NIST网络安全标准和框架应用实践三大基本原则

编者按

本期为大家带来NIST(美国国家标准技术研究所）网络安全标准和框架应用实践的文章，希望大家读完有所收获。

术语

• NIST: National Institute of Standards and Technology, 美国国家标准技术研究所
• PCI: Payment Card Industry, 支付卡行业协会
• DSS: Data Secure Standards, 数据安全标准
• CSF: Cyber Security Framework, 网络安全框架
• PR.DS-1: NIST Protect DataStandard-1,美国国家标准技术研究所，数据安全标准第一条
• SIEM: Security Information andEvent Management，安全信息和事件管理，计算机安全领域的子领域，其中软件产品和服务结合了安全信息管理（SIM）和安全事件管理（SEM）。它们提供对由应用程序和网络硬件生成的安全警报的实时分析。
• EDR: Endpoint Detection andResponse, 端点检测和响应。检测整个环境中的威胁，调查威胁的整个生命周期，提供所发生的安全事件跟踪信息，如它是如何进入的，它所处的位置，现在正在做什么以及如何阻止它的方案。EDR解决方案通过在端点处包含威胁有助于消除威胁并防止其扩散。
• SOAR: Security Orchestration,Automation, and Response,SOAR代表安全协调，自动化和响应。 Gartner将SOAR定义为 “使组织能够收集由安全运营团队监视的输入的技术，SOAR工具使组织能够以数字工作流格式定义事件分析和响应过程。”

  DAT: DataAlignment Tool,数据对齐工具，数据对齐工具（DAT）旨在帮助分析在测试故障检测和诊断（faultdetection and diagnostics FDD）工具和调试构建（Cx）工具中使用的数据。

前言

数字世界倾向于基于框架和标准构建网络安全实践。网络安全框架的数量在不断增长，涵盖了医疗，金融服务，零售，政府以及几乎两者之间的所有行业。银行金融行业或者其他金融安全行政命令驱动网络安全框架的增长以符合PCI-DSS的要求。 以NIST网络安全框架为例。美国特朗普政府签署了《联邦网络安全行政命令》，该命令要求联邦机构遵循NIST CSF。NIST CSF是联邦机构的一项任务，而私营部门组织则可以选择遵循NIST CSF。

为了简化术语“框架”和“标准”的使用，本文将它们合并为一个术语：“蓝图”。

使用蓝图的目的已经从“好”变成了“期望”。尽管网络运营人员的观念已经在向蓝图转变，但仍然存在很多挑战。网络安全行业的蓝图非常复杂，对于网络运营人员来说，要知道哪些产品或服务与买家蓝图中的组件相关可能会面临挑战。为了克服这个问题，安全供应商开始将其产品和服务映射到各种蓝图。对于最终希望满足供需双方而言，有可能双方经过沟通已经了解网络安全架构相关信息，但是映射仍然可能未能完全符合蓝图规范。供需双方都需要深入了解可使用的蓝图以及如何正确地将蓝图组件映射到实际服务中。

网络安全社区需要一种方法来帮助个人，组织和软件供应商克服蓝图映射的挑战以便他们能够准确地将蓝图映射到产品或服务，同时了解蓝图旨在提供的真实意图。蓝图可能存在过于宽泛的定义和约束，这需要网络安全人员非常透彻的了解蓝图到实际技术规范的落地应用，并根据实际情况完成蓝图到技术实践的转化。

应用实践过程

每个蓝图的应用实践过程可能略有不同，但是可以通过使用抽象出少量关键基本原则来遵循该蓝图规范以实现相关应用。

• 第一基本原则：深入了解蓝图组件并明确：该蓝图组件是针对人员，过程还是技术？

对于人工干预的活动，答案是“人”。 这可以而且应该包括与技术相接的人员，例如手动记录有关资产的信息。流程包括文档，通讯，升级，分析和逻辑等活动。技术可能是这三种方法中最令人困惑的部分，因为它已经成为人员和流程中不可或缺的一部分。技术通过帮助人们灵活扩展网络规模，获取有用的技能，实现流程自动化并提高工作效率来为人们提供价值。

人员，流程和技术之间差异的示例

银行的数据中心因为安全的原因物理访问受到严格限制和保护。苏珊需要进入数据中心以更新多台服务器上的固件。当苏珊到达数据中心的入口时，安全人员向她打招呼。苏珊在数据中心登录表上签名，然后保安人员检查她的身份并在系统中查询她的信息以验证她是否有权进入。安全人员指派一名陪同人员陪同苏珊并监视她在使用的服务器。这一切都与“人”有关，因为安全人员正在人工检查其身份并在系统中验证她的身份。

