美国网络安全 | 网络卫生与CIS控制框架

2021-02-24 10:22:05 浏览数 (2)

全文约700016图 阅读约20分钟

网络安全归根结底是做安全控制。关于安全控制选择的因素,除了常见的业务驱动、IT驱动、风险驱动、合规驱动等因素,本文将介绍另一个重要因素——基本网络卫生。这个词在国内似乎不常见,却是美国网络安全的常见词汇。

从某种程度上讲,基本网络卫生是安全控制的最小集合,是安全工作的基础之基础,具有最易入门、见效最快、通用性最强等特点,是安全需求极其迫切但资源极其短缺的组织的不二之选。

如果想到各种高级威胁攻击,难免会怀疑基本网络卫生的效果。的确,基本网络卫生主要用于解决威胁和漏洞带来的“低级别风险”。但事实证明,多年以来直到现在,绝大多数重大违规和攻击行为,都是由于组织未能遵循最基本的网络卫生实践(如补丁管理)而导致的。

CIS 20作为最易使用、最受欢迎的安全控制框架,正好提供了这样的“基本网络卫生”控制集合。这也是在介绍基本网络卫生时不得不讲CIS的原因。在仔细分解CIS基本网络卫生的控制集合(即CIS的前6项控制)时,可以发现,系统安全的四大流程(即资产/配置/漏洞/补丁管理)在其中均有充分体现。再一次印证:系统安全是网络卫生的重中之重

如果准备将基本网络卫生作为安全第一步,那么绝不应该让它成为最后一步。因为成熟的网络安全工作,必须与风险管理结合起来。所以,笔者的建议是采取双管齐下的安全方法论,即将基本网络卫生与风险管理方法相结合

注:需要CIS控制指南《CIS Controls v7.1》英文报告原文的读者,请关注“网络安全观”公众号,并在公众号后台输入文字“CIS控制”。

关键词:网络卫生(Cyber hygiene)、安全卫生(Security hygiene)、基线(Baseline)、基准(Benchmark)、CIS(互联网安全中心,Center for Internet Security) 、实施组IG,Implementation Group)

本文目录

一、网络卫生的重要性

二、卫生、基线、基准

1)网络卫生

2)控制基线

3)基准

三、CIS:最易实施的网络卫生框架

1)CIS控制框架的优点和不足

2)CIS控制和子控制

3)CIS控制之分类

4)CIS控制之实施组(IG)

5)CIS网络卫生之基本控制

6)CIS网络卫生之实施组1(IG1)

7)CIS基准

8)CIS强化镜像

四、NIST SP 800-53低影响基线

1)SP 800-53新版简介

2)SP 800-53控制基线

3)SP 800-53低影响基线

五、自定义的网络卫生

一、网络卫生的重要性

网络安全归根结底是做安全控制。安全控制的驱动因素主要包括业务驱动、IT驱动、风险驱动、合规驱动等类型。但实际上,除了这些常见的驱动因素之外,还有一种重要因素——基本网络卫生。而这真是本文的主题。

将上述各种驱动因素汇总成下图:

图1-安全控制的驱动因素

基本网络卫生的定位是基本的网络安全工作,其重要性不难理解。例如资产管理的弱点,会严重限制安全工作的有效性;而反病毒软件,无论何时都应该是任何组织的基本安全防护的一部分。

对于网络安全工作,有短期和长期两种视角:

  • 从长期看,风险管理方法通常是最有效的;
  • 从短期看,基本网络卫生通常是最有效的。

大家都知道,笔者一直强调安全架构设计的思想。但是对于完全没有安全基础又急于快速见效的客户,或者对于安全预算和资源极其有效的中小企业,可能最有效的方式就是基本网络卫生。

但另一方面,我们并不能因为短期目光而忽视长远考虑。由于组织的具体控制要求,通常会随着IT架构、法规、风险评估而变化。从长期看,通过风险管理方法选择安全控制措施,肯定是最优的,因为它提供了一种有针对性且与业务相关的控制措施选择方法。

关于基本网络卫生和风险管理方法的关系,笔者认同:采取风险管理方法的想法的确是好的,但不是第一步。相反,组织应该以一种检查表(Checklist)的方式,先实现一些基本网络卫生的控制项。可以设想,如果没有一个可靠的控制基线,组织将无法提供有效执行风险评估所需的上下文信息,因此也难以开展有效的风险管理。

