信息安全社区标准化活动的集合和计划

关于男男同性恋者

信息系统的安全性和完整性在大多数类型的机构是一个至关重要的问题。找到更好的方法来解决话题是许多行业的目标,学术界和政府。的更有效方法之一越来越受欢迎在解决这些问题是使用标准的知识表示形式,枚举,交换格式和语言,以及共享的标准方法关键的遵从性和一致性要求。这些努力分为四个基本构建块的注册、语言/格式标准化的使用,和标准化的流程。通过建立标准化和种族隔离的交互操作,开发和维护工具和过程组织获得伟大的自由选择技术、解决方案和供应商以及宽松的负担以来劳动力培训和分享信息的概念和术语变得越来越无处不在的和供应商/实现特定。“安全”可衡量的行动提供基础回答今天的增加要求问责,没有人为的约束组织的效率和互操作性解决方案的选择。

本节中的信息最初提出的斜方首席工程师罗伯特·马丁亚20082008年11月19日在圣地亚哥,加利福尼亚,美国和发表在会议的程序。第二个,扩展版文章随后发表在9月/ 2009年10月的问题相声的杂志,杂志上的防御软件工程,但已经多次修订之后捕获的进化和成熟的作品。

你也可以下载整个”使安全可衡量的和可控的“白皮书(PDF, 431 k)在一个PDF。


介绍安全可衡量的和可控的

在过去的十三年,主教法冠和其他人已经开发出许多信息安全相关标准化越来越多地采用供应商,形成安全运营管理和测量活动的基础广泛的行业和政府组织。本文探究这些标准化的注册、使用、语言和过程是促进自动化评估的使用,操作,提高企业安全信息基础设施的安全状况,同时培养韧性和有效安全采用的组织协调。

“安全”衡量的基本前提是,任何企业,衡量和管理他们的网络资产的安全必须要使用自动化。任何合理规模的企业,自动化将不得不来自多个来源。使发现、分享、一致的和可组合在不同的工具和报告问题和合作伙伴必须有一组标准化的定义被检查,报告,由这些不同的工具和描述不同的信息来源。标准化是什么组成的核心”使安全可衡量的”努力。

信息安全操作、测量和管理,作为最初的练习,是复杂的,昂贵的,充满了独特的活动和定制的方法。解决企业面临的各种挑战,关于事件和威胁分析和管理,修补,应用安全、合规管理要求基本采用供应商技术和集成方式的变化。这些变化包括企业组织和培训的方式利用这些功能。同样,支持组织纪律和责任目标而使创新和灵活性,安全行业需要搬到一个供应商中立的安全操作,管理和测量策略。战略必须是中性的具体解决方案提供商,同时也足够灵活,能够同时处理几个不同的解决方案。最后,新方法必须使消除重复和手工活动,提高弹性,组织利用外部资源的能力和与其他组织合作面临着同样的威胁和风险。

这些目标是否达到,将架构驱动的标准化信息的范围和组织安全活动,我们的企业实践。通过承认的“自然”分组活动或域,所有信息安全组织地址——独立于他们所使用的工具和技术已经建立了一个框架内,组织可以组织他们的工作独立于他们当前的技术选择和足够灵活,能够适应未来的产品。同样,通过检查这些域分组和类型的实践仍然存在,它们之间的协调与合作,可以提高互操作性和独立组通过标准化公共概念的信息流动和他们之间。这些共享的概念有时也被称为“边界对象”,那些研究民族间交流的现象1,但没有杠杆明确信息安全标准化。

重铸网络安全实践使用体系结构和系统工程主体

在本文中,我们将讨论如何利用系统工程的实践[1]currentoriginal网络安全解决方案可以改写成一个启动点标准化功能decomposition-based安全架构。这些架构提供了一个灵活的、合乎逻辑的和可扩展的方式来建造和运营为企业网络安全解决方案,和一个改善弹性和更支持安全操作、测量、管理和共享的目标。

在本文中,我们看看网络安全相关的活动的集合,大多数企业实践包括盘点资产;分析系统配置;分析系统的漏洞;分析的威胁;学习入侵;共享指标;报告和响应事件;变更管理;评估系统开发、集成和维护活动;和认证认可的系统部署到企业。 (Note that this is an integrated list that includes activities tied to the operation of systems in the enterprise as well as those they create, deploy, and update systems.)

