Security Content Automation Protocol SCAP

Das Security Content Automation Protocol (SCAP) ist ein Mehrzweck-Framework der automatisierte Konfiguration, Schwachstellen- und Patchprüfung, technische Kontroll- Compliance- Aktivitäten und Sicherheitsmessungen unterstützt.

SCAP gibt es für allen Plattformen.

In diesem Post gehe ich jedoch von allen gebotenen Möglichkeiten auf die Compliancemessungen ein. Ein Tool, das einem dabei unterstützt soll zu prüfen, ob die empfohlenen NIST Richtlinien zur Härtung eines z.B. Windows OS, Office 365, Chrome Browser etc. umgesetzt worden sind.

Das Ergebnis der Messung gibt Aufschluss darüber, ob die NIST Härtungsmaßnahmen und vom Naval Information Warfare Center Pacific und der DISA publiziert werden, umgesetzt worden sind.

SCAP Compliance Check for Windows

NIST, DOD (Verteidigungsministerium) und Geheimdienste bündeln ihre Kräfte, um die US-Cyber-Infrastruktur zu sichern.

Auf den Seiten des DoD findet man die nötigen Informationen und Downloads.

STIG Viewer

Der STIG Viewer ist ein Tool, um die Härtungsempfehlungen “Security Technical Implementation Guides” auch STIGs genannt, die im XML-Format vorliegen, einzusehen.

SCAP Compliance Checker

Wie der Name es schon verrät ist der Scap Compliance Checker ein Tool, das die empfohlenen Härtungsmaßnahmen auf Umsetzung prüft und am Ende ein Compliancebericht ausgibt.

Es steht einem auch die Möglichkeit zur Verfügung Maschinen innerhalb einer Domäne zu scannen. Dazu muss man lediglich von Local Scan auf Remote Scan umstellen.

Der Compliance Checker prüft nun alle aktivierten Produkte auf Complianceverstöße. Die Vorlagen werden ständig aktualisert und an die Bedürfnisse der Sicherheit angepasst.

Results: High Severity CAT I

Der Bericht anhand eines Beispiels meines Systems zeigt auf, wo es noch nicht geschlossene Schwachstellen gibt, die durch die NIST Empfehlungen geschlossen sein könnten.