativar ou desativar referências de desempenho e exportar uma referência de desempenho para o formato CSV. |
▪ |
Relatório: Mostra os resultados gerais de verificações SCAP. |
A página também exibe um painel que mostra os resultados por parâmetro de comparação. Para ser aprovado em um parâmetro de comparação, o dispositivo deve obter uma pontuação de 100%.
É possível visualizar e gerenciar os parâmetros de comparação, que incluem os perfis e listas de verificação importados para a solução.
Adicionalmente, é possível importar e excluir parâmetros de comparação, e exportá-los para o formato CSV, selecionando Escolher ação na página Catálogo SCAP.
a. |
Faça login no Console do administrador do KACE SMA: https://KACE_SMA_hostname/admin. Ou, se a opção Mostrar menu da organização no cabeçalho administrativo estiver ativada nas Configurações gerais da solução, selecione uma organização na lista suspensa no canto superior direito da página, ao lado das informações de login. |
c. |
No painel Verificação de SCAP, clique em Catálogo. |
2. |
Opcional: Especifique quais parâmetros de comparação serão exibidos usando a lista suspensa Exibir por ou o campo Pesquisar. |
3. |
Opcional: Para organizar os parâmetros de comparação, clique em um cabeçalho de coluna. |
O Catálogo SCAP contém informações gerais sobre o parâmetro de comparação selecionado e a data e hora de carregamento dos dados SCAP na solução. Consulte Download dos parâmetros de comparação do arquivo.
Você pode importar e modificar parâmetros de comparação do Repositório nacional de listas de verificação, como necessário.
a. |
Faça login no Console do administrador do KACE SMA: https://KACE_SMA_hostname/admin. Ou, se a opção Mostrar menu da organização no cabeçalho administrativo estiver ativada nas Configurações gerais da solução, selecione uma organização na lista suspensa no canto superior direito da página, ao lado das informações de login. |
c. |
No painel Verificação de SCAP, clique em Catálogo. |
2. |
Selecione Escolher ação > Importar novas listas de verificação. |
A página Configurações de verificação da configuração de SCAP é exibida e mostra a Etapa 1 do assistente de importação.
3. |
Clique em Procurar ou em Escolher arquivo para importar um arquivo ZIP de parâmetros de comparação. |
7. |
Opcional: Clique em Pesquisar ou Escolher arquivo para localizar e carregar um mecanismo personalizado e seus respectivos arquivos de configuração. |
Uma caixa de diálogo é exibida indicando que o arquivo de parâmetro de comparação está sendo carregado, seguida pela página Detalhes do script. Consulte Edição de cronogramas de verificação de SCAP.
É possível importar parâmetros de comparação ou definições, além de alterar as configurações para verificações de SCAP, ao configurar os cronogramas de SCAP.
a. |
Faça login no Console do administrador do KACE SMA: https://KACE_SMA_hostname/admin. Ou, se a opção Mostrar menu da organização no cabeçalho administrativo estiver ativada nas Configurações gerais da solução, selecione uma organização na lista suspensa no canto superior direito da página, ao lado das informações de login. |
c. |
No painel Verificação de SCAP, clique em Cronogramas. |
2. |
Selecione Escolher ação e escolha uma ação para adicionar e excluir os parâmetros de comparação, ativar ou desativar parâmetros de comparação e exportar um parâmetro de comparação para o formato CSV. |