论坛

Notifications
清除所有

了解NIST框架安全控件 - 来自HCL


帖子:4
行政
Topic starter
(@netsec)
成员
Joined: 2 years ago

国际标准组织和政府向企业推出了应对网络安全问题的企业的要求,选择这些标准/框架而不是完全依赖商业经验。有各种标准可用,建议安全控制来减轻网络安全问题。选择适当的标准和选择正确的安全控制,可能是令人生畏的任务,因为它需要巨大努力了解性能需求和行业特定的安全标准。需要在架构阶段进行此任务,并且它为系统架构师,软件架构师,软件开发人员和产品所有者提供的软件利益相关者提供输入,该输入负责定义和实施系统的网络安全策略。

本文的目的如下:

  • 提出软件开发生命周期所需的安全阶段。
  • 目前正在实践中的主要标准并指导读者选择标准。
  • 如何使用NIST(国家标准和技术研究所)框架选择安全控件。

本文包括四个主要部分:

  1. 安全策略 - 流程流程
  2. 识别技术类型
  3. 网络安全标准
  4. nist框架& Security Controls

本文末尾的术语表提供了本文中使用的首字母缩略词和术语。

1.安全策略 - 过程流程

安全策略是任何嵌入式系统或其整体开发生命周期中的组件的必须。作为传统SDLC阶段的一部分,在图1中突出显示典型的安全策略阶段。


图1:SDLC过程中的安全策略流程。 (资料来源:HCL Technologies)

所有安全阶段的输入和输出显示在表1中。

表1:安全阶段的输入和输出。 (资料来源:HCL Technologies)

1.1。威胁建模

威胁建模或威胁风险评估是找出给定系统威胁的过程。需要在所有风险领域进行威胁建模。参考  SEI链接 ,  维基链接  对于行业目前实行各种威胁建模技术。选择特定系统的适当威胁建模技术超出了本文的范围。

在完成威胁建模后,有必要优先考虑威胁。此任务被称为威胁风险评估。可用于威胁优先级的常用方法是恐惧和  CVSS. 。此任务的结果是威胁的优先级。

1.2。确定安全控制

使用NIST框架和识别安全控制的指导方针将从第8节详细阐述。需要这些安全控制来减轻相应风险区域的威胁。

所识别的安全控件需要实现为软件功能。这些软件功能需要共同努力,需要实现为一组软件元素以实现所需的安全目标。这些网络安全软件元素及其相互关系组形成了一个软件架构的网络安全软件架构。

需要以这样的方式定义软件架构以适应安全控件的实现。对于一系列系统,需要完成此任务,同时为该系列定义参考软件架构。

1.3。设计&实施安全控制

一旦确定了安全控制,它就是软件利益相关者的工作,以设计和实施它们在本文范围之外。

1.4。漏洞/穿透测试

漏洞或渗透测试是识别系统中漏洞的过程。此阶段的产出给出了新的威胁或缺陷。需要遵循图2中提到的过程来管理新的威胁或缺陷。在减轻所有相关的安全威胁之前,这种阶段可以迭代。


图2:新威胁/缺陷的管理(来源:HCL Technologies)

2.识别技术类型

选择标准和选择安全控制之前所需的基本步骤是识别技术类型。表2中突出显示的性能要求因其属于不同技术组而属于安全控制的设备而变化。因此,在选择标准/框架之前的基本步骤是识别目标系统是信息技术还是操作技术或混合动力。

2.1。信息技术

它集中了使用通用计算机和网络设备的电子数据处理,存储和交换。

2.2。运行技术

ot. 关注各种嵌入式和控制系统,如监督控制和数据采集(SCADA)。这些是实时系统并与周围环境进行交互。

2.3。混合技术 - IT / OT收敛

ot. 设备中的网络,通信,自动化和分析的集成介绍了混合技术。这使系统管理员能够更轻松地监视和控制系统。 IOT是这种混合技术的最佳示例。

2.4。比较IT和OT系统特征

以下任何安全框架的结果是识别所需的安全控制。这些安全控件对于IT和OT系统可能是相同的。例如,考虑风险区域“数据保护”,为此风险区域识别的安全控制需要在IT和OT系统中都需要加密。但是,这些安全控制的实施根据目标技术及其特征而变化。

