论坛

通知事项
全部清除

从HCL了解NIST框架安全控制  


 网络安全
帖子:2
管理员
(@netsec)
会员
已加入:1年之前

国际标准组织和政府对企业提出了解决网络安全问题的要求,明智的选择是这些标准/框架,而不是完全依赖于业务经验。有各种可用的标准提出了安全控制措施,以减轻网络安全问题。选择适当的标准并选择正确的安全控制组可能是一项艰巨的任务,因为它需要付出巨大的努力才能了解性能需求和特定于行业的安全标准。该任务需要在架构阶段完成,并将其输入给负责定义和实施系统网络安全策略的软件利益相关者,例如系统架构师,软件设计师,软件开发人员和产品所有者。

本文的目的如下:

  • 介绍软件开发生命周期中所需的安全阶段。
  • 介绍当前正在实践的主要标准,并指导读者选择标准。
  • 如何使用NIST(美国国家标准技术研究院)框架选择安全控制。

本文包括四个主要部分:

  1. 安全策略–流程
  2. 识别技术类型
  3. 网络安全标准
  4. 国家标准技术研究所 框架& 安全控制

本文末尾的词汇表提供了本文中使用的首字母缩写词和术语列表。

1.安全策略–流程

在整个开发生命周期中,任何嵌入式系统或组件都必须具备安全策略。图1中突出显示了典型的安全策略阶段,这是常规SDLC阶段的一部分。


图1:SDLC流程中的安全策略流程。 (来源:HCL 技术领域)

表1中显示了所有安全阶段的输入和输出。

表1:安全阶段的输入和输出。 (来源:HCL 技术领域)

1.1。威胁建模

威胁建模或威胁风险评估是找出给定系统威胁的过程。威胁建模需要在所有风险领域中进行。参考  SEI链接 ,  维基链接  适用于当前行业中实践的各种威胁建模技术。为特定系统选择适当的威胁建模技术不在本文讨论范围之内。

威胁建模完成后,有必要对威胁进行优先级排序。此任务称为威胁风险评估。可用于威胁优先级排序的常见方法是DREAD和  CVSS 。该任务的结果是威胁的优先级。

1.2。识别安全控制

第8节将详细介绍使用NIST框架和识别安全控制的准则。需要这些安全控制来减轻相应风险区域中的威胁。

识别出的安全控件需要实现为软件功能。这些软件功能需要协同工作,并且需要作为一组软件元素来实现,以实现所需的安全目标。这些网络安全软件元素及其相互关系形成了网络安全软件体系结构,它是软件体系结构的一部分。

需要以适应安全控制措施的方式定义软件体系结构。对于系统系列,需要在定义该系列的参考软件体系结构时完成此任务。

1.3。设计&实施安全控制

一旦确定了安全控制,软件涉众的工作就是设计和实现它们,这不在本文的讨论范围之内。

1.4。漏洞/渗透测试

漏洞或渗透测试是识别系统中漏洞的过程。此阶段的输出会带来新的威胁或缺陷。需要遵循图2中提到的过程来管理新的威胁或缺陷。在减轻所有相关的安全威胁之前,此阶段可以重复进行。


图2:新威胁/缺陷的管理(来源:HCL 技术领域)

2.确定技术类型

选择标准和选择安全控制之前,必需的基本步骤是确定技术类型。表2中突出显示的性能要求对于属于不同技术组的设备(例如安全控件)有所不同。因此,选择标准/框架之前的基本步骤是确定目标系统是信息技术还是运营技术还是混合技术。

2.1。信息技术

它 专注于使用通用计算机和网络设备进行电子数据处理,存储和交换。

2.2。操作技术

OT 专注于各种嵌入式和控制系统,例如监督控制和数据采集(SCADA)。这些是实时系统,并与周围环境交互。

2.3。混合技术– 它 / OT 融合

OT 设备中网络,通信,自动化和分析的集成引入了一种混合技术。这使系统管理员可以更轻松地监视和控制系统。物联网是这种混合技术的最好例证。

2.4。 它 和OT系统特性的比较

遵循任何安全框架的结果就是确定所需的安全控制措施。这些安全控制对于IT和OT系统可能是相同的。例如,考虑风险区域“数据保护”,为此风险区域确定的安全控制在IT和OT系统中都需要加密。但是,这些安全控制的实现根据目标技术及其特征而有所不同。

