【公益譯文】安全控制評估自動化支援:軟體漏洞管理(三)

綠盟科技發表於2021-05-08

3.1     計劃調整介紹和步驟

 

本節提供了符合NIST SP 800-37NIST SP 800-53A的安全評估計劃模板。有關文件元素的描述請參見本NISTIR1卷第6節。第1卷的第9節專門介紹如何將模板和文件與NIST SP 800-37NIST SP 800-53A中定義的評估任務和工作產品關聯。


要對安全評估計劃進行調整使其滿足組織的需求並實現自動化監控可採取圖6所示步驟。下文對這些步驟做了詳細描述。

【公益譯文】安全控制評估自動化支援:軟體漏洞管理(三)

圖1.   計劃模板調整主要步驟

 

3.1.1          選擇自動執行的缺陷檢查

本節介紹了選擇自動執行的缺陷檢查的子步驟。

【公益譯文】安全控制評估自動化支援:軟體漏洞管理(三)

圖2.   選擇自動執行的缺陷檢查的子步驟


採取圖7所示的子步驟選擇要自動執行的缺陷檢查

子步驟1.1明確評估範圍明確要覆蓋的評估範圍參見本NISTIR1卷的4.3

子步驟1.2分析系統影響針對子步驟1.1[FIPS199]中明確的評估範圍識別聯邦資訊處理標準FIPS199所定義的影響級別高階別)(請參見[SP 800-60-v1]/或組織的分類記錄

子步驟1.3  評審安全評估計劃文件

l   評審3.2節介紹的缺陷檢查初步瞭解要測試的擬議專案。

l   評審3.2節中的安全評估計劃說明瞭解如何將缺陷檢查應用於支援漏洞管理的控制措施。

 

子步驟1.4選擇缺陷檢查:

 l  根據子步驟1.11.21.3以及對組織的風險承受能力的理解請使用3.2.3節的表6確定必要的缺陷檢查從而評估根據系統影響級別和組織風險承受能力實施的控制措施是否有效。

 l   標記3.2.2節中選擇的必要缺陷檢查。組織無需採取自動化但是控制措施評估自動化可協助實現以下兩點

1.     及時生成評估結果,從而更好地防禦攻擊和/

2.     長期看,可以降低評估成本。

 3.1.2          根據組織實際情況調整角色

 本節介紹根據組織實際情況調整角色的子步驟。

【公益譯文】安全控制評估自動化支援:軟體漏洞管理(三)

圖3.   根據組織實際情況調整角色


採取圖8所示的子步驟根據組織實際情況調整角色

子步驟2.1稽核提議的角色有關提議的角色請參見2.7“VUL角色和職責說明

子步驟2.2 彌補缺失的角色確定組織中當前未分配的所有必需角色。明確如何分配未分配的角色。

子步驟2.3 重新命名角色確定每個角色匹配的組織特定角色名稱。注意,同一組織角色可能會履行多個提議的角色。

子步驟2.4 調整文件採取以下兩種方法之一將組織特定角色對映到此處提議的角色(兩種方法都可接受):

 l   2.7節的表中新增一列列出組織特有的角色名稱。

 l   使用全域性替換將整個文件中的角色名稱從本NISTIR中建議的名稱修改為組織特定名稱。


 3.1.3          自動執行選擇的缺陷檢查

 本節介紹自動執行選擇的缺陷檢查的子步驟。

【公益譯文】安全控制評估自動化支援:軟體漏洞管理(三)

圖4.   自動執行選擇的缺陷檢查的子步驟


採取圖9所示的子步驟選擇要自動執行的缺陷檢查

子步驟3.1選擇缺陷檢查:檢視缺陷檢查定義,根據組織的風險承受能力和預期的攻擊型別酌情新增檢查。角色DSM參見2.7節。

子步驟3.2調整資料採集

 ·       檢視所需的實際狀態資訊配置自動化感測器收集所需資訊。【角色ISCM-Sys參見2.7節。)】

 ·       檢視所匹配的明確規定的期望狀態規範或新增其他規範匹配要檢查的新增實際狀態。配置採集系統接收和儲存期望狀態規範可自動與實際狀態資料進行比較。【角色ISCM-Sys參見2.7節。

子步驟3.3 執行ISCM系統:

 ·       執行採集系統,識別安全和資料質量缺陷。

 ·       配置採集系統將安全和資料質量資訊傳送至缺陷管理儀表盤。

子步驟3.4 基於結果進行風險管理首先基於結果對發現的較高風險進行響應評估潛在剩餘風險為總體風險承受決策提供支援。如果確定風險太大而無法承受,可基於結果對進一步緩解措施進行優先順序排序


3.2     VUL子能力和缺陷檢查表格和模板

本節介紹提議的特定測試模板,我們認為這些模板足以用於評估支援VUL能力的控制項。關於缺陷檢查的概要說明,請參見本NISTIR1卷第5節。關於各缺陷檢查的評估標準說明中涉及的實際狀態和期望狀態規範的概要說明,請參見本NISTIR14.1節。本文的3.2.13.2.23.2.3節分別介紹基礎檢查、資料質量檢查和本地缺陷檢查。3.2.1節、3.2.2節和3.2.3節中的支援的控制項資料明確了哪些控制措施在無效情況下可能導致特定缺陷檢查失敗。控制項和缺陷檢查之間的關聯進一步提供了檢查(測試)原因的說明。關於如何調整檢查(及其中的角色)滿足組織的需求,參見3.1節。

本節中發現的資料可用於缺陷檢查選擇和根因分析。3.2.4節介紹各子能力(透過缺陷檢查進行測試)如何透過提供某些示例攻擊步驟和/或解決資料質量問題對整體能力提供支援。

附錄G也可為根因分析提供支援。缺陷檢查模板的內容如下

·       該子能力目的……開頭的部分定義透過缺陷檢查測試的子能力並介紹評估標準。3.2.4節介紹子能力如何攔截或延緩執行某些示例攻擊步驟。

·       該缺陷檢查用以評估……開頭的部分介紹缺陷檢查名稱以及為實現子能力目的而採取的子能力有效性評估標準。

·       在以響應示例……開始的部分舉例說明了檢出缺陷時可能作出的響應以及責任角色。可能的響應行動(含有主要職責分配示例)是常見操作適用於特定子能力中發現缺陷時的情況。主要職責分配示例不影響其他NIST指南中定義的總體管理責任。此外,每個組織都可以自定義響應動作和職責,在最大程度上滿足自身需求。

·       最後在以支援性控制項……開始的部分列明為支援子能力而互相配合的控制項。支援性控制項的識別基於3.3節中缺陷檢查到控制項的對映。每個子能力都由一組控制項支援。因此若列明的任何支援性控制措施都失敗則缺陷檢查失敗總體風險可能上升。

3.1節所述該資料由組織進行定製和調整最終納入安全評估計劃。


3.2.1              基礎子能力和相關缺陷檢查

 NISTIR 80114卷針對VUL能力提出了一種面向安全的基礎缺陷檢查。基礎檢查為VUL-F01

可針對單項檢查如基礎檢查、資料質量檢查或本地檢查評估缺陷檢查或對整個評估範圍之外的各裝置分組如裝置管理人裝置負責人和系統彙總缺陷檢查。選擇基礎缺陷檢查旨在將其納入總結報告。是否選擇列表示是否執行檢查。


3.2.1.1  “減少軟體漏洞子能力和缺陷檢查VUL-F01

該子能力目的如下:

 【公益譯文】安全控制評估自動化支援:軟體漏洞管理(三)


該缺陷檢查用以評估
該子能力是否有效執行其定義見下表。 

 【公益譯文】安全控制評估自動化支援:軟體漏洞管理(三)


響應示例:
 

 【公益譯文】安全控制評估自動化支援:軟體漏洞管理(三)


支援性控制項:
 

 【公益譯文】安全控制評估自動化支援:軟體漏洞管理(三)

 

3.2.2              資料質量子能力和相關缺陷檢查

 

NISTIR 80114卷提出了四種資料質量缺陷檢查,以VUL-Q01VUL-Q04命名。資料質量缺陷檢查非常重要因為它們提供了確定整體評估自動化過程可靠性的必要資訊該資訊可用於確定其他缺陷檢查資料的可信度即更好地保證安全控制的有效性。資料質量缺陷檢查與特定控制項無關,根據在總結報告中的重要性進行選擇。是否選擇列顯示組織執行了哪些檢查。關於資料質量檢查的更完整資訊參見NISTIR 80111概述5.5資料質量措施


3.2.2.1     確保裝置級報告完整性子能力和缺陷檢查VUL-Q01


該子能力目的如下

 【公益譯文】安全控制評估自動化支援:軟體漏洞管理(三)

 