表2显示了它和OT的特性的比较。

表2 - 它和OT系统特征的比较(来源:HCL Technologies)

3.网络安全标准

有各种标准和准则可以实施保护系统的机制。遵循这些准则和标准总是很好,而不是继续使用自己的自定义解决方案。但是,这里的重要任务是确定要遵循的相关标准。

下面的列表涵盖了适用于开发信息管理系统的大部分标准:

电气电子工程师协会(IEEE)  - PHY / MAC的标准&数据链路层标准(第1层& 2)
互联网工程工作组(IETF)  - 为来自第3层及以上的所有网络协议定义标准
国际标准组织(ISO)  - 定义许多域的标准
国际电工委员会(IEC)   - 定义电气和电子产品的标准
ISO / IEC 27000标准系列  - 由ISO和IEC共同定义,用于定义信息安全管理系统(ISMS)标准。有许多其他ISO / IEC系列可用。例如:对于轻量级加密,漏洞评估等。
国际自动化协会(ISA)  - 定义自动化标准。
ISA安全合规研究所(ISCI)或ISASECURE  - ISA集团的一部分定义了工业自动化控制系统的网络安全标准。在与IEC 62443的对齐方面提供以下3个认证
      EDSA  - 嵌入式设备安全保障认证
      SSA  - 系统安全保障认证
      SDLA  - 安全开发生命周期保证认证
IEC 62443或ISA 99  - 定义工业控制系统(ICS)网络的安全标准。本标准由国际自动化协会(ISA)制作,并由国际电工委员会接管进一步发展。

虽然有许多标准可用,但没有可用于如何使用上述标准的准则。

4. NIST框架& Security Controls

NIST 发布的NIST网络安全框架是组织保护其系统的安全策略和指导框架。该框架指导本组织提高其能力来处理网络攻击。它包含一个无条件的网络安全要求列表,并使系统安全所需的安全控制。

NIST Framework使用表3所示的术语来执行此映射。

表3 - NIST术语(资料来源:HCL Technologies)

4.1。职能

NIST 框架已经确定了五个功能。以下五项功能的简要概述如下所示:

确认   - 能够使组织能够确定需要受到保护的内容,例如系统,资产,数据和功能
保护   - 开发并实施所需的任务,以确保关键服务的功能。
探测   - 开发并实施所需的任务以确定安全事件的发生。
回应   - 面向检测到的安全事件时,开发并实施所需的任务。
恢复   - 开发并实施所需的任务以恢复由于安全事件损坏的功能。

请参阅   nist link.  详细了解NIST框架。 NIST提出了各种标准,作为信息的信息,可以从中识别安全控制。

4.2。 NIST推荐标准

表4可以在表4中看到NIST推荐标准及其对技术类型的适用性。

表4 - NIST框架 - 拟议标准(来源:HCL Technologies)

下面列出了上述标准的描述:

CIS.   - 建议主要专注于改善互联网安全的最佳实践,工具和基准
cobit.   - 主要用于治理的控制目标框架和信息和相关技术的管理。
ISO 27001.   - 由ISO和IEC共同定义,用于定义信息安全管理系统(ISMS)标准。有许多其他ISO / IEC系列可用。例如:对于轻量级加密,漏洞评估等。
nist sp 800-53  - 来自NIST的标准,具有不同安全级别的安全控制列表。
NIST SP 800-82.  - 一个NIST建议的工业控制系统标准。它基于NIST SP 800-53
ISA 62443.   - 定义工业控制系统安全性的标准(ICS)网络,产品开发生命周期和流程。

4.3。简介

组织需要对NIST框架中提到的所有风险领域进行威胁建模,并选择对其业务目标的要求。所选安全要求集称为配置文件。 NIST已经为各种系统创建了配置文件,如表5所示。

表5 - NIST配置文件(资料来源:HCL Technologies)

