Analyses SCAP via l'appliance K1000
Le protocole SCAP est un ensemble de standards ouverts qui répertorient les failles logicielles, analysent les noms des produits et les configurations en termes de sécurité, examinent les systèmes pour y déceler d'éventuelles vulnérabilités et classent les problèmes de sécurité détectés selon leur impact sur les périphériques Windows (en leur attribuant un score).
Le protocole SCAP est géré par le National Institute of Standards and Technology (NIST) et son utilisation est mandatée par des agences gouvernementales telles que le Bureau américain de la gestion et du budget (OMB).
Le protocole SCAP a recours à la National Vulnerability Database (NVD), le référentiel standard des données de gestion des vulnérabilités mis au point par le gouvernement des États-Unis. Il repose sur des bases de données des listes de contrôle de sécurité, des failles de sécurité logicielles, des problèmes de configuration, des noms de produits et des mesures d'impact. Pour plus d'informations sur le protocole SCAP et la base de données NVD, consultez les sites Web du NIST aux adresses suivantes : http://scap.nist.gov/index.html et http://nvd.nist.gov/.
L'appliance K1000 prend en charge les versions 1.0, 1.1 et 1.2 de SCAP, et le fonctionnement de SCAP est certifié pour les plates-formes Windows 7 (32 bits et 64 bits), Windows Vista et Windows XP.
L'appliance K1000 procède à des analyses SCAP à l'aide de l'agent K1000 installé sur les périphériques infogérés. Il est impossible d'utiliser SCAP sur les périphériques où l'agent K1000 n'est pas installé, tels que les périphériques sans agent.
L'appliance K1000 procède à des analyses SCAP en exécutant des scripts sur les périphériques infogérés par l'agent sélectionnés à l'aide de listes de contrôle de configuration de la sécurité à partir du référentiel National Checklist Program Repository.
Pour SCAP versions 1.0 et 1.1, le script vérifie le flux de données SCAP écrit au format XML à l'aide des standards SCAP suivants : CCE, CPE, CVE, CVSS, OVAL et XCCDF. Voir Définitions des standards SCAP.
SCAP 1.2 ajoute le concept de « flux de données » selon lequel tous les résultats individuels sont regroupés dans un fichier XML unique. Par ailleurs, SCAP 1.2 ajoute un nouveau format de sortie nommé ARF (Asset Report Format 1.1). Pour plus d'informations, rendez-vous sur http://scap.nist.gov/specifications/arf/.
L'appliance K1000 utilise le logiciel de l'agent pour vérifier la conformité au moyen d'analyses SCAP. Les fichiers de résultats sont ensuite chargés dans la base de données de l'appliance ou de l'organisation et fusionnés dans un seul fichier, qui peut être fourni aux organismes publics en guise de rapport (le cas échéant). Les résultats s'affichent également pour chaque périphérique sur la page Résultats de l'analyse SCAP de l'appliance.
Si le composant Organisation est activé sur votre appliance, vous pouvez afficher les résultats de l'analyse SCAP pour chacune des organisations séparément.
SCAP utilise l'interpréteur OVAL version 5.10.1 et fournit :
Ces fonctionnalités ont non seulement pour fonction de renforcer la sécurité logicielle, mais aussi de répondre aux menaces et de remédier aux vulnérabilités des systèmes.
Les analyses SCAP surveillent la sécurité des périphériques à l'aide de protocoles et de standards spécifiés.
Standard |
Définition |
CCE |
CCE est l'acronyme de « Common Configuration Enumeration ». Cette liste attribue des identificateurs uniques aux problèmes de configuration système afin de simplifier la corrélation rapide et précise entre les données de configuration à travers les multiples outils et sources d'informations.
Les résultats des contrôles de conformité produits par l'analyse SCAP de l'appliance de gestion K1000 comprennent les références des identificateurs CCE correspondant aux définitions XCCDF et OVAL de chaque règle vérifiée selon les indications de la définition de la liste de contrôle.