該缺陷檢查用以評估該子能力是否有效執行其定義見下表。

 

【公益譯文】安全控制評估自動化支援:軟體漏洞管理(三) 

響應示例:

 【公益譯文】安全控制評估自動化支援:軟體漏洞管理(三)


支援性控制項:
 

 【公益譯文】安全控制評估自動化支援:軟體漏洞管理(三)

 

3.2.2.2     確保缺陷檢查級報告完整性子能力和缺陷檢查VUL-Q02

該子能力目的如下

 【公益譯文】安全控制評估自動化支援:軟體漏洞管理(三)

 

該缺陷檢查用以評估該子能力是否有效執行其定義見下表。

 【公益譯文】安全控制評估自動化支援:軟體漏洞管理(三) 

響應示例:

【公益譯文】安全控制評估自動化支援:軟體漏洞管理(三) 

支援性控制項:

【公益譯文】安全控制評估自動化支援:軟體漏洞管理(三)
 

 3.2.2.3     確保整體缺陷檢查上報完整子能力和缺陷檢查VUL-Q03

該子能力目的如下:

 【公益譯文】安全控制評估自動化支援:軟體漏洞管理(三) 

該缺陷檢查用以評估該子能力是否有效執行其定義見下表。

 【公益譯文】安全控制評估自動化支援:軟體漏洞管理(三) 

響應示例:

 

【公益譯文】安全控制評估自動化支援:軟體漏洞管理(三) 

支援性控制項:

 【公益譯文】安全控制評估自動化支援:軟體漏洞管理(三)

  3.2.2.4     確保總體報告及時性子能力和缺陷檢查VUL-Q04

該子能力目的如下:

【公益譯文】安全控制評估自動化支援:軟體漏洞管理(三) 

該缺陷檢查用以評估該子能力是否有效執行其定義見下表。

 

【公益譯文】安全控制評估自動化支援:軟體漏洞管理(三) 

 

 

響應示例:

 【公益譯文】安全控制評估自動化支援:軟體漏洞管理(三) 

支援性控制項:

 

【公益譯文】安全控制評估自動化支援:軟體漏洞管理(三)
  3.2.3              本地子能力和相關缺陷檢查

 本節以本地缺陷檢查VUL-L01為例介紹組織可在基礎檢查中新增的內容為具備VULNIST SP 800-53控制措施進行更全面自動化評估提供支援。

組織可自行決定實施哪些缺陷檢查進行風險管理。通常,選擇更多缺陷檢查可能會降低風險(如果有能力解決發現的缺陷)並提供更可靠的保障,但也可能會增加檢測和緩解成本。組織可對缺陷檢查進行取捨,以平衡收益和成本首先關注會產生最大風險的問題即管理風險),確定風險響應措施的優先順序。

注意:根據組織的風險承受能力和系統的影響級別,可在缺陷檢查中增加選項,讓檢查更為嚴格或寬鬆

 是否選擇列顯示組織根據文件記錄或依據修改而選擇執行的本地缺陷檢查。


  3.2.3.1     減少不規範編碼實踐子能力和缺陷檢查VUL-L01

 該子能力目的如下:

 【公益譯文】安全控制評估自動化支援:軟體漏洞管理(三) 

該缺陷檢查用以評估該子能力是否有效執行其定義見下表。

 【公益譯文】安全控制評估自動化支援:軟體漏洞管理(三)

 

 

響應示例:

 【公益譯文】安全控制評估自動化支援:軟體漏洞管理(三) 

支援性控制項:

 

【公益譯文】安全控制評估自動化支援:軟體漏洞管理(三)

 

3.2.4              各子能力對攻擊步驟模型的安全影響


6列明NIST SP 800-53安全控制措施派生的缺陷檢查協助阻止攻擊/事件的主要方式如圖1所示。說明6中的一些單元格內容可能包含其他單元格的重複資訊。這一方面是設計原因另一方面是由於NISTIR 8011是自動化完成編寫。

表1.   攻擊步驟與安全子能力的對應關係

 

【公益譯文】安全控制評估自動化支援:軟體漏洞管理(三) 



[1]風險可根據威脅漏洞可能性和影響確定。關於風險管理、評估和優先順序排序的更多資訊參見NIST SP 800-30 [SP800-30]NIST SP 800-39 [SP800-39]。並且,自動化漏洞掃描工具還提供關於已發現的軟體漏洞的風險資訊和風險優先順序排序資訊。

相關文章