表2比较了IT和OT的特性。

表2 – 它 和OT系统特性比较(来源:HCL 技术领域)

3.网络安全标准

有各种标准和指南可用于实施用于保护系统的机制。始终遵循这些准则和标准,而不是继续使用我们自己的自定义解决方案总是好的。但是,这里的重要任务是确定要遵循的相关标准。

以下列表涵盖了适用于开发信息管理系统的大多数标准:

电气和电子工程师学会(IEEE) – PHY / MAC标准&数据链路层标准(第1层& 2)
互联网工程任务组(IETF) –为第3层及以上的所有网络协议定义标准
国际标准组织(ISO) –为许多领域定义标准
国际电工委员会(IEC) –定义电气和电子产品标准
ISO / IEC 27000系列标准 –由ISO和IEC共同定义,用于定义信息安全管理系统(ISMS)标准。还有许多其他ISO / IEC系列。例如:用于轻量级加密,漏洞评估等。
国际自动化学会(ISA) –定义自动化标准。
ISA安全合规性研究所(ISCI)或isasecure – ISA小组的一部分为工业自动化控制系统的网络安全定义了标准。提供符合IEC 62443的以下3种认证
      EDSA –嵌入式设备安全保证认证
      SSA –系统安全保证认证
      SDLA –安全开发生命周期保证认证
IEC 62443或ISA 99 –定义了工业控制系统(ICS)网络安全性的标准。该标准由国际自动化协会(ISA)制定,并由国际电工委员会接管以进行进一步开发。

尽管有许多标准可用,但没有有关如何使用上述标准的指南。

4. 国家标准技术研究所 框架& 安全控制

国家标准技术研究所 发布的NIST网络安全框架是安全策略的框架,并为组织保护其系统提供了指导。该框架指导组织提高其处理网络攻击的能力。它包含网络安全要求和使系统安全所需的安全控制的详尽列表。

国家标准技术研究所 框架使用表3中所示的术语进行此映射。

表3 – 国家标准技术研究所 术语(来源:HCL 技术领域)

4.1。职能

国家标准技术研究所 框架定义了五个功能。下面列出了这五个功能的简要概述:

识别  –使组织能够识别需要保护的内容的能力,例如系统,资产,数据和功能
保护  –开发和实施所需的任务,以确保关键服务的功能。
检测  –开发和实施所需的任务以识别安全事件的发生。
响应  –面对检测到的安全事件时,制定并实施所需的任务。
恢复  –开发和实施所需的任务以恢复由于安全事件而受损的功能。

请参阅   国家标准技术研究所 链接  详细了解NIST框架。 国家标准技术研究所 提出了各种标准作为参考,可从中识别系统的安全控制。

4.2。 国家标准技术研究所 推荐标准

国家标准技术研究所 推荐的标准及其对技术类型的适用性请参见表4。

表4 – 国家标准技术研究所 框架–拟议标准(来源:HCL 技术领域)

上述标准的说明如下:

独联体  –推荐主要侧重于改善互联网安全的最佳实践,工具和基准
科比特  –主要用于信息和相关技术的治理和管理的控制目标框架。
ISO 27001  –由ISO和IEC共同定义,用于定义信息安全管理系统(ISMS)标准。还有许多其他ISO / IEC系列。例如:用于轻量级加密,漏洞评估等。
国家标准技术研究所 SP 800-53 – 国家标准技术研究所 的标准,其中包含针对不同安全级别的详尽的安全控制列表。
国家标准技术研究所 SP 800-82 – 国家标准技术研究所 建议的工业控制系统标准。它基于NIST SP 800-53
ISA 62443  –为工业控制系统(ICS)网络,产品开发生命周期和过程的安全性定义标准。

4.3。 国家标准技术研究所 简介

组织需要针对NIST框架中提到的所有风险领域进行威胁建模,并根据其业务目标选择要求。所选的安全要求集称为配置文件。 国家标准技术研究所 已经为各种系统创建了概要文件,如表5所示。

表5 – 国家标准技术研究所 配置文件(来源:HCL 技术领域)

4.4。特定领域的标准

除了NIST建议的标准外,还有许多特定于该领域的标准。表6显示了特定领域标准的一些示例。

表6 –特定领域标准的示例(来源:HCL 技术领域)

4.5。 国家标准技术研究所 SP 800-53 – 国家标准技术研究所 建议的安全控制

国家标准技术研究所 在其特殊出版物NIST SP 800-53(已公开)中推荐了自己的安全控制。当特定领域的标准不可用并且组织决定不采购新标准时,NIST SP 800-53将非常有用。该特殊出版物有350多页,需要更多的努力来理解。本节简要介绍了如何使用此出版物。强烈建议参考NIST SP 800-53的详细信息。

4.5.1。安全控制结构

减轻风险所需的安全要求称为安全控制。如图3所示,安全控制分为18个系列或风险区域。用于保护这些风险区域的控制称为基准安全控制。


图3:NIST 800-53风险范围(来源:NIST SP 800-53 rev4)

安全控制中存在的部分如下:(i)控制部分; (ii)补充指导部分; (iii)控制增强部分; (iv)参考资料部分; (v)优先和基准分配部分。

4.5.1.1。控制部分

控制部分说明了组织或系统需要实施的安全要求

4.5.1.2。补充指导

补充指南部分提供了与特定安全控制有关的其他信息。

4.5.1.3。控制增强

安全控制增强部分提供了有关可应用于特定安全控制的安全功能的信息。

4.5.1.4。参考文献

参考部分提到与特定安全控制有关的标准和准则

4.5.1.5。优先& Baseline Allocation

优先级和基线分配部分显示了用于安全控制实施的建议优先级代码。组织可以使用这些代码对安全控制的实现进行排序。

除上述部分外,某些安全控件可能还嵌入有赋值和选择语句,使组织可以自定义所选的安全控件以满足安全要求。示例安全控制如图4所示。


图4:安全控制示例(来源:NIST SP 800-53 rev4)

4.5.2。选择安全控制–流程

使用NIST提议的安全控件选择安全控件的过程如图5所示。


图5:NIST 800 53 –安全控制选择过程(来源:HCL 技术领域)

4.5.2.1。安全分类

在确定系统的安全控制之前,必不可少的步骤是确定要处理的信息的关键和敏感程度。此过程称为安全分类。 FIPS出版物199详细描述了此过程。

4.5.2.1.1。 FIPS 199安全分类

FIPS出版物199建议根据安全性目标(例如机密性,完整性和系统以及要处理的数据的可用性)的影响进行安全性分类。影响分为以下类别:

当所有安全目标都较低时,系统被视为低影响系统
如果任何一个安全目标为中等,而其他安全目标低于中等,则该系统被视为中等影响系统。
如果任何一个安全目标很高,则将一个系统视为高影响力系统。

国家标准技术研究所 SP 800-53中给出的实现技巧如图6所示。


图6 –安全分类–实施技巧(来源:NIST SP 800-53 rev4)

4.5.2.2。识别基准安全控制

威胁建模的输出是威胁或安全要求。安全控制已在NIST SP 800-53 rev4中的附录D中提到。组织需要根据安全性分类和安全性要求从此目录中识别所需的控件。

4.5.2.3。量身定制基线安全控制

从附录D中选择基线安全控制后,需要开始进行定制过程。该过程允许组织通过修改或添加或删除控件来满足系统和环境特定要求,从而自定义安全控件。定制过程中需要下面列出的步骤