我们还检查已确定的不同类型的信息来支持这些活动。最后,我们确定需要的关键活动和信息分享和明确的在今天的不同功能的网络安全环境。通过识别和收集这些功能组件标准化的可重用的概念,我们说明架构带来的主要好处之一,在企业信息安全技术的研究格局。

架构设计的安全

我们可以奠定基础架构可测量的安全通过查看安全操作、测量和管理架构问题,用系统工程的方法进行功能分解,确定需要完成的基本功能和活动,然后得到适当的技术来支持功能和活动。

通过标准化的发展和采用枚举,建立语言和接口标准工具和组织之间的传递信息,并与他人分享指导和测量目标在这些标准编码语言和概念,在世界各地的组织可以极大地改变企业的选择地址安全的网络环境。

那时收集枚举和共享在公开的注册中心和存储库的标准指导使用它们在标准化方面我们可以使厂商中立的生态系统的信息的多种工具,实践和组织可以与其他任何先天的讨论或工作以外的符合使用要求或语言和格式规范用于获取注册表中的信息。

美国联邦政府和商业企业部署安全测量和管理的新方法,利用互操作性标准,使测量范围的安全操作和政策合规工作。这些安全架构驱动的操作测量和管理标准化[2]是为这些组织提供的方法来创建测试规则对他们的组织的最低安全配置,强制性的补丁,和/或不可接受的编码实践,可以不断评估,报告,和任何后续补救措施计划,执行,确认使用商业工具和标准化的活动和实践。同时,这些标准化的可重复的项目还提供了依据,可训练的过程和共享使automation-based部署测试方法验证和回归测试在整个操作系统的生命周期。

也许更重要的是,在网络安全社区建筑方法的建立有助于打开大门更有弹性,更快,更好的协调方法处理下一组安全问题。毫无疑问,每一个现有的解决方案正在实施对抗今天的威胁将袭击循序进步如何攻击系统和企业。但更一致的理解这些新威胁的依据和方法,可以利用解决方案更快和更可预测的时间框架,应用共享更迅速,更理解的风险依然存在。

架构可测量的安全的构建块

我们认为有四个基本构建模块架构可测量的安全:

  • 标准化枚举常见的需要共享的概念。
  • 语言用于编码高保真如何找到共同的概念和信息交流,信息从一个人到另一个人,从一个人到一个工具,从一个到另一个工具,从一个人的一个工具。
  • 通过共享信息存储库语言使用的内容广泛的社区和个人组织,最大限度地减少损失的意义内容时之间交换的工具,人,或两者兼而有之。
  • 的均匀性采用通过品牌和审查项目鼓励工具、交互和内容保持标准化和一致性。

下面几节详细讨论这些构建块。

枚举

枚举目录信息保障的基本实体和概念、网络安全、软件保证需要跨不同的学科和共享这些实践的函数。2007年6月国家科学院报告状态的网络安全和网络安全的研究中,“向一个更安全、更安全的网络空间,”[3]强调,指标和测量特别依赖枚举。该报告引用了一个例子常见的漏洞和风险敞口(CVE®)[4]名单由斜方公司办公室的资金网络和通讯美国国土安全部(DHS),作为一个枚举,使各种各样的测量通过提供独特的标识符公开已知的漏洞的软件。有许多的枚举信息保障、网络安全、和软件保证空间。表1显示了一些示例。

表1。枚举
的名字 主题
常见的漏洞和风险敞口(CVE®) 标准标识符公开已知的漏洞
常见的弱点枚举(CWE™) 标准标识符软件架构的弱点、设计或实现,导致漏洞
常见的攻击模式枚举和分类(CAPEC™) 标准标识符攻击
常见的配置枚举(CCE) 标准标识符配置问题
通用平台枚举(CPE) 标准标识符平台、操作系统和应用程序包
SANS前20名 共识的最关键的漏洞列表需要立即修复
打开Web应用程序安全性项目(OWASP)前十 列表的十个最关键的Web应用程序安全漏洞
Web应用程序安全性的财团(WASC)威胁分类 网络安全攻击类的列表

语言

标准化的语言和格式允许统一编码的枚举概念和其他高保真从人类信息交流,人类的工具,工具的工具,人类的工具。例如,一个配置基准文档写的可扩展的配置清单描述格式(XCCDF)开放的脆弱性和评估语言(椭圆形®)语言将由人类可读和可消费的一个评估工具,该工具可以直接进口的测试和检查文档中表示。与枚举一样,有很多信息保障、网络安全、面向软件保证测量和管理语言和格式。一些示例如表2所示。

表2。语言
的名字 主题
可扩展的配置清单描述格式(XCCDF) XML规范语言编写安全清单,基准,和相关类型的文档
开放的脆弱性和评估语言(椭圆形®) XML语言编写评估测试资产的当前状态和表达结果
普通危险得分系统(CVSS) 输送脆弱性相关的风险和风险的一个方法测量
评估结果格式(ARF) 标准化IT资产as-sessment结果格式,便于交流和评估结果的聚合
打开清单交互式语言(OCIL) XML语言编写评估测试关于自动化安全检查资产和表达结果
公共事件表达式(中东欧™) 语言和语法来描述计算机事件,事件是如何记录,以及他们如何交换
恶意软件属性枚举和表征(MAEC™) 语言来描述恶意软件的攻击模式,碎石,和行动
常见的漏洞的披露框架和响应(CVRF) 基于xml的格式报告和共享脆弱性信息在多个组织
常见的弱点评分系统(水煤浆™) 输送的弱点的方法相关的风险和风险测量
网络可观测的表达式(CybOX™) 一种语言用于描述网络可见

存储库

存储库允许通用的标准化内容和共享使用,是否在广泛的社区或在单独的组织。分享的内容已经做了一段时间,但这样做在标准机器可用语言和格式使用standards-enumerated概念相当近。大部分的存储库中列出将其内容转换为地址存放机器可读的形式。示例如表3所示。

表3。存储库
的名字 主题
国防部计算机紧急响应小组(DoD-CERT) 信息保障脆弱性警报(IAVAs)和国防信息系统局(DISA)安全技术实现指南(斯蒂格)
网络安全中心(CIS) 独联体安全配置标准
国家安全局(NSA) 国家安全局安全指南
国家漏洞数据库(NVD) 美国基于CVE漏洞数据库集成所有公开可用的脆弱性和引用的资源
国家清单项目(NCP)存储库 美国政府公开可用的安全存储库清单/基准
美国政府配置基线(USGCB) 美国政府的安全配置基线库产品部署在XML文档表示为SCAP的联邦机构
Red Hat库 椭圆形补丁定义Red Hat勘误表安全警告
椭圆形的库 椭圆形的脆弱性、合规、库存和补丁的定义

这些都是非常公开的例子与各种类型的内容存储库将被重塑成标准化的机器可用的形式使用的一些语言中确定表2的枚举表1,但也有封闭的存储库,例如,一个公司可能写一套定制的政策关于他们想做的事情符合Sarbenes-Oxley或类似的东西。他们不一定想与世界分享,但他们想要的标准在所有不同的元素可用的公司,他们想要他们的审计师和可能的伴侣。

采用统一的

统一采用标准的社区是最好通过品牌/审查程序,可以帮助工具,互动和内容仍符合公认的使用标准化的项目。

斜接的CVE项目使用了一个非常成功的CVE兼容性项目,审查大量的信息安全产品和服务,以确保它们是”CVE兼容”,也就是说,他们可以使用CVE的方式支持与其他产品也兼容和互操作正确,他们每个人都有自己的能力一个特定漏洞的概念映射到正确的CVE漏洞标识符。同样的,椭圆形,CWE,CAPEC,MAEC采用类似的计划关于促进共同使用各自的物品。的国家标准与技术研究院(NIST)也有一个SCAP验证程序对于那些目前提供的供应商,或者打算提供,SCAP-validated工具。

所有的这些项目,以及其他可能会在未来,开发将有助于确保一致性在安全社区有关的使用和实现标准化的项目。他们还向用户保证工具、服务和信息的组织采用项目这样做正确和有一个高的信心,他们将正常工作时的工具和服务一起使用。

体系结构构建块一起如何

配置合规测量

可测量的安全架构的基石已经在使用企业安全领域的配置合规评估、脆弱性评估,系统评估指标分享和威胁评估。

图1

图1:配置使用标准的遵循脆弱性评估的评估

配置指导,变更管理,集中报道

OMB备忘录从2007年6月1日,题为“实现普遍接受为Windows操作系统安全配置”[7]引用内容在NIST的国家漏洞数据库(NVD)。本指南也称为核心配置联邦桌面的一部分(FDCC)[8],目的是把特定的安全系统软件配置的一致性微软XP和VISTA在联邦政府使用。针对VISTA的备忘录的一部分直接指向一组内容使用XCCDF和椭圆形语言随着CPE和CCE枚举(9、10)。随后,美国政府配置基线(USGCB)努力扩大了FDCC其他平台在整个联邦政府使用。这两个工作是相当公共基准文档存储库的例子使用标准语言和枚举。

上面图1显示了一个组织如何利用tool-consumable基准文档从知识存储库配置指导。基准提供了一个商业工具,检查逻辑组织开展它们的配置使用指导分析来评估组织的计算机系统的配置合规。

如图1所示,基准考试的结果也提供了标准语言和枚举术语是喂给企业的变更管理和中央报告流程。图1还表明,安全测量和管理活动可以通过系统工程分析抽象视图建立配置指导分析的安全活动,企业变革管理,集中报道,你可以管理功能区域。

漏洞评估

漏洞的警报,例如那些中引用NVD,是另一个例子。有时,这些已经标准化,根据他们来自的来源。下面的图2显示了一个组织如何利用tool-consumable漏洞评估文档从知识存储库,为商业提供检查逻辑工具,使用组织进行脆弱性分析评估的漏洞修复合规状态组织的计算机系统。例如,Red Hat的勘误表,定期发布与cf,椭圆的定义和CVSS分数。如图2所示,脆弱性评估的结果是喂给企业的变更管理和中央报告流程。

图2还显示了脆弱性评估和分析可以通过系统工程分析抽象视图作为一个功能区域,你可以管理。

图2

图2:使用标准评估漏洞修复状态

如图2所示,脆弱性评估的结果是喂给企业的变更管理和中央报告流程。漏洞评估和分析如图2所示的第四安全测量和管理活动抽象通过系统工程分析视图的不同组织的安全活动。

系统评估

然而,系统评估和认证尚未标准化。这是一个地方正在推行标准化的发展努力CWE和CAPEC解决系统的开发的组件以及脆弱性和配置评估中所示图1图2以上。

下面的图3显示了一个组织如何利用tool-consumable的认证体系认证指导要求从知识存储库,类似于e-MASS努力开发在国防部内,捕获的标准评估一个组织的计算机系统的状态。

图3

图3:使用标准体系认证和评审

如图3所示,认证和认证考试的结果是提供给企业的变更管理和中央报告流程。认证活动图3所示是第五个安全测量和管理活动的抽象通过系统工程分析视图的不同组织的安全活动。

威胁评估

警告和威胁评估是另一个还没有完全标准化。下面的图4显示了一个组织如何利用tool-consumable威胁信息知识对新的和现有的威胁来源,像商业威胁报告,一些安全服务提供商提供,提供一个有效的方式比较威胁的信息,如目标平台,漏洞和弱点对企业资产及其状态的信息。

图4

图4:威胁影响评估使用标准

分析的结果如图4所示,新的威胁信息可以喂给企业的变更管理和中央报告流程。图4中所示的威胁分析是第六个安全测量和管理活动我们演示了如何抽象供应商和工具中性活动通过系统工程分析视图的一些不同的组织的安全活动。

这个过程的抽象可以用来识别和定义其他安全测量和组织进行的管理活动。下面的图5包含了当前在上面的和额外的流程包括库存资产的活动,研究入侵活动,通知事件,评估系统的开发、集成和维护活动。这些都是你可以管理功能块。

此外,图5说明了不同的安全测量和管理活动是通过标准的数据接口,联系在一起使用前面讨论的标准枚举和标准语言。利用这些抽象活动和执行标准的使用之间的相互作用,一个组织可以带来商业上可用的技术和工具,他们的安全问题,但仍保持控制的过程和活动,而不是结束了活动的范围定义的工具被使用,通过专有的机制耦合在一起。

标准库的管理和指导可以帮助推动这些标准衡量和管理活动的业务价值。

图5

图5:安全测量和管理活动的分解

如OMB指导示例所示,应该如何修补和配置系统的信息了CVE,椭圆形,XCCDF,CCE,CVSS,CPE。利用这种标准化,国防部要求支持这些标准(见采购的商业功能DISA IASSURE合同2004任务订单2322004年6月3日;DISA IASSURE合同2004任务订单2542004年9月24日;和DISA”资产配置合规模块”RFI,征集ACCMRFI数量,2008年8月5日)。

可重用和共享库

同样,左边的图5所示,这些相同的标准可以用来捕获你的组织是如何配置和建立一个新的系统已经被批准用于您的企业。通过使用这些标准化项目,信息可以直接进入你的操作网络管理,这样您就可以确保新系统仍然是被批准的方式进行配置。您还可以包括标准指导哪些弱点CWE[11]你想成为了自己的开发活动或在你的供应商的开发活动。此外,常见的攻击模式CAPEC[12]可用于定义和文档类型的渗透测试您的开发团队思考防御和攻击场景当他们在做他们的发展和渗透测试。

资产库存,利用标准化的信息CPE椭圆形会让一个组织知道资产的方式工具独立和可用的其他标准配置等活动分析。同样,如果你知道如何你的资产配置更容易执行基于脆弱性分析CVE,CWE,椭圆形,CVSS。同样,如果你知道你所拥有的,它是如何配置的,是脆弱的,这将会改变你如何做威胁分析的背景和框架。

图6

图6:库喂养标准测量和管理活动

漏洞的警报,例如NVD是一朵朵例子。有时,这些已经标准化,根据他们来自的来源。从Red Hat勘误表,inc .)与cf例如定期发布,椭圆的定义和CVSS分数。在这一领域尤其是已经采用行业标准。

因为威胁警报尚未标准化,标准化可能发生,这是一个领域,努力像MAEC CybOX旨在使。同样,在事故报告有很多不同的想法应该标准化,什么到什么程度应该是标准化。

最后,像任何新领域有使用的许多方面仍在发展。例如,正确的方法来管理变化,更新,或发展新的内容共享存储库。是否存储库应该启用服务,为静态集合,或两者也是开放的。同样,随着新的见解对漏洞,劣势,威胁和攻击需要肯定会有变化的不同方面如何编织在一起,使用这些类型的信息。通过将网络安全的各个方面,信息保障和软件保证一致的安全体系结构框架将会有许多新的机遇和应对新威胁和新信息快得多。一个令人信服的使用枚举的注册中心和存储库,常见的用法,和标准化的语言可以在提供的共识审计指南[13]在华盛顿的战略与国际研究中心的发展战略与国际研究中心网络安全委员会报告的主要建议第44任总统[14]。指南包含本文中描述的许多项目作为一个方法清晰、简明地沟通需要做什么,需要审计。

结论

可测量的安全性和自动化可以通过在政府和公众的努力:

  • 地址信息安全在创造,以整体的方式,操作,和维护。
  • 使用通用的标准化的概念。
  • 这个信息标准化的语言交流。
  • 以标准化的方式分享信息。
  • 采用工具,遵守标准。

大部分已经完成改变安全的方式操作,测量和管理进行,但是仍有大量的工作需要处理。体系结构和系统工程主体的使用已被证明是有效和启用。正在努力解决和发展在这个舞台上的所有活动将大大受益于持续这种方法的应用。像大多数架构的努力今天,建筑的真正价值不明显或赞赏,直到其启用属性开始显现。在安全实践的变化和技术本文中概述我们展示了具体和可衡量的变化直接关系到建筑的使用方法在安全信息技术在政府和私营企业。我们还展示了标准化信息的分享可能带来的好处。

通过创建和发展这些类型的标准和安全操作的新方法,测量和管理,我们每个人需要远离传统的关注地方和企业的问题。我们必须意识到更强大的和富有成效的解决这些问题可以通过强调培养全社区检查每个技术领域的众多的问题和需求平衡和考虑。见解,增加弹性和能力利用集体知识漏洞和攻击影响我们什么,能做些什么来解决这些问题通过利用每个人的见解和经验,并能够发现新的攻击和从他们那些遇到问题首先是有价值的利益权衡局部问题对全社区的问题。

如何参与

进一步使安全的目标可衡量的和鼓励参与和采用不同方面的工作,斜方已经建立了这个公共非正式“安全的”网站,收集所有的努力上面所提到的,以及我们其他人知道,帮助或将有助于让安全更可衡量的。

如果你意识到其他区域,或如何更好的将那些已经被解决,我们欢迎您的意见和建议,我们尤其欢迎感兴趣的个人和组织的参与,希望为这些努力作出贡献。请联系measurablesecurity@mitre.org为更多的信息。

引用

  1. 栗色、H。,"Systems Engineering Tools", Wiley, ISBN 0471154482, 1965.
  2. 马丁,r。,"Transformational Vulnerability Management Through Standards", CrossTalk: The Journal of Defense Software Engineering, May, 2005, (http://www.stsc.hill.af.mil/crosstalk/2005/05/0505Martin.html)
  3. 古德曼,s E。林,h·S。,"Toward a Safer and More Secure Cyberspace", National Academy of Sciences, National Academies Press, 2007, ISBN-13: 978-0-309-10395-4
  4. “常见的漏洞和风险敞口(CVE)倡议”,斜方公司(http://cve.mitre.org)
  5. Ziring, N。,Quinn, S., "The Specification for the Extensible Configuration Checklist Description Format (XCCDF) Version 1.1.4.", National Institute of Standards and Technology, January 2008, (http://csrc.nist.gov/publications/nistir/ir7275r3/NISTIR-7275r3.pdf)
  6. “开放的脆弱性和评估语言(椭圆形)倡议”,斜方公司(http://oval。mitre.org)
  7. 埃文斯,k . S。,"OMB Memorandum for Chief Information Officers and Chief Acquisition Officers: Ensuring New Acquisitions Include Common Security Configurations", 1 June, 2007.
  8. “联邦桌面核心配置(FDCC)努力”,国家标准与技术研究院(http://nvd.nist.gov/fdcc/index.cfm)
  9. “通用平台枚举(CPE)倡议”,斜方公司(http://cpe.mitre.org)
  10. “常见配置枚举(CCE)倡议”,斜方公司(http://cce.mitre.org)
  11. “共同的弱点枚举(CWE)倡议”,斜方公司(http://cwe.mitre.org)
  12. “常见的攻击模式枚举和分类(CAPEC)倡议”,斜方公司(http://capec.mitre.org)
  13. “共识审计指南(CAG)”,SANS Institute, (http://www.sans.org/cag/print.php)
  14. “网络安全委员会第44任总统”,战略与国际问题研究中心公司(http://www.csis.org/tech/cyber/)