4.4。具体域标准

除了NIST推荐标准外,还有许多标准可用于域名。表6中示出了域特定标准的一些示例。

表6 - 具体域标准的示例(资料来源:HCL Technologies)

4.5。 NIST SP 800-53 - NIST提出了安全控制

NIST 在其特殊出版物NIST SP 800-53中推荐了自己的安全控制,这是一个公开的出版物。当特定于域的标准不可用时,如果组织决定不采购新标准,则NIST SP 800-53将非常有用。这个特殊的出版物有超过350页,需要更多的努力来了解。本节简要介绍了如何使用此出版物。强烈建议为详细说明NIST SP 800-53。

4.5.1。安全控制结构

减轻风险所需的安全要求称为安全控制。安全控件组织成十八个家庭或风险区域,如图3所示。用于保护这些风险区域的控件称为基线安全控制。


图3:NIST 800-53风险区域(资料来源:NIST SP 800-53 Rev4)

安全控制中存在的部分如下:(i)控制部分; (ii)补充指导部门; (iii)控制增强部分; (iv)参考部分; (v)优先级和基线分配部分。

4.5.1.1。控制部分

控制部分解释了组织或系统需要实现的安全要求

4.5.1.2。补充指导

补充指导部分提供与特定安全控制有关的额外信息。

4.5.1.3。控制增强

安全控制增强部分提供有关可以应用于特定安全控制的安全功能的信息。

4.5.1.4。参考

参考文章提出了与特定安全控制相关的标准和指导方针

4.5.1.5。优先事项& Baseline Allocation

优先级和基线分配部分显示了用于安全控制实现的推荐优先级代码。组织可以使用这些代码来排序安全控制的实现。

除上述部分外,一些安全控件可以嵌入有分配和选择语句,使组织能够自定义所选择的安全控制以满足安全要求。示例安全控制如图4所示。


图4:示例安全控制(来源:NIST SP 800-53 Rev4)

4.5.2。选择安全控制 - 进程

使用NIST建议的安全控制选择安全控制的过程如图5所示。


图5:NIST 800 53 - 安全控制选择过程(资料来源:HCL Technologies)

4.5.2.1。安全分类

在识别系统的安全控件之前的基本步骤是确定要处理的信息的核态和敏感程度。此过程称为安全分类。 FIPS Publication 199详细介绍了此过程。

4.5.2.1.1。 FIPS 199安全分类

FIPS Publication 199建议根据安全目标的影响,如保密,完整性和系统的机密性,完整性和可用性以及要处理的数据的影响。影响已被列为下列:

当所有安全目标低时,系统被视为低冲击系统
如果安全目标中的任何一个是中等的,则将系统视为中等冲击系统,其他安全目标低于中等。
如果任何一个安全目标都很高,系统被认为是一个高影响的系统。

在NIST SP 800-53中给出的实现提示如图6所示。


图6 - 安全分类 - 实现提示(资料来源:NIST SP 800-53 Rev4)