4.5.2.3.1。识别通用控件

通用控件适用于可被一个或多个组织系统继承的一系列系统控件。

4.5.2.3.2。应用范围考虑

需要执行此步骤以从控件基准中筛选出不需要的安全控件。

国家标准技术研究所 指定的范围考虑因素列表如下所示。

控制分配和放置注意事项
业务/环境相关注意事项
技术相关注意事项
与安全目标相关的注意事项
与政策/法规相关的注意事项
与任务需求有关的注意事项

4.5.2.3.3。选择补偿控件

当NIST SP 800-53中提到的控制由于技术类型,环境,成本等原因而不能满足目标系统的要求时,此步骤允许组织选择其他安全控制。

4.5.2.3.4。分配安全控制参数值

组织为识别的安全控制分配组织定义的值。在选择补偿控件之前,这可能很有用。当组织一起工作并就特定系统的一组安全控制措施达成一致时,这也将很有用。

4.5.2.3.5。补充安全控制基准

此阶段强烈建议对目标系统使用风险评估。风险评估提出了额外的安全要求,从而可以确定所需的安全控制措施。

4.5.2.3.6。提供附加信息

安全控制是高级设计输入,缺少实施级别的详细信息。组织可以在文档编制过程中添加其他实施级别详细信息。图7显示了其中一种安全控件的其他信息。


图7 –其他信息(来源– 国家标准技术研究所 SP 800-53 rev4)

组织可以在基准安全控制之上使用定制指南,以形成针对某个域或一系列系统的一组安全控制。最后一组安全控制称为覆盖。例如:NIST SP 800-82是为ICS或OT创建的覆盖图。

4.5.2.4。记录控制选择过程

组织需要记录确定基线安全控制和制定具有适当理由的指导的整个过程。这在审核期间将非常有用。

高级安全控制选择过程如图8所示。


图8 –安全控制选择过程(来源– 国家标准技术研究所 SP 800-53 rev4)

4.6为什么&什么时候应该遵循NIST框架?

国家标准技术研究所 框架和NIST SP 800-53中提议的安全控制措施适用于依赖技术的组织,无论其网络安全重点是IT,OT,ICS,网络物理系统(CPS)还是更广泛的连接设备,包括物联网

图9中的流程图显示了何时遵循NIST框架以及如何选择NIST建议的安全控制。


图9 –识别安全控制的过程(来源:HCL 技术领域)

结论

本文介绍了软件开发生命周期中所需的安全阶段。然后说明技术的类型以及相关技术所需的安全标准。在定义系统安全策略时,明智的做法是遵循图9中所示的过程。NIST网络安全框架和NIST SP 800-53中提到的安全控制将极大地帮助定义和实施系统的安全策略。维基百科的摘录指出: “一项安全框架采用研究报告说,有70%的受访组织将NIST的框架视为计算机安全的流行最佳实践。”

参考文献

  1. //www.nist.gov/cyberframework
  2. //www.isa.org/isa99/
  3. //insights.sei.cmu.edu/sei_blog/2018/12/threat-modeling-12-available-methods.html
  4. //en.wikipedia.org/wiki/Threat_model
  5. //searchitoperations.techtarget.com/definition/IT-OT-convergence
  6. //www.youtube.com/watch?v=facFYklJP5A
  7. //csrc.nist.gov/CSRC/media/Presentations/Industrial-Control-System-Security-and-NIST-SP-800/images-media/ICSS_SP800-5307-02-2008.pdf
  8. 国家标准技术研究所 SP 800-53 rev4 –联邦信息系统和组织的安全和隐私控制
  9. 国家标准技术研究所 SP 800-82 –工业控制系统(ICS)安全性指南
  10. //en.wikipedia.org/wiki/NIST_Cybersecurity_Framework
  11. //en.wikipedia.org/wiki/Cyber_security_standards
  12. //cipher.com/blog/a-quick-nist-cybersecurity-framework-summary/
  13. //www.cisecurity.org/
  14. //en.wikipedia.org/wiki/Center_for_Internet_Security

缩略语

序号 首字母缩写 扩张
1 CVSS 常见漏洞评分系统
2 ICS 工业控制系统
3 物联网 物联网
4 信息技术
5 国家标准技术研究所 国立标准技术研究所
6 OT 操作技术
7 SDLC 软件开发生命周期
8 SP 特别刊物

术语

零件  –嵌入式设备。
系统  –彼此互连的一组组件。
威胁  –任何损害系统安全性的事件。
风险区  –容易受到安全威胁的系统的硬件/软件功能。
安全要求 –减轻软件漏洞的高级软件要求。
安全控制 –设计级别的详细信息,以减轻安全威胁并满足安全要求。


//www.embedded.com/understanding-nist-framework-security-controls/

分享: