SCAP 규정 준수

Nexpose 는 인증되지 않은 스캔 제품과 관련해 SCAP(Security Content Automation Protocol) 기준을 준수합니다. SCAP는 보안 데이터를 표준화된 방식으로 표시하고 조직하기 위한 일련의 표준입니다. SCAP는 미국 정부에 의해 제정되었으며 NIST에 의해 관리됩니다.

이 부록은 인증되지 않은 스캔 제품에 대한 SCAP 표준 적용 방식과 관련된 정보를 제공합니다.

CPE 적용 방법

스캔 시 Nexpose는 대상 플랫폼 및 애플리케이션을 인식하기 위해 핑거 프린팅 기법을 활용합니다. 스캔을 완료하고 스캔 데이터베이스에 새로 수집한 데이터를 입력한 후 핑거 프린팅된 플랫폼 및 애플리케이션에 해당하는 CPE 이름을 적용합니다.

데이터베이스의 CPE 이름은 변경 사항과 함께 NIST(National Institute of Standards and Technology: 미국표준기술연구소) CPE 사전에 계속 업데이트됩니다. 사전이 개정될 때마다 이 애플리케이션은 이전에는 CPE 이름이 없었던 애플리케이션 설명에 새롭게 생성된 CPE 이름을 매핑합니다.

보안 콘솔 웹 인터페이스는 스캔 데이터 테이블에 CPE 이름을 표시합니다. 자산, 소프트웨어 및 운영 체제의 목록과 특정한 자산에 대한 페이지에서 이러한 이름을 확인할 수 있습니다. CPE 이름은 XML Export 형식의 보고서에서도 나타납니다.

CVE 적용 방법

Nexpose 가 스캔 데이터베이스에 검색된 취약점을 입력한 후 사용할 수 있는 CVE(Common Vulnerabilities and Exposures) 식별자를 이러한 취약점에 적용합니다.

CVE 식별자는 보안 콘솔 웹 인터페이스의 취약점 세부 정보 페이지에서 확인할 수 있습니다. 목록에 있는 각 식별자에는 관련된 추가 정보 및 링크를 찾을 수 있는 nvd.nist.gov의 CVE 온라인 데이터베이스로의 하이퍼텍스트 링크가 있습니다.

애플리케이션 인터페이스에서 CVE 식별자를 검색 조건으로 사용해 취약점을 검색할 수 있습니다.

CVE 식별자는 보고서의 검색된 취약점 섹션에도 나와 있습니다.

이 애플리케이션은 CVE 메일링 리스트 및 변경 로그의 최신 CVE 목록을 사용합니다. 애플리케이션이 항상 최신 CVE 목록을 사용하므로 CVE 버전 번호 목록은 필요하지 않습니다. 이 애플리케이션은 기존의 정의 및 링크를 보유하고 있으며 지속적으로 새로운 항목을 추가하는 등록 서비스를 통해 취약점에 대한 정의를 6시간마다 업데이트합니다.

CVSS 적용 방법

Nexpose 는 취약점을 검색할 때마다 CVSS(Common Vulnerability Scoring System) 버전 2 지수를 계산합니다. 각 취약점은 CVSS 지수와 함께 보안 콘솔 웹 인터페이스 목록에 입력됩니다. 구성 기본 설정에 따라 이러한 지수, 심각도 등급, 임시 또는 가중 지수 평가 모델에 기반한 위험 지수를 통해 취약점 해결 작업 우선 순위를 정할 수 있습니다.

이 애플리케이션은 상세한 PCI(Payment Card Industry) 규정 준수 결과를 제공하는 PCI 개요 및 PCI 취약점 세부 정보 보고서에 CVSS 지수를 통합합니다. 검색된 각 취약점은 CVSS 지수에 따라 등급이 결정됩니다. Rapid7은 ASV(Approved Scanning Vendor)이며 Nexpose는 규정 준수 감사 실시를 위해 PCI(Payment Card Industry)의 승인을 받은 툴입니다. CVSS 지수는 ASV가 자산이 PCI 표준을 준수하는지 파악하는 데 사용하는 심각도 등급과 일치합니다.

이 애플리케이션은 또한 CVSS 지수를 여러 보고서 템플릿에 있는 보고서 섹션에 추가합니다. 위험도가 가장 높은 취약점의 세부 정보 섹션에는 위험도가 가장 높은 취약점, 이러한 취약점의 범주, 위험 지수 및 CVSS 지수의 목록이 있습니다. 취약점 인덱스 섹션에는 각 취약점의 심각도 수준 및 CVSS 등급이 있습니다.

PCI 취약점 세부 정보 섹션에는 PCI 감사(기존) 보고서에 포함된 각 취약점에 대한 세부 정보가 있습니다. 이 섹션은 심각도 수준과 CVSS 등급에 따라 취약점을 수치화합니다.

CCE 적용 방법

Nexpose 는 구성 정책 규정 준수와 관련해 자산을 테스트합니다. 정책 규정 준수 테스트 결과를 모든 테스트된 자산의 스캔 결과 페이지에 표시합니다. 이 페이지의 정책 목록 테이블은 자산 테스트의 기준이 되는 모든 정책을 표시합니다.

목록에 있는 모든 정책에는 정책을 구성하는 규칙의 테이블이 있는 해당 정책 페이지로의 하이퍼링크가 있습니다. 목록에 있는 모든 규칙에는 해당 규칙에 대한 페이지로의 하이퍼링크가 있습니다. 이러한 규칙 페이지에는 해당 규칙에 대한 상세한 기술적인 정보와 관련 CCE 식별자 목록이 있습니다.

CCE 항목은 검색 기능을 통해 검색할 수 있습니다. 사용자 가이드에서 검색 기능 사용을 참조하십시오.

SCAP 업데이트 정보 및 OVAL 파일 액세스 경로

Nexpose 는 컨텐츠가 업데이트될 때마다 모든 새로운 SCAP 컨텐츠를 자동으로 추가합니다. 보안 콘솔 웹 인터페이스의 관리 페이지에서 SCAP 페이지에 액세스하여 SCAP 업데이트 정보를 확인할 수 있습니다.

SCAP 페이지에 있는 4개의 테이블:

각 테이블에는 새로운 SCAP 데이터가 포함된 최신 컨텐츠 업데이트 및 NIST가 새로운 데이터를 생성한 최신 날짜의 목록이 있습니다.

또한 SCAP 페이지에서는 구성 정책 검사 시 가져온 OVAL(Open Vulnerability and Assessment Language) 파일 목록을 확인할 수도 있습니다. FDCC 요건에 따라 목록에 있는 각 파일 이름에는 XML 구조의 검사 컨텐츠를 다운로드할 수 있는 하이퍼링크가 있습니다.