下图展示了笔者如何看待基本网络卫生与风险管理方法之间的关系,即风险管理方法必须建立在基本网络卫生工作之上。同时,基本网络卫生决不能是一成不变的,而是必须随着时间推移,不断成熟和发展,根据风险管理方法分析确定的其它安全需求而扩大。

图2-网络卫生和风险管理的关系

该图表明,加强网络安全的真正最优的方法,其实是双管齐下的安全方法论,即将基本网络卫生与风险管理方法相结合

当然,在现实中,可以采取急用先行的方式,先实施基本网络卫生以快速见效,然后再着手风险管理方法以实现长期最优

二、卫生、基线、基准

网络卫生、控制基线、基准是比较容易混淆的词汇,也确实存在混用的情况。

01

网络卫生

网络卫生(Cyber hygiene)是在美国网络安全资料中的常见词汇,但在国内用得较少。笔者尚未找到对它的权威解释。笔者为什么要专门讲这个概念,原因有几个:

  • 网络卫生确实在美国网络安全资料太常见,不可不知;
  • 网络卫生是网络安全的基础之基础,不可不察;
  • 网络卫士是所有企业应该遵循的“安全最小集”,具有最大的通用性
  • 网络卫生是最容易见效的(但并不是最优的)。

在CIS控制指南《CIS Controls Microsoft Windows 10 Cyber Hygiene Guide》中提到:从历史上看,CIS控制利用控制项的顺序作为一种手段,集中了组织的网络安全活动,从而导致CIS控制的前6项的集合,称为网络卫生。(Historically, the CIS Controls utilized the order of the Controls as a means of focusing an organization’s cybersecurity activities, resulting in a subset of the first six CIS Controls referred to as cyber hygiene.)

02

控制基线

在CNSSI-4009 (国家安全系统委员会术语)中的定义如下:

  • 基线(baseline):信息系统给定时间点的硬件、软件和相关文档记录(documentation)。
  • 基线配置(baseline configuration):是指信息系统或系统内配置项的一套有文档记录规范(specifications),该规范在一个给定时间点已经被正式审查和同意,并且只能通过变更控制过程进行更改。

在NIST.SP.800-53r5-draft(草案)中的定义如下:

  • 基线=控制基线(control baseline):为低影响(low-impact)、中影响(moderate-impact)、高影响(high-impact)的系统所定义的,或基于隐私选择标准所选择的安全和隐私控制的集合,它为剪裁过程(tailoring process)提供了一个起点。
  • 安全控制基线(security control baseline):为低影响、中影响、高影响的信息系统定义的最低限度的安全控制的集合。
  • 基线配置(baseline configuration):同CNSSI-4009中的定义。

对于上述定义中的低影响(low-impact)、中影响(moderate-impact)、高影响(high-impact)的系统,其中的影响(impact),是指系统的安全目标(即机密性、完整性、可用性),被指定为FIPS出版物199中定义的潜在影响值(取值为低、中、高)。

NIST SP800-53中规定的低、中、高影响的系统控制基线,是为了帮助美国联邦机构履行其在《联邦信息安全现代化法案》(FISMA)和其他联邦政策下的义务。

从上述定义中可知,基线/控制基线/安全控制基线在本质上确实含有“最低限度”的含义。当然,针对不同影响级别(低影响、中影响、高影响)的信息系统,可以有各自对应的基线

03

基准

笔者尚未找到美国关于安全领域中“基准”(Benchmark)的权威定义。在CNSSI-4009可以发现,基准与检查表(Checklist)有类似之处。

CIS提供了“CIS基准”指南。CIS基准是目标系统的安全配置的最佳实践。CIS基准是可用于各个技术组的100多个配置指南,用于保护系统免受当今不断变化的网络威胁。

可以认为,CIS基准就是安全配置的设置和指南

关于CIS基准的更多内容,可参见本文第三章第7节(CIS基准)。

三、CIS:最易实施的网络卫生框架

01

CIS控制框架的优点和不足

1)最受欢迎的安全控制框架

通过安全控制框架(SCF)来选择安全控制,是最简单易行的想法。安全控制框架(SCF)主要由一系列控制组成,这些控制在不同程度上通过各种选择、操控、管理方法打包在一起。

美国最受欢迎的3种安全控制框架(SCF)是CIS 20、NIST SP 800-53、ISO 27002。而其中最简单的是CIS 20。本文主要通过CIS 20来介绍网络卫生的控制项。

CIS 20在历史上被称为SANS 20,但在2015年被CIS(互联网安全中心)接管。CIS以其确保各种系统和设备安全的全面的技术基准清单而闻名。顾名思义,CIS框架列出了20个区域(称为控制),每个区域包含10个左右更详细的控制要求(称为子控制)。不少人以为CIS仅包含20个控制列表,但实际上它至少包含150个以上的详细控制项(子控制)

2)CIS 20的优点

对于一无所有或开始起步的组织来说,CIS 20是一个很好的起点它提出了大多数组织都应该使用的通用最佳实践控制。CIS 20中规定的基线控制,是根据广泛的行业经验选择的,也是基于对共同风险的理解而选择的。正是这个原因,使得CIS 20具有广泛的通用性。

CIS 20的控制主要集中在基本安全控制上,即所有组织都应该在某个级别上使用的控制,不管它们作为安全实践的成熟程如何。这也是笔者认为CIS控制最适合用于网络卫生的原因。

2)CIS 20的不足

CIS 20虽然非常流行,但不足以实现持续性的“良好”安全效果。最主要的原因是:CIS 20缺乏风险管理方法,来选择控制和进行治理。在决定使用CIS 20作为起点之后,还应该使用风险管理为安全过程带来成熟度对于构建控制框架的长期成熟方法,NIST和ISO方法更为合适

02

CIS控制和子控制

对CIS 20的每一个控制,都有更详细的子控制。子控制的内容包含子控制编号、资产类型、安全功能、控制标题、控制描述、实施组(IG)。如下图所示:

图3-CIS子控制示例:控制1(硬件资产的清单和控制)

在CIS控制文档(《CIS Controls v7.1》)中,对20个控制的每一个,都给出了系统实体关系图,如下图所示:

图4-CIS系统实体关系图示例:控制1(硬件资产的清单和控制)

03

CIS控制之分类

在CIS控制7.1版中,列出了20项安全控制。分为三类:

  • 基本级(Basic)安全控制:前6项;
  • 基础级(Foundational)安全控制:中10项;
  • 组织级(Organizational)安全控制:后4项。

图5-CIS 20控制的分类

注:关于Basic和Foundational这两个词,确实经常同时出现且含义不同。依笔者理解,Basic偏向于入门性质;Foundational偏向于奠基性质,比Basic更高阶。

从上图可以看出,Control 1~16都是技术性控制;而Control 17~20更多是管理和流程方面的控制。

04

CIS控制之实施组(IG)

对于资源非常有限的组织来说,即便是CIS网络卫生控制集合(即前6项CIS控制的集合)中的许多实践,可能也难以实施。于是需要一套侧重于平衡资源限制和有效缓解风险的最佳实践。因此,CIS使用CIS实施组(IG),来确定CIS控制使用的优先级。

实施组(IG,Implementation Group)是基于网络安全属性对组织进行自我评估的类别。CIS通过实施组(IG)的维度,给出了针对不同规模组织的实施建议。

图6-实施组(IG)的定义

实施组(IG)的更多解释:

  • IG1(实施组1):雇员人数在10人左右的家族企业,归类于IG1。只具备有限的IT人员和网络安全人员(也可能没有专职安全管理人员)。这类组织主要关注业务运行,对停机时间的容忍度有限;其数据敏感度数据很低,主要是围绕员工身份和财务信息。为IG1部署的控制项,可以挫败一般性的、非针对性的攻击。
  • IG2(实施组2):对外提供服务的区域性的单位,归类于IG2。有专业团队和部门负责管理和保护企业的基础设施,有明确的职责划分。这类组织可能具有一定的法律合规性负担。IG2的组织会存储和处理敏感数据,也能够承受短时间的服务中断。为IG2选择的控制项,较IG1更加复杂,一些控制项需要依赖于企业级技术支持和专业知识。
  • IG3(实施组3):雇员超过千人的大型企业,归类于IG3。该类组织会聘请安全专家,专门研究网络安全不同方面的问题。IG3的系统和数据,包含了受监管和合规监督的敏感信息或功能。IG3组织必须处理服务的可用性以及敏感数据的机密性和完整性。IG3控制项的主要目的,是减少恶意攻击的广度和深度。