4.5.2.2。识别基线安全控制

威胁建模的输出是威胁或安全要求。在NIST SP 800-53 Rev4中的附录D中提到了安全控制。组织需要根据安全分类和安全要求确定本目录中所需的控件。

4.5.2.3。定制基线安全控制

从附录D中选择基线安全控制后,需要启动定制过程。此过程允许组织通过修改或添加或删除控件来定制安全控件以满足系统和特定于环境的要求。在剪裁过程中需要以下列出的步骤

4.5.2.3.1。识别共同控制

常见的控件适用于一个由一个或多个组织系统可遗传的系统控件系列。

4.5.2.3.2。应用范围考虑因素

需要此步骤以从控制基线过滤不需要的安全控件。

范围注意事项NIST的列表指定如下所示。

控制分配和放置考虑因素
运营/环境相关的考虑因素
与技术有关的考虑因素
安全客观相关的考虑因素
政策/监管相关的考虑因素
使命要求相关的考虑因素

4.5.2.3.3。选择补偿控件

该步骤允许组织在NIST SP 800-53中提到的控件不满足目标系统的要求时选择备用安全控制,因为技术的类型,环境,成本原因等。

4.5.2.3.4。分配安全控制参数值

组织为已识别的安全控件分配组织定义的值。在选择补偿控制之前,这可能是有用的。当组织在一起工作并同意某个特定系统的安全控制时,这也很有用。

4.5.2.3.5。补充安全控制基线

该阶段强烈建议使用风险评估目标系统。风险评估提供了额外的安全要求,导致识别所需的安全控制。

4.5.2.3.6。提供额外信息

安全控制是高级设计输入,缺乏实施级别细节。组织可以在文档期间添加其他实施级别详细信息。其中一个安全控件的其他信息如图7所示。


图7 - 附加信息(源 - NIST SP 800-53 Rev4)

组织可以在基线安全控件的顶部使用剪裁指导,以形成域或系统系列的一组安全控制。最终的安全控制集被称为叠加。例如:NIST SP 800-82是为IC或OT创建的叠加层。

4.5.2.4。记录控制选择过程

组织需要记录识别基线安全控制的整个过程,并以适当的理由定制指导。这将在审查期间非常有用。

高级安全控制选择过程如图8所示。


图8 - 安全控制选择过程(源 - NIST SP 800-53 Rev4)

4.6为什么&应该遵循NIST框架?

NIST 框架和NIST SP 800-53中提出的安全控制适用于依靠技术的组织,他们的网络安全焦点主要是它,OT,IC,网络物理系统(CPS)或连接的设备更普遍,包括物联网。

图9中的流程图显示何时遵循NIST框架以及如何选择NIST提出的安全控件。


图9 - 识别安全控制的过程(来源:HCL Technologies)

结论

本文介绍了软件开发生命周期所需的安全阶段。然后解释了相关技术所需的技术类型和安全标准。定义系统的安全策略时,遵循图9所示的过程是明智的.NIST网络安全框架和NIST SP 800-53中提到的安全控制将极大地帮助定义和实现系统的安全策略。维基百科的摘录国家 “安全框架采用研究报告称,70%的受访组织将NIST的框架视为计算机安全性最佳实践”。

参考

  1. //www.nist.gov/cyberframework
  2. //www.isa.org/isa99/
  3. //insights.sei.cmu.edu/sei_blog/2018/12/threat-modeling-12-available-methods.html
  4. //en.wikipedia.org/wiki/Threat_model
  5. //searchitoperations.techtarget.com/definition/IT-OT-convergence
  6. //www.youtube.com/watch?v=facFYklJP5A
  7. //csrc.nist.gov/CSRC/media/Presentations/Industrial-Control-System-Security-and-NIST-SP-800/images-media/ICSS_SP800-5307-02-2008.pdf
  8. nist sp 800-53 Rev4 - 联邦信息系统和组织的安全和隐私控件
  9. NIST SP 800-82. - 工业控制系统(ICS)安全指南
  10. //en.wikipedia.org/wiki/NIST_Cybersecurity_Framework
  11. //en.wikipedia.org/wiki/Cyber_security_standards
  12. //cipher.com/blog/a-quick-nist-cybersecurity-framework-summary/
  13. //www.cisecurity.org/
  14. //en.wikipedia.org/wiki/Center_for_Internet_Security

首字母缩略词

S.NO. 缩写 扩张
1 CVSS. 常见的漏洞评分系统
2 ics. 工业控制系统
3 IOT. 物联网
4 信息技术
5 NIST 国家标准与技术研究院
6 ot. 运行技术
7 SDLC. 软件开发生命周期
8 SP. 特别出版物

术语

成分   - 嵌入式设备。
系统   - 一组组件互相连接。
威胁   - 任何危及系统安全性的事件。
风险区域   - 系统的硬件/软件功能,易受安全威胁的攻击。
安全要求  - 用于缓解软件漏洞的高级软件要求。
安全控制  - 设计级别详细信息,以减轻安全威胁并满足安全要求。


//www.embedded.com/understanding-nist-framework-security-controls/

分享: