SCAP é um acrônimo para Security Content Automation Protocol. Sua finalidade é aplicar um padrão de segurança já aceito a organizações que atualmente não possuem uma ou que possuem implementações fracas.
Em outras palavras, ele permite que os administradores de segurança examinem computadores, softwares e outros dispositivos com base em uma linha de base de segurança predeterminada para determinar se as correções de configuração e software são implementadas no padrão com o qual estão sendo comparadas.
O National Vulnerability Database (NVD) é o repositório de conteúdo do governo dos EUA para o SCAP.
Nota: Alguns padrões de segurança semelhantes ao SCAP incluem tags SACM (Automação de Segurança e Monitoramento Contínuo), CC (Common Criteria), SWID (Identificação de Software) e FIPS (Federal Information Processing Standards).
SCAP tem dois componentes principais
Há duas partes principais no Protocolo de Automação de Conteúdo de Segurança:
Conteúdo SCAP
Os módulos de conteúdo SCAP são conteúdo disponível gratuitamente desenvolvido pelo Instituto Nacional de Padrões e Tecnologias (NIST) e seus parceiros do setor. Os módulos de conteúdo são feitos a partir de configurações "seguras" que são acordadas pelo NIST e seus parceiros SCAP.
Um exemplo seria o Federal Desktop Core Configuration, que é uma configuração de segurança reforçada de algumas versões do Microsoft Windows. O conteúdo serve como uma linha de base para comparação de sistemas sendo examinados pelas ferramentas de varredura SCAP.
Scanners SCAP
Um scanner SCAP é uma ferramenta que compara um computador de destino ou a configuração do aplicativo e / ou o nível de patch com o da linha de base de conteúdo SCAP.
A ferramenta notará quaisquer desvios e produzirá um relatório. Alguns scanners SCAP também têm a capacidade de corrigir o computador de destino e colocá-lo em conformidade com a linha de base padrão.
Existem muitos scanners SCAP comerciais e de código aberto disponíveis, dependendo do conjunto de recursos desejado. Alguns scanners destinam-se à digitalização em nível corporativo, enquanto outros são destinados ao uso individual do PC.
Você pode encontrar uma lista de ferramentas SCAP no NVD. Alguns exemplos de produtos SCAP incluem o ThreatGuard, Tenable, Red Hat e IBM BigFix.
Os fornecedores de software que precisam que seu produto seja validado como estando em conformidade com o SCAP, podem entrar em contato com um laboratório de validação SCAP acreditado pelo NVLAP.