实施组(IG)的分类反映了组织资源的充裕度,如下图所示:

图7-实施组(IG)的分类

IG代表了为不同类型的企业量身定制的CIS安全控制项。每个IG都建立在前一个IG的基础上,IG2包含IG1的所有子控制,IG3包含了IG1和IG2中所有的子控制。

在前面的图3中,通过最右侧的IG标记,说明了子控制所隶属的实施组(IG)。

05

CIS网络卫生之基本控制

CIS前6项CIS控制的集合(即基本级控制),称为网络卫生。如下表所示:

表8-CIS基本级控制

可见,CIS基本级控制总共有47个控制项。

值得强调的是,CIS基本级控制几乎完整包含了在《JIE(联合信息环境)启示和综述》和《新一代企业网络安全框架》之十大工程中提到的系统安全系统安全的四大流程,即资产/配置/漏洞/补丁管理,在第1、2、3、5项控制中均有充分的体现。而第4、6项控制主要针对管理权限(特权管理)和日志审计,也是对于基本网络卫生而言非常重要的控制项。

可见,即便在CIS所指的网络卫生中,系统安全仍是重中之重

06

CIS网络卫生之实施组1(IG1)

CIS建议组织实施控制项的顺序是:先实施IG1中的控制项,然后是IG2,最后是IG3。由于IG1中的控制项至关重要,IG1的实施应该作为网络安全计划的首要任务之一

表9-CIS最小实施组(IG1)的控制项

可见,CIS实施组(IG1)总共有43个控制项。

单纯从数量上看,IG1的43个控制项与CIS基本级控制的47个控制项相比,并没有少多少。那么笔者推测,原因有二:

  • 实现难度:IG1的实现难度,要比CIS基本级控制小;
  • 领域覆盖度:IG1的领域覆盖度,要比CIS基本级控制大。从上面两个表格可以看出,CIS基本级控制只覆盖了CIS 20的前6项控制(但子控制比较全),而IG1的控制项则覆盖CIS 20中的18项控制(但子控制不全)。

07

CIS基准

CIS基准是目标系统的安全配置的最佳实践。CIS基准涵盖了超过14个技术组的100多个CIS基准。

图10-CIS基准的官方下载页面的截图

由上图可见,CIS基准覆盖的目标对象类别包括:操作系统、服务器软件、云提供商、移动设备、网络设备、桌面软件、多功能打印设备等。其中每一类又有细分,比如服务器软件又分为Web服务器、虚拟化、协作服务器、数据库服务器、DNS服务器、认证服务器。而每一类服务器又细分为不同的厂商型号。

CIS基准中有两个级别的轮廓(Profiles)

  • 1级(Level 1)轮廓:被视为基本建议,可被相当迅速地实施,并被设计为不会对性能产生广泛影响。1级概要文件基准的目的,是降低组织的攻击面,同时保持机器可用并且不妨碍业务功能。
  • 2级(Level 2)轮廓:被认为是“纵深防御”,适用于安全性至关重要的环境。如果实施不当或不谨慎,则与2级概要文件相关的建议,可能会对您的组织产生不利影响。

大多数CIS基准包括多个配置轮廓文件。每个CIS基准中的每个建议,都至少与一个轮廓相关联。

下面给出了《CIS Microsoft Windows 10 Enterprise (Release 1909) Benchmark》中的控制总结的示例:

图11-CIS基准中的控制示例

上图中的每一条控制项的最前面,都用L1或L2轮廓进行了标记,表明了其适用的环境等级。

08

CIS强化镜像

前面讲到了CIS控制(CIS Controls)、CIS 基准(CIS Benchmarks),它们都是CIS的网络安全工具。除此之外,还包括其它的网络安全工具,如强化镜像(Hardened Images)。CIS的各种工具如下图所示:

图12-CIS网络安全工具

CIS强化镜像(Hardened Virtual Image)根据适用的CIS基准进行安全配置的虚拟机镜像,基于级别1或级别2轮廓的CIS基准进行了配置。“强化”表明了安全性的增强。由上图可知,使用CIS强化镜像,是需要收费的。

