3.1 計劃調整介紹和步驟
本節提供了符合NIST SP 800-37和NIST SP 800-53A的安全評估計劃模板。有關文件元素的描述,請參見本NISTIR第1卷第6節。第1卷的第9節專門介紹如何將模板和文件與NIST SP 800-37和NIST SP 800-53A中定義的評估任務和工作產品關聯。
要對安全評估計劃進行調整使其滿足組織的需求並實現自動化監控,可採取圖6所示步驟。下文對這些步驟做了詳細描述。
圖1. 計劃模板調整主要步驟
3.1.1 選擇自動執行的缺陷檢查
本節介紹了選擇自動執行的缺陷檢查的子步驟。
圖2. 選擇自動執行的缺陷檢查的子步驟
採取圖7所示的子步驟選擇要自動執行的缺陷檢查:
子步驟1.1明確評估範圍:明確要覆蓋的評估範圍(參見本NISTIR第1卷的4.3節)。
子步驟1.2分析系統影響:針對子步驟1.1[FIPS199]中明確的評估範圍,識別聯邦資訊處理標準(FIPS)199所定義的影響級別(高階別)(請參見[SP 800-60-v1]和/或組織的分類記錄)。
子步驟1.3 評審安全評估計劃文件:
l 評審3.2節介紹的缺陷檢查,初步瞭解要測試的擬議專案。
l 評審3.2節中的安全評估計劃說明,瞭解如何將缺陷檢查應用於支援漏洞管理的控制措施。
子步驟1.4選擇缺陷檢查:
l 根據子步驟1.1、1.2和1.3以及對組織的風險承受能力的理解,請使用3.2.3節的表6確定必要的缺陷檢查,從而評估根據系統影響級別和組織風險承受能力實施的控制措施是否有效。
l 標記3.2.2節中選擇的必要缺陷檢查。組織無需採取自動化,但是控制措施評估自動化可協助實現以下兩點:
1. 及時生成評估結果,從而更好地防禦攻擊和/或
2. 長期看,可以降低評估成本。
3.1.2 根據組織實際情況調整角色
本節介紹根據組織實際情況調整角色的子步驟。
圖3. 根據組織實際情況調整角色
採取圖8所示的子步驟根據組織實際情況調整角色:
子步驟2.1稽核提議的角色:有關提議的角色,請參見2.7節“VUL角色和職責(說明)”。
子步驟2.2 彌補缺失的角色:確定組織中當前未分配的所有必需角色。明確如何分配未分配的角色。
子步驟2.3 重新命名角色:確定每個角色匹配的組織特定角色名稱。注意,同一組織角色可能會履行多個提議的角色。
子步驟2.4 調整文件:採取以下兩種方法之一將組織特定角色對映到此處提議的角色(兩種方法都可接受):
l 在2.7節的表中新增一列,列出組織特有的角色名稱。
l 使用全域性替換將整個文件中的角色名稱從本NISTIR中建議的名稱修改為組織特定名稱。
3.1.3 自動執行選擇的缺陷檢查
本節介紹自動執行選擇的缺陷檢查的子步驟。
圖4. 自動執行選擇的缺陷檢查的子步驟
採取圖9所示的子步驟選擇要自動執行的缺陷檢查:
子步驟3.1選擇缺陷檢查:檢視缺陷檢查定義,根據組織的風險承受能力和預期的攻擊型別酌情新增檢查。【角色:DSM(參見2.7節。)】
子步驟3.2調整資料採集:
· 檢視所需的實際狀態資訊,配置自動化感測器收集所需資訊。【角色:ISCM-Sys(參見2.7節。)】
· 檢視所匹配的明確規定的期望狀態規範,或新增其他規範匹配要檢查的新增實際狀態。配置採集系統接收和儲存期望狀態規範,可自動與實際狀態資料進行比較。【角色:ISCM-Sys(參見2.7節。)】
子步驟3.3 執行ISCM系統:
· 執行採集系統,識別安全和資料質量缺陷。
· 配置採集系統將安全和資料質量資訊傳送至缺陷管理儀表盤。
子步驟3.4 基於結果進行風險管理:首先基於結果對發現的較高風險進行響應,評估潛在剩餘風險,為總體風險承受決策提供支援。如果確定風險太大而無法承受,可基於結果對進一步緩解措施進行優先順序排序。
3.2 VUL子能力和缺陷檢查表格和模板
本節介紹提議的特定測試模板,我們認為這些模板足以用於評估支援VUL能力的控制項。關於缺陷檢查的概要說明,請參見本NISTIR第1卷第5節。關於各缺陷檢查的評估標準說明中涉及的實際狀態和期望狀態規範的概要說明,請參見本NISTIR第1卷4.1節。本文的3.2.1、3.2.2和3.2.3節分別介紹基礎檢查、資料質量檢查和本地缺陷檢查。3.2.1節、3.2.2節和3.2.3節中的“支援的控制項”資料明確了哪些控制措施在無效情況下可能導致特定缺陷檢查失敗。控制項和缺陷檢查之間的關聯進一步提供了檢查(測試)原因的說明。關於如何調整檢查(及其中的角色)滿足組織的需求,參見3.1節。
本節中發現的資料可用於缺陷檢查選擇和根因分析。3.2.4節介紹各子能力(透過缺陷檢查進行測試)如何透過提供某些示例攻擊步驟和/或解決資料質量問題對整體能力提供支援。
附錄G也可為根因分析提供支援。缺陷檢查模板的內容如下:
· 以“該子能力目的……”開頭的部分定義透過缺陷檢查測試的子能力,並介紹評估標準。3.2.4節介紹子能力如何攔截或延緩執行某些示例攻擊步驟。
· 以“該缺陷檢查用以評估……”開頭的部分介紹缺陷檢查名稱以及為實現子能力目的而採取的子能力有效性評估標準。
· 在以“響應示例……”開始的部分,舉例說明了檢出缺陷時可能作出的響應以及責任角色。可能的響應行動(含有主要職責分配示例)是常見操作,適用於特定子能力中發現缺陷時的情況。主要職責分配示例不影響其他NIST指南中定義的總體管理責任。此外,每個組織都可以自定義響應動作和職責,在最大程度上滿足自身需求。
· 最後,在以“支援性控制項……”開始的部分,列明為支援子能力而互相配合的控制項。支援性控制項的識別基於3.3節中缺陷檢查到控制項的對映。每個子能力都由一組控制項支援。因此,若列明的任何支援性控制措施都失敗,則缺陷檢查失敗,總體風險可能上升。
如3.1節所述,該資料由組織進行定製和調整,最終納入安全評估計劃。
3.2.1 基礎子能力和相關缺陷檢查
NISTIR 8011第4卷針對VUL能力提出了一種面向安全的基礎缺陷檢查。基礎檢查為VUL-F01。
可針對單項檢查(如基礎檢查、資料質量檢查或本地檢查)評估缺陷檢查,或對整個評估範圍之外的各裝置分組(如裝置管理人,裝置負責人和系統)彙總缺陷檢查。選擇基礎缺陷檢查旨在將其納入總結報告。“是否選擇”列表示是否執行檢查。
3.2.1.1 “減少軟體漏洞子”能力和缺陷檢查VUL-F01
該子能力目的如下:
該缺陷檢查用以評估該子能力是否有效執行,其定義見下表。
響應示例:
支援性控制項:
3.2.2 資料質量子能力和相關缺陷檢查
NISTIR 8011第4卷提出了四種資料質量缺陷檢查,以VUL-Q01至VUL-Q04命名。資料質量缺陷檢查非常重要,因為它們提供了確定整體評估自動化過程可靠性的必要資訊,該資訊可用於確定其他缺陷檢查資料的可信度(即更好地保證安全控制的有效性)。資料質量缺陷檢查與特定控制項無關,根據在總結報告中的重要性進行選擇。“是否選擇”列顯示組織執行了哪些檢查。關於資料質量檢查的更完整資訊,參見NISTIR 8011第1卷“概述”的5.5節“資料質量措施”。
3.2.2.1 “確保裝置級報告完整性”子能力和缺陷檢查VUL-Q01
該子能力目的如下:
該缺陷檢查用以評估該子能力是否有效執行,其定義見下表。
響應示例:
支援性控制項:
3.2.2.2 “確保缺陷檢查級報告完整性”子能力和缺陷檢查VUL-Q02
該子能力目的如下:
該缺陷檢查用以評估該子能力是否有效執行,其定義見下表。
響應示例:
支援性控制項:
3.2.2.3 “確保整體缺陷檢查上報完整”子能力和缺陷檢查VUL-Q03
該子能力目的如下:
該缺陷檢查用以評估該子能力是否有效執行,其定義見下表。
響應示例:
支援性控制項:
3.2.2.4 “確保總體報告及時性”子能力和缺陷檢查VUL-Q04
該子能力目的如下:
該缺陷檢查用以評估該子能力是否有效執行,其定義見下表。
響應示例:
支援性控制項:
3.2.3 本地子能力和相關缺陷檢查
本節以本地缺陷檢查VUL-L01為例介紹組織可在基礎檢查中新增的內容,為具備VUL的NIST SP 800-53控制措施進行更全面自動化評估提供支援。
組織可自行決定實施哪些缺陷檢查進行風險管理。通常,選擇更多缺陷檢查可能會降低風險(如果有能力解決發現的缺陷)並提供更可靠的保障,但也可能會增加檢測和緩解成本。組織可對缺陷檢查進行取捨,以平衡收益和成本,首先關注會產生最大風險的問題(即管理風險),確定風險響應措施的優先順序。
注意:根據組織的風險承受能力和系統的影響級別,可在缺陷檢查中增加選項,讓檢查更為嚴格或寬鬆。
“是否選擇”列顯示組織根據文件記錄或依據修改而選擇執行的本地缺陷檢查。
3.2.3.1 “減少不規範編碼實踐”子能力和缺陷檢查VUL-L01
該子能力目的如下:
該缺陷檢查用以評估該子能力是否有效執行,其定義見下表。
響應示例:
支援性控制項:
3.2.4 各子能力對攻擊步驟模型的安全影響
表6列明NIST SP 800-53安全控制措施派生的缺陷檢查協助阻止攻擊/事件的主要方式,如圖1所示。說明:表6中的一些單元格內容可能包含其他單元格的重複資訊。這一方面是設計原因,另一方面是由於NISTIR 8011是自動化完成編寫。
表1. 攻擊步驟與安全子能力的對應關係
[1]風險可根據威脅,漏洞,可能性和影響確定。關於風險管理、評估和優先順序排序的更多資訊,請參見NIST SP 800-30 [SP800-30]和NIST SP 800-39 [SP800-39]。並且,自動化漏洞掃描工具還提供關於已發現的軟體漏洞的風險資訊和風險優先順序排序資訊。