SCAP 合规

InsightVM 符合针对未经验证扫描器产品的安全内容自动化协议 (SCAP) 标准。SCAP 是以标准方式表达和操控安全数据的一组标准。它是美国政府强制要求的内容并由美国国家标准与技术研究所 (NIST) 维护。

本附录介绍了关于如何在未经验证扫描器上执行 SCAP 标准的信息

如何执行 CPE

在扫描过程中,InsightVM 能够使用其指纹识别技术来确认目标平台和应用程序。在完成扫描及利用最新获取的数据填充扫描数据库后,当相应的 CPE 名称可用时,它能够将 CPE 名称应用于经指纹识别的平台和应用程序中。

在数据库内,CPE 名称可以不断地与美国国家标准与技术研究所 (National Institure of Standards, NIST) CPE 目录的变更保持同步更新。通过每个目录的修订版,应用程序都会将最新可用的 CPE 名称映射到之前没有 CPE 名称的应用程序描述中。

安全控制台网页界面会在扫描数据表格中显示 CPE 名称。您可以在资产、软件和操作系统列表以及特定资产页面中查看这些名称。CPE 名称还会以 XML 导出格式在报告中显示出来。

如何执行 CVE

InsightVM 使用已发现漏洞填充其扫描数据库时,它会在这些标识符可用的情况下将公共漏洞和暴露 (CVE) 标识符应用于这些漏洞中。

您可以在安全控制台网页界面的漏洞细节页面查看 CVE 标识符。每个列出的标识符都是一个指向 nvd.nist.gov 上的 CVE 在线数据库的超文本链接,您在这里可以找到其他相关信息和链接。

使用 CVE 标识符作为搜索标准,您可以在应用程序界面搜索漏洞。

CVE 标识符还会在报告的已发现漏洞部分显示出来。

应用程序可以使用来自 CVE 邮件列表和变更日志的最新 CVE 列表。由于应用程序通常会使用最新 CVE 列表,所以,它无需列出 CVE 版本编号。通过订阅服务维持现有定义和链接并持续添加新的定义和链接,应用程序可以每六小时更新一次漏洞定义。

如何执行 CVSS

对于每个已发现漏洞, InsightVM 都会计算第 2 版通用漏洞评分系统 (CVSS) 分数。在安全控制台网页界面中,每个漏洞都会列出自己的 CVSS 分数。您可以使用此分数、严重性等级以及基于时间或加权评分模式取决于您的配置偏好的风险评分对漏洞修复任务进行优先处理。

本应用程序可以将 CVSS 分数加入到 PCI 执行摘要和 PCI 漏洞细节报告中,这些报告提供了详细的支付卡行业 (PCI) 合规结果。根据每个已发现漏洞的 CVSS 分数,系统都会对其进行排名。Rapid7 是经批准的扫描供应商 (ASV);而 InsightVM 是经支付卡行业 (PCI) 准许的执行合规审计的工具。CVSS 分数与严重性等级相对应,ASV 可以用它来判断什么可以决定既定资产是否符合 PCI 标准。

应用程序在报告区段中也含有 CVSS 分数,各种各样的报告模板中都有报告区段。最高风险漏洞细节部分列出了最高风险漏洞,还包括它们的类别、风险评分以及 CVSS 分数。漏洞指数部分含有针对每个漏洞的严重性级别和 CVSS 评分。

PCI 漏洞细节部分含有关于 PCI 审计遗留报告所含的各个漏洞的深入信息。它可以根据漏洞的严重性级别和 CVSS 评分对漏洞进行量化处理。

如何执行 CCE

InsightVM  会测试资产对于配置政策的合规性。它可以在每个已测试资产的扫描结果页面上显示合规测试的结果。此页面上的政策列表表格显示了测试资产时所对照的各个政策。

每个列出的政策都是一个指向该政策内容页面的超级链接,页面上含有一个关于其组成规则的表格。每个列出的规则都是一个指向该规则内容页面的超级链接。规则页面含有关于规则的详细技术信息并列出了相应的 CCE 标识符。

通过搜索功能可以找到 CCE 条目。请参见用户指南中的使用搜索功能

在哪里查找 SCAP 更新信息和 OVAL 文件

InsightVM  可以自动加入关于每次内容更新的任何最新 SCAP 内容。您可以在 SCAP 页面上查看 SCAP 更新信息,您可以从安全控制台网页界面中的管理页面访问此页面。

在 SCAP 页面上显示的四个表格

每个表格都列出了最近的内容更新,其中包括最新的 SCAP 数据以及 NIST 生成新数据的最近日期。

在 SCAP 页面上,您还可以查看开放式漏洞和评估语言 (OVAL) 文件列表,这些文件已在配置政策检查的过程中导入。按照 FDCC 要求,每个列出的文件名称都是一个超级链接,您可以点击该超级链接下载 XML 结构化检查内容。