图13-CIS强化镜像的产生原理

从上图可见,通过将CIS基准建议应用到云(AWS、Azure、Google、Oracle云)中的虚拟机上,就可以生成满足CIS基准要求的CIS强化镜像。

从CIS控制,到CIS基准,再到CIS强化镜像,表明CIS的行动并未停留在书面的安全控制指南和基准的层面,而是更进一步,将这些安全控制应用到实际的系统中,产生了最佳实践。

四、NIST SP 800-53低影响基线

01

SP 800-53新版简介

2020年3月,NIST发布SP 800-53(修订版5)草案。这是自2013年发布修订版4以来的首次更新,反映了过去7年来安全领域的重大变化。当然,修订版5目前还是草案。

SP 800-53(修订版5)的名称是《信息系统和组织的安全和隐私控制》(Security and Privacy Controls for Information Systems and Organizations)。对于美国联邦信息系统,要求遵循SP 800-53。而对于私营企业和系统开发人员来说,SP 800-53也极具参考价值。

SP 800-53(修订版5)的重要更新和优点包括:

  • 隐私控制集成到主目录中,而之前是放在附录中。从而强调隐私不再是“附加组件”,强调安全和隐私是一个整体
  • 增加了新的供应链控制系列。说明供应链安全成为企业和代理商的重要关注点。
  • 从声明式语言转换为命令式语言,使控制更易于阅读。
  • 通过使用OSCAL(开放安全控制评估语言)提供控制,通过从专有框架转向标准化的机器可读格式,支持了向自动化的迫切转变。
  • 之前包含在NIST SP 800-53(修订版4)中的控制基线,已重新定位到NIST SP 800-53B中,但NIST SP 800-53B目前尚未发布。

使用方法:企业组织将首先使用NIST的风险管理框架、网络安全框架、隐私框架等工具评估其风险;然后使用SP 800-53查找特定的解决方案。企业组织可以将此目录与任何风险管理方法一起使用。

02

SP 800-53控制基线

之前包含在NIST SP 800-53(修订版4)中的控制基线,已重新定位到NIST SP 800-53B中,并未在NIST SP 800-53(修订版5)中出现。

NIST SP 800-53B联邦信息系统和组织的控制基线和裁剪指南,Control Baselines and Tailoring Guidance for Federal Information Systems and Organizations)包含了联邦信息系统和组织的控制基线。NIST SP 800-53B计划发布于2020年,但目前尚未发布。

因此,对于控制基线,目前还是只能通过SP 800-53(修订版4)来了解。

在SP 800-53(修订版4)中,与基线相对的概念是覆盖(Overlay)覆盖是在裁剪过程中使用的安全控制、控制增强、补充指南和其他支持信息的规范,旨在补充(并进一步完善)安全控制基线。

也就是说,控制基线提供了标准化的控制集合,而定制化的需求则可以通过覆盖来进行。

03

SP 800-53低影响基线

我们继续通过SP 800-53(修订版4),来了解SP 800-53 低影响基线(Low Baseline)。

表14-NIST安全控制基线(非完整截图)

上图所示的SP 800-53(修订版4)附表D-2(安全控制基线)中,最右侧3列是不同影响级别(低、中、高)的控制基线。通过低影响基线(由“Low”指示的那一列)指示的控制项,姑且也可以算作“网络卫生”的范畴。

笔者数了一下,在完整的NIST安全控制基线表格中,低影响基线的控制项大概是110多个。把这个数字与CIS中两种基本安全控制项数量(都是40多个)相比,就容易明白,SP 800-53是个全集,而CIS 20是个更易上手的精简子集。

五、自定义的网络卫生

前面,笔者根据自己的理解,分别从CIS和NIST控制框架中,给出了3种基本网络卫生的控制集合

  1. CIS基本安全控制;
  2. CIS实施组1(IG1);
  3. NIST SP 800-53低影响基线。

为了设计基本网络卫生的控制项,除了采取上述从安全控制框架中选取标准化做法,当然也可以采取定制化方法。笔者采取双管齐下的方法论,结合了网络卫生和风险管理,给出一个支柱性框架。如下图所示:

图15-网络卫生的支柱

然后,针对每个支柱,给出一些控制示例。以下面的脑图作为结束:

图16-网络卫生的控制项

0 人点赞