该安全规范流程进入了以苏珊进入数据中心范围开始，因为安全人员有一份任务清单要为任何数据中心访问者完成。安全人员验证身份，记录访问者的日期和时间，最后指定一名人员护送，记录访问者可以物理访问的服务器。该流程由组织设置，以供历史参考。很少有技术发挥作用，但是技术的引入可以使这个例子效率高。苏珊进入数据中心并在入口处扫描她的员工卡。服务器后台会在记录其身份以及其进入日期和时间的同时验证她是否有权进入。技术还可以跟踪她在其上刷过工卡的服务器机架以记录对机架的物理访问行为。当苏珊登录到任何服务器时都会记录其操作日志以供后续安全审计和追溯。这个流程的技术应用可能并不能免去安全人员的人工干预，但是有可能免去安全人员陪同的需要。

• 第二基本原则： 需要理解蓝图中组件的定义和真实含义。

为了准确识别技术，请提出以下问题：技术的主要功能是否符合该规范的要求？将多种功能整合和打包到一个解决方案中已变得越来越令人期望并成为技术发展的驱动力。安全供应商不断努力以在解决方案中提供更多价值同时满足客户整合服务需求。换句话说，客户希望事半功倍，而安全供应商希望简化开发和交付。

不幸的是，没有一种通用的安全解决方案可以提供全面的安全保护。产品应具有满足用户需求的核心功能，这是客户购买和使用产品的基础。有价值的附加的功能是有益，但存在交付质量低劣的功能过多的风险。建议在做安全蓝图到技术实践的映射时首先考虑核心功能。

让我们看一下使用NIST CSF子类别PR.DS-1的映射实践：静态数据保护。诸如“文件和文件夹的数据加密”之类的产品可以保护静态数据，从而防止未经授权的访问。

文件和文件夹数据加密软件的主要功能是保护静态数据，并满足NIST CSF中描述的控制要求。请注意，该产品是“文件和文件夹的数据加密”，而不是单独的术语“加密”。 加密一词有太多选项。人们在购买产品时会考虑用例或要解决的问题。一个人可以购买加密工具以加密数据（文件），而另一个人可以购买加密工具以加密网络流量。因此，必须使用非常特定的产品类别或类型。回头看PR.DS-1的条款。现在，请注意三个粗体字（Data at Restis Protected），并意识到这需要技术（第一基本原则），并且组件的真正意义是保护+数据+ [静态]。已经实现了第一和第二基本原则。

如果有人匆忙完成了蓝图的映射的实践，那他们可能会以数种方式错误地实施安全规范技术实践，如映射数据发现工具，电子邮件加密解决方案甚至SIEM，后续案例会讨论。

另外，值得注意的是，静态数据可以定义几个不同的事物，因为它们可能具有不同的解决方案。静态数据可以解释为驱动器上的数据，也可以存储在诸如AmazonS3云存储或数据库之类的数据中，甚至可以存储在诸如Dropbox之类的云存储和同步解决方案中。这些实际场景差异会导致的控制方式有所不同，包括磁盘加密，可移动媒体加密或数据库加密等等。 蓝图实践的映射很少会产生一个解决方案，但是基本原则会在所有技术变更中保持不变。

不当映射

诸如SIEM解决方案之类的产品可用于记录，汇总和关联与静态数据有关的事件。SIEM的主要功能不是保护静态数据，自然也不能满足蓝图的控制要求。 SIEM从环境中的各种数据源接收信息（事件），这些信息提供上下文（谁，什么，何时，何地，为什么，如何）以揭示与静态数据有关的未经授权的访问和使用。将SIEM解决方案映射到PR.DS-1是不正确的，因为它不能保护数据。所有日志和事件收集都在事件发生之后。 满足第一条基本原则，是通过识别技术来实现的，但是却无法满足第二基本原则，因为实际的技术实践没有和蓝图的真正意图正确匹配。

• 第三基本原则：映射可信吗？

通常情况下，要满足第二基本原则是很困难，而且需要很多时间才能完成。第三基本原则也同样重要，因为特定技术产品通常是特定的目的生产的。

让我们来看一个使用NIST CSF的功能和EDR的新案例。 本质上，我们的工作方向与前面的案例相反，我们在前面的案例中研究了蓝图组件并向其映射了技术实践。 现在，我们将研究一种技术并将其分解以将其映射到相应的组件。为了更好地理解这个概念，重要的是深入研究这五个功能中的每一个。 然后，我们可以通过缩小技术实践映射范围并结合基本原则的使用来准确地映射到蓝图组件。

