OpenSCAP

SCAP (Security Content Automation Protocol) es una especificación abierta enfocada a la definición y manipulación de datos de seguridad de manera estandarizada. SCAP recicla varias especificaciones individuales ya preexistentes.

Abierta quiere decir que su definición, uso y modificación está abierta a cualquier persona o entidad.

CVE		Common Vulnerabilities and Exposures
CCE		Common Configuration Enumeration
CPE		Common Platform Enumeration
XCCDF	        extensible Configuration Checklist Description Format
OVAL	        Open Vulnerability and Assessment Language
CVSS		Common Vulnerability Scoring System 
OCIL		Open Checklist Interactive Language 
AI		Asset Identification
ARF		Asset Reporting Format
CCSS		Common Configuration Scoring System
TMSAD	        Trust Model fuere Security Automation Data

SCAP Security Guide es la política de seguridad escrita en forma de documentos siguiendo las especificaciones SCAP.

Se basa en las recomendaciones de seguridad de autoridades globalmente reconocidas, transforma estas guías de seguridad en un formato legible por la máquina que luego puede ser usado por herramientas como la implementación open source de Red Hat OpenSCAP para la comprobación de los sistemas.

La SCAP Security Guide establece varias líneas base de seguridad a partir de un contenido común de alta calidad en formato SCAP

Una de esas líneas base son las Security Technical Implementation Guides (STIG) para RHEL de la agencia americana Defense Information System Agency (DISA)

Las DISA STIG suministran los ajustes necesarios para los sistemas del Departamento de Defensa de los Estados Unidos.

Las DISA STIG son un ejemplo de línea base creada a partir del enfoque SCAP Security Guide.

En la actualidad SCAP Security Guide es un proyecto abierto y dinámico en el que muchas organizaciones interesadas en la seguridad informática comparten sus esfuerzos y colaboran en las políticas de seguridad contenidas en la guía de seguridad SCAP que tiene uso en organizaciones militares, inteligencia, asistencia sanitaria, aviación, telecomunicaciones, entre otros.

La política de seguridad o las definiciones para su cumplimiento rara vez se escriben desde cero. El estándar ISO 27000, trabajos derivados de este y otras fuentes suministran modelos de políticas de seguridad y recomendaciones prácticas que deberían ser útiles como base para su definición.

Aquellas organizaciones que creen su programa de seguridad informática deben poder adaptar los modelos de políticas para alinearlos a sus necesidades.

Las políticas de seguridad de SCAP se definen en la mayor parte en un lenguaje XML llamada extensible Configuration Checklist Description Format (XCCDF). Este lenguaje provee de una fisonomía común de las Security Technical Implementation Guides (STIG). La especificación de las XCCDF se complementa con las definiciones OVAL para las comprobaciones de CVEs en los sistemas.

Los documentos XCCDF y OVAL se expresan en formato XML y pueden ser convalidados con un analizador de XML Schema. Red Hat Enterprise Linux ofrece OpenSCAP como implementación de referencia diseñada para adoptar automáticamente las políticas y auditar su cumplimiento

El proyecto OpenSCAP es una colección de herramientas de código abierto para implementar y cumplir este estándar.

La SCAP Security Guide, junto con las herramientas OpenSCAP, se puede utilizar para la implantación de la gestión continua de la seguridad de forma automatizada en tu organización.

• SCAP Workbench: La utilidad gráfica scap-workbench diseñada para realizar escaneos de configuración y vulnerabilidades en un único sistema local o remoto. También puede ser usado para generar informes de seguridad basados en estos escaneos y evaluaciones.

• OpenSCAP: La utilidad de línea de órdenes oscap diseñada para realizar escaneos de configuración y vulnerabilidad en un sistema local, para convalidar el contenido de cumplimiento de seguridad y generar informes y guías basados en estos exámenes y evaluaciones.

• Script Check Engine (SCE): SCE es una extensión del protocolo SCAP que permite a los administradores escribir su contenido de seguridad usando un lenguaje de script, como Bash, Python o Ruby.

• SCAP Security Guide (SSG): El paquete scap-security-guide que proporciona una colección actualizada de políticas de seguridad para sistemas Linux. La guía consiste en un catálogo de consejos prácticos de la seguridad, ligados a los requisitos del gobierno IT que corresponda. El proyecto conecta los requisitos de política generalizados y las pautas de implementación específicas.

Instalamos los paquetes

# yum install openscap-scanner

# yum install scap-security-guide

# yum install scap-workbench

# oscap info /usr/share/xml/scap/ssg/content/ssg-rhel7-xccdf.xml

# oscap info /usr/share/xml/scap/ssg/content/ssg-rhel7-xccdf.xml

# oscap xccdf eval --profile pci-dss --results results.xml /usr/share/xml/scap/ssg/content/ssg-rhel7-xccdf.xml

# oscap xccdf generate report --output report.html results.xml

• https://www.open-scap.org/
• open-scap.org - Make a RHEL7 server compliant with PCI-DSS
• http://www.admin-magazine.com/Articles/Checking-Compliance-with-OpenSCAP
• youtube.com - Automating security compliance for physical, virtual, cloud, and container environments
• Assessing Linux Security Configurations with SCAP Workbench