Les informations CCE sont accessibles dans le fichier de résultats XCCDF et dans la page Résultats de l'analyse SCAP de l'appliance. |
CPE |
Acronyme de « Common Platform Enumeration », CPE est un schéma d'appellation structuré pour les systèmes, les plates-formes et les packages de technologie de l'information. Basé sur la syntaxe générique des identificateurs URI (Uniform Resource Identifier), CPE inclut un format de nom formel, un langage de description des plates-formes complexes, une méthode de vérification des noms par rapport à un système et un format de description des liaisons entre du texte et des tests et un nom. En substance, CPE garantit que la liste de contrôle de sécurité est appliquée à la plate-forme appropriée.
Ces informations sont accessibles dans le fichier de résultats XCCDF et dans la page Résultats de l'analyse SCAP de l'appliance. |
CVE |
La liste CVE (Common Vulnerability and Exposures) est une liste comparable à un dictionnaire qui répertorie les identificateurs standard (noms courants) des vulnérabilités et des failles logicielles connues.
Les résultats des contrôles de conformité produits par l'analyse SCAP de l'appliance de gestion K1000 comportent les références des identificateurs CVE et les définitions OVAL de chaque règle vérifiée dans la définition de la liste de contrôle.
Pour chaque correctif ou vulnérabilité, les références aux identificateurs CVE sont indiquées sur la page Résultats de l'analyse SCAP de l'appliance.
Les informations relatives à CVE sont enregistrées dans un fichier XML de résultats des correctifs généré par l'analyse. Ce fichier est conservé dans le répertoire de travail de l'agent et sur la page Résultats de l'analyse SCAP à des fins de consultation et de vérification. |
CVSS |
La structure CVSS (Common Vulnerability Scoring System) est une structure ouverte qui permet de communiquer les caractéristiques et l'impact des vulnérabilités informatiques. Son modèle quantitatif garantit la précision de chaque mesure tout en permettant aux utilisateurs de connaître les caractéristiques des vulnérabilités sous-jacentes utilisées pour générer les scores. CVSS convient particulièrement aux entreprises commerciales et non commerciales, ainsi qu'aux administrations qui souhaitent obtenir des scores précis et cohérents de l'impact des vulnérabilités. CVSS permet entre autres d'établir des priorités entre les activités de correction des vulnérabilités et de calculer la gravité des vulnérabilités. La base de données NVD (National Vulnerability Database) fournit les scores CVSS de la plupart des vulnérabilités connues. |
OVAL |
Acronyme de « Open Vulnerability and Assessment Language », OVAL est un standard communautaire international de sécurité des informations pour la promotion du contenu de sécurité ouvert et accessible publiquement. Il normalise le transfert de ces informations à travers l'ensemble des services et outils de sécurité.
Les résultats de chaque test OVAL sont consignés dans plusieurs fichiers sur le périphérique cible, puis compilés dans un seul fichier de résultats sur l'appliance et affichés sur la page Résultats de l'analyse SCAP. |
SCAP |
Le protocole SCAP (Secure Content Automation Protocol) est un ensemble de standards ouverts qui répertorient les failles logicielles, analysent les noms des produits et les configurations en lien avec la sécurité, examinent les périphériques pour y déceler d'éventuelles vulnérabilités et classent les problèmes de sécurité détectés selon leur impact (en leur attribuant un score). Voir À propos de SCAP. |
XCCDF |
Le format XCCDF (eXtensible Configuration Checklist Description Format) est un langage de spécification régissant l'écriture des listes de contrôle de sécurité, des bancs d'essai et des documents associés. Tout fichier XCCDF contient un ensemble structuré de règles de configuration de sécurité applicables à un groupe de périphériques cibles. La spécification est conçue pour prendre en charge les échanges d'informations, la génération de documents, la personnalisation selon l'organisation ou la situation, les tests de conformité automatisés et les scores de conformité. Voir Mode de fonctionnement d'une analyse SCAP. |
Définitions des standards SCAP
Le protocole SCAP est un ensemble de standards ouverts qui répertorient les failles logicielles, analysent les noms des produits et les configurations en termes de sécurité, examinent les systèmes pour y déceler d'éventuelles vulnérabilités et classent les problèmes de sécurité détectés selon leur impact sur les périphériques Windows (en leur attribuant un score).
Le protocole SCAP est géré par le National Institute of Standards and Technology (NIST) et son utilisation est mandatée par des agences gouvernementales telles que le Bureau américain de la gestion et du budget (OMB).
Le protocole SCAP a recours à la National Vulnerability Database (NVD), le référentiel standard des données de gestion des vulnérabilités mis au point par le gouvernement des États-Unis. Il repose sur des bases de données des listes de contrôle de sécurité, des failles de sécurité logicielles, des problèmes de configuration, des noms de produits et des mesures d'impact. Pour plus d'informations sur le protocole SCAP et la base de données NVD, consultez les sites Web du NIST aux adresses suivantes : http://scap.nist.gov/index.html et http://nvd.nist.gov/.
L'appliance K1000 prend en charge les versions 1.0, 1.1 et 1.2 de SCAP, et le fonctionnement de SCAP est certifié pour les plates-formes Windows 7 (32 bits et 64 bits), Windows Vista et Windows XP.
L'appliance K1000 procède à des analyses SCAP à l'aide de l'agent K1000 installé sur les périphériques infogérés. Il est impossible d'utiliser SCAP sur les périphériques où l'agent K1000 n'est pas installé, tels que les périphériques sans agent.
L'appliance K1000 procède à des analyses SCAP en exécutant des scripts sur les périphériques infogérés par l'agent sélectionnés à l'aide de listes de contrôle de configuration de la sécurité à partir du référentiel National Checklist Program Repository.
Pour SCAP versions 1.0 et 1.1, le script vérifie le flux de données SCAP écrit au format XML à l'aide des standards SCAP suivants : CCE, CPE, CVE, CVSS, OVAL et XCCDF. Voir Définitions des standards SCAP.
SCAP 1.2 ajoute le concept de « flux de données » selon lequel tous les résultats individuels sont regroupés dans un fichier XML unique. Par ailleurs, SCAP 1.2 ajoute un nouveau format de sortie nommé ARF (Asset Report Format 1.1). Pour plus d'informations, rendez-vous sur http://scap.nist.gov/specifications/arf/.
L'appliance K1000 utilise le logiciel de l'agent pour vérifier la conformité au moyen d'analyses SCAP. Les fichiers de résultats sont ensuite chargés dans la base de données de l'appliance ou de l'organisation et fusionnés dans un seul fichier, qui peut être fourni aux organismes publics en guise de rapport (le cas échéant). Les résultats s'affichent également pour chaque périphérique sur la page Résultats de l'analyse SCAP de l'appliance.
Si le composant Organisation est activé sur votre appliance, vous pouvez afficher les résultats de l'analyse SCAP pour chacune des organisations séparément.
SCAP utilise l'interpréteur OVAL version 5.10.1 et fournit :
Ces fonctionnalités ont non seulement pour fonction de renforcer la sécurité logicielle, mais aussi de répondre aux menaces et de remédier aux vulnérabilités des systèmes.
Les analyses SCAP surveillent la sécurité des périphériques à l'aide de protocoles et de standards spécifiés.
Standard |
Définition |
CCE |
CCE est l'acronyme de « Common Configuration Enumeration ». Cette liste attribue des identificateurs uniques aux problèmes de configuration système afin de simplifier la corrélation rapide et précise entre les données de configuration à travers les multiples outils et sources d'informations.
Les résultats des contrôles de conformité produits par l'analyse SCAP de l'appliance de gestion K1000 comprennent les références des identificateurs CCE correspondant aux définitions XCCDF et OVAL de chaque règle vérifiée selon les indications de la définition de la liste de contrôle.
Les informations CCE sont accessibles dans le fichier de résultats XCCDF et dans la page Résultats de l'analyse SCAP de l'appliance. |
CPE |
Acronyme de « Common Platform Enumeration », CPE est un schéma d'appellation structuré pour les systèmes, les plates-formes et les packages de technologie de l'information. Basé sur la syntaxe générique des identificateurs URI (Uniform Resource Identifier), CPE inclut un format de nom formel, un langage de description des plates-formes complexes, une méthode de vérification des noms par rapport à un système et un format de description des liaisons entre du texte et des tests et un nom. En substance, CPE garantit que la liste de contrôle de sécurité est appliquée à la plate-forme appropriée.
Ces informations sont accessibles dans le fichier de résultats XCCDF et dans la page Résultats de l'analyse SCAP de l'appliance. |
CVE |
La liste CVE (Common Vulnerability and Exposures) est une liste comparable à un dictionnaire qui répertorie les identificateurs standard (noms courants) des vulnérabilités et des failles logicielles connues.
Les résultats des contrôles de conformité produits par l'analyse SCAP de l'appliance de gestion K1000 comportent les références des identificateurs CVE et les définitions OVAL de chaque règle vérifiée dans la définition de la liste de contrôle.
Pour chaque correctif ou vulnérabilité, les références aux identificateurs CVE sont indiquées sur la page Résultats de l'analyse SCAP de l'appliance.
Les informations relatives à CVE sont enregistrées dans un fichier XML de résultats des correctifs généré par l'analyse. Ce fichier est conservé dans le répertoire de travail de l'agent et sur la page Résultats de l'analyse SCAP à des fins de consultation et de vérification. |
CVSS |
La structure CVSS (Common Vulnerability Scoring System) est une structure ouverte qui permet de communiquer les caractéristiques et l'impact des vulnérabilités informatiques. Son modèle quantitatif garantit la précision de chaque mesure tout en permettant aux utilisateurs de connaître les caractéristiques des vulnérabilités sous-jacentes utilisées pour générer les scores. CVSS convient particulièrement aux entreprises commerciales et non commerciales, ainsi qu'aux administrations qui souhaitent obtenir des scores précis et cohérents de l'impact des vulnérabilités. CVSS permet entre autres d'établir des priorités entre les activités de correction des vulnérabilités et de calculer la gravité des vulnérabilités. La base de données NVD (National Vulnerability Database) fournit les scores CVSS de la plupart des vulnérabilités connues. |
OVAL |
Acronyme de « Open Vulnerability and Assessment Language », OVAL est un standard communautaire international de sécurité des informations pour la promotion du contenu de sécurité ouvert et accessible publiquement. Il normalise le transfert de ces informations à travers l'ensemble des services et outils de sécurité.
Les résultats de chaque test OVAL sont consignés dans plusieurs fichiers sur le périphérique cible, puis compilés dans un seul fichier de résultats sur l'appliance et affichés sur la page Résultats de l'analyse SCAP. |
SCAP |
Le protocole SCAP (Secure Content Automation Protocol) est un ensemble de standards ouverts qui répertorient les failles logicielles, analysent les noms des produits et les configurations en lien avec la sécurité, examinent les périphériques pour y déceler d'éventuelles vulnérabilités et classent les problèmes de sécurité détectés selon leur impact (en leur attribuant un score). Voir À propos de SCAP. |
XCCDF |
Le format XCCDF (eXtensible Configuration Checklist Description Format) est un langage de spécification régissant l'écriture des listes de contrôle de sécurité, des bancs d'essai et des documents associés. Tout fichier XCCDF contient un ensemble structuré de règles de configuration de sécurité applicables à un groupe de périphériques cibles. La spécification est conçue pour prendre en charge les échanges d'informations, la génération de documents, la personnalisation selon l'organisation ou la situation, les tests de conformité automatisés et les scores de conformité. Voir Mode de fonctionnement d'une analyse SCAP. |
À propos des bancs d'essai
Un banc d'essai SCAP est une liste de contrôle de configuration de la sécurité qui contient un ensemble de règles permettant d'évaluer les vulnérabilités d'un périphérique dans un environnement opérationnel spécifique.
Le National Institute of Standards and Technology (NIST) gère le référentiel National Checklist Repository qui renferme diverses listes de contrôle de configuration de la sécurité relatives à des produits informatiques et à des catégories de produits informatiques spécifiques.
Il existe deux normes dans le domaine des bancs d'essai :
Une liste de contrôle est un fichier ZIP regroupant plusieurs fichiers XML désignés sous le nom de flux de données SCAP. Le fichier principal du flux de données est le fichier XCCDF. Le fichier XCCDF est un ensemble structuré de règles de configuration de sécurité applicables à un groupe de périphériques cibles. Il s'agit essentiellement d'une liste de tests OVAL à exécuter. Les autres fichiers XML contiennent les tests OVAL spécifiés dans le fichier XCCDF. Pour obtenir des informations détaillées sur la spécification XCCDF, voir http://scap.nist.gov/specifications/xccdf/.
Un banc d'essai peut être composé d'un ou de plusieurs profils. Un profil définit les règles exécutées sur des types de périphériques spécifiques. Un banc d'essai peut contenir, par exemple, un jeu de règles destiné aux ordinateurs de bureau et un autre jeu de règles destiné aux serveurs.
Mode de fonctionnement d'une analyse SCAP
Avant de procéder à des analyses SCAP, l'appliance K1000 importe et vérifie un banc d'essai. À l'issue de l'importation et de la vérification, le banc d'essai est chargé sur le serveur et le fichier XCCDF passe par un processus appelé résolution.
C'est au cours de ce processus que le fichier oval-command.zip est généré. Ce fichier ZIP contient les fichiers d'entrée nécessaires à l'exécution d'un profil particulier. Vous pouvez consulter les fichiers sur la page Détails sur le script. Voir Configurer des planifications SCAP.
L'analyse SCAP est supervisée par un KScript. Lors de l'exécution de l'analyse, les fichiers suivants sont téléchargés sur le périphérique cible en tant que dépendances de script :
• |
benchmark.zip : contient les fichiers du banc d'essai, à savoir le flux de données SCAP transféré sur l'appliance. (Le fichier XCCDF n'est, en fait, pas utilisé par le périphérique.) |
• |
ovalref.zip : contient le moteur d'analyse OVAL ( ovaldi.exe). |
Le KScript lance les analyses OVAL sur le périphérique cible et génère plusieurs fichiers de résultats. Le moteur d'analyse OVAL s'exécute à deux ou trois reprises :
Chaque exécution génère un fichier de résultats. Ces fichiers sont nommés en fonction de l'exécution. Par exemple, le fichier issu de la première exécution est nommé scap-profile-10-result-1.xml et le second scap-profile-10-result-2.xml. Ces fichiers sont stockés dans les répertoires suivants :
Windows XP : C:\Documents and Settings\All Users\Dell\KACE\kbots_cache\packages\kbots\<répertoire de travail>
Windows Vista and Windows 7 : C:\ProgramData\Dell\KACE\kbots_cache\packages\kbots\<répertoire de travail>
Pour trouver le répertoire de travail de l'agent K1000, accédez à Inventaire > Périphériques > Détails sur le périphérique > Journaux.
Ces fichiers sont ensuite transférés sur l'appliance K1000 et fusionnés dans un seul fichier de résultats (xccdf-results.xml). Vous pouvez fournir ce fichier, en guise de rapport, à un organisme public tel que le Ministère du Budget. L'appliance K1000 et le périphérique infogéré conservent uniquement les derniers fichiers de résultats.
Au cours de l'étape finale d'une exécution, un sous-ensemble de fichiers de résultats est extrait et stocké dans la base de données de l'organisation, puis affiché sur la page Résultats de l'analyse SCAP pour chaque périphérique.
Les tables de la base de données réservées à ces informations sont SCAP_RESULT, SCAP_RESULT_RULE et SCAP_RESULT_SCORE. Voir Affichage des résultats de l'analyse SCAP.
Vous pouvez accéder aux données d'analyse SCAP dans la section Sécurité.
a. |
Connectez-vous à la Console d'administration K1000, http://K1000_hostname/admin. Ou bien, si l'option Afficher le menu de l'organisation dans l'en-tête d'administrateur est activée dans les Paramètres généraux de l'appliance, sélectionnez une organisation dans la liste déroulante située en haut à droite de la page, à côté des informations de connexion. |
▪ |
Catalogue : affiche l'état des bancs d'essai SCAP. Cette page permet également d'importer ou de supprimer des listes de contrôle ou de les exporter au format CSV. |
▪ |
Planifications : affiche le nom des bancs d'essai et leur calendrier d'exécution. Cette page permet également d'ajouter ou de supprimer des bancs d'essai, de les activer ou de les désactiver ou bien encore d'exporter un banc d'essai au format CSV. |
▪ |
Rapports : présente les résultats généraux des analyses SCAP. |
Cette page propose également un tableau de bord qui récapitule les résultats par banc d'essai. Pour qu'un périphérique passe un banc d'essai avec réussite, il doit obtenir un score de 100 %.
Vous pouvez afficher et gérer des bancs d'essai, qui incluent des profils et des listes de contrôle importés dans l'appliance.
Vous pouvez également importer ou supprimer des bancs d'essai ou encore exporter des bancs d'essai au format CSV en sélectionnant Choisir une action sur la page Catalogue SCAP.
a. |
Connectez-vous à la Console d'administration K1000, http://K1000_hostname/admin. Ou bien, si l'option Afficher le menu de l'organisation dans l'en-tête d'administrateur est activée dans les Paramètres généraux de l'appliance, sélectionnez une organisation dans la liste déroulante située en haut à droite de la page, à côté des informations de connexion. |
2. |
Facultatif : choisissez les bancs d'essai qui vous intéressent à l'aide de la liste déroulante Afficher par ou du champ Rechercher. |
3. |
Facultatif : pour trier les bancs d'essai, cliquez sur un en-tête de colonne. |
Le Catalogue SCAP contient des informations générales sur le banc d'essai sélectionné et sur l'heure et la date auxquelles les données SCAP ont été téléchargées sur l'appliance. Voir Télécharger des bancs d'essai à partir de l'archive.
Vous pouvez importer et modifier des bancs d'essai à partir du référentiel National Checklist Repository selon vos besoins.
a. |
Connectez-vous à la Console d'administration K1000, http://K1000_hostname/admin. Ou bien, si l'option Afficher le menu de l'organisation dans l'en-tête d'administrateur est activée dans les Paramètres généraux de l'appliance, sélectionnez une organisation dans la liste déroulante située en haut à droite de la page, à côté des informations de connexion. |
2. |
Sélectionnez Choisir une action > Importer de nouvelles listes de contrôle. |
La page Paramètres d'analyse de la configuration SCAP qui s'affiche correspond à l'Étape 1 de l'assistant d'importation.
7. |
Facultatif : cliquez sur Parcourir ou Sélectionner un fichier pour rechercher et télécharger un moteur personnalisé et ses fichiers de configuration. |
La boîte de dialogue qui s'ouvre indique que le fichier du banc d'essai est en cours de chargement ; apparaît ensuite la page Détails sur le script. Voir Modification de la planification des analyses SCAP.
Vous pouvez importer des bancs d'essai ou des définitions, et modifier les paramètres des analyses SCAP, en configurant des planifications SCAP.
a. |
Connectez-vous à la Console d'administration K1000, http://K1000_hostname/admin. Ou bien, si l'option Afficher le menu de l'organisation dans l'en-tête d'administrateur est activée dans les Paramètres généraux de l'appliance, sélectionnez une organisation dans la liste déroulante située en haut à droite de la page, à côté des informations de connexion. |
2. |
Sélectionnez Choisir une action et sélectionnez une option pour ajouter, supprimer, activer ou désactiver des bancs d'essai ou bien encore exporter un banc d'essai au format CSV. |