CSF五大功能

CSF中的五个功能中的第一个功能是“识别”，它与组织内资产的识别有关。除了资产外，“识别”还包括识别和定位网络上的威胁。对于大多数EDR解决方案而言，资产管理和威胁标识都不是它的主要功能。这些产品通常使用一种或多种后端服务，例如签名检查，信誉查询或机器学习（ML）和人工智能（AI）。这些后端服务旨在识别和清查威胁并向组织提供结点的威胁信息。然而，资产和威胁信息也不一定是端点保护产品的一部分。在当今可用的许多解决方案中，这些信息可以作为快速信誉查询来获得。EDR方案通过提取诸如MD5哈希之类的信息并检查服务中文件的信誉。最后，机器学习和人工智能技术通常是为了快速检查资产的属性甚至行为以确定样本的好坏，而不是参考签名信息或信誉服务。机器学习和人工智能在网络安全技术领域的应用非常复杂，需要单独讨论。为简单起见，只是请大家注意，这些技术方案不提供资产管理功能。

CSF的保护功能是许多端点技术的主要功能。部署和配置这些技术以保护和降低风险。这是通过减少访问并消除利用漏洞的能力来实现的。可以通过阻止未经授权的尝试来访问服务，注册表项，端口，凭据等形式获得证据。成功或失败的关键是配置以及映射到“标识”功能的上游技术。如果端点保护产品配置不正确，将产生错误的警报信息。产品可能错过了应该阻止的威胁，而可能阻止了应该允许的业务。配置对成功至关重要，它取决于组织的风险承受能力（过于严格与过于宽松）。这种平衡行为是端点保护多年创新的驱动力，可实现无签名的机器学习和人工智能产品，沙箱甚至信誉服务的集成。

CSF的检测功能与端点技术的子集保持一致，包括但不限于EDR。由于端点保护解决方案并不完美，因此EDR解决方案得有存在的意义。端点保护产品不仅会不时地漏掉威胁，而且与EDR产品相比，它们通常会收集不同类型的数据。通常以下原因导致端点技术无法保护资产：

• 配置错误
• 无法阻止已知或未知漏洞利用
• 没有从上游服务（DAT，信誉，机器学习/人工智能）获悉网络威胁情报

在这三种情况下，端点技术会记录漏洞的恶意利用事件，这实际上意味着保护失败。只记录事件而未提供保护并不表示该产品符合检测功能，

一些人会无法接受这个事实，因为他们被灌输为端点保护产品可以检测到威胁。当产品未能基于唯一可识别属性检测威胁，无法满足其主要功能，这是当然不正确。端点保护产品利用签名和信誉查找服务，同时监视与已知漏洞相关的可疑行为。可疑行为是否会发生，何时发生，产品会针对该行为发出警报，但不了解具体的威胁。在那一刻，会分离出几种不同的故障情况。该产品显示不正确的A）配置，其中产品被设置为允许威胁，B）无法保护已知漏洞，或C）无法提供有关已知威胁的信息。

检测的另一个问题是误报。在缺乏威胁信息的情况下，技术通常会匹配行为并创建警报。

一个支持这个观点的案例：可以将端点技术配置为如果被保护端点发送大量电子邮件的行为即为符合已知的威胁行为特征。如果检测到这个行为，它将阻止其发送邮件的行为。该警报基于发送大量电子邮件行为。在这种情况下，当实际用户向大量收件人发送电子邮件时，该产品可能会误报，因为该产品可以在没有威胁的情况下错误识别出威胁行为。

响应功能是端点技术的一小部分。如果一项技术无法识别威胁，无法保护资产漏洞免受已知威胁并无法正确检测到针对未知漏洞的尝试，则在大多数情况下，如果该技术将无法自动响应，那么就需要人工决策和/或配置。

小部分真正的响应技术的产品是使用机器学习和人工智能构建的，可以快速自动地做出决策。以EDR产品类别为例。EDR产品不能保护或降低安全风险，但是可以具有检测可疑行为的能力。但是，响应在哪里适合？ EDR管理员或用户可以在EDR产品中创建规则以提供响应功能。管理员通常会认识到组织内不希望出现的一系列行为。该行为可能基于公司政策，或者它们是已知的恶意行为。也许组织不希望PowerShell启动特定行为。这些行为可以通过配置自动阻止响应。如果用户察觉到行为还利用EDR手动发出响应，例如终止进程或删除文件。

让一些人无法接受的另一个领域涉及自动化技术，例如安全协调自动化响应（SOAR）。这些被标记为响应技术，但是它们有两个谬误。

• SOAR产品通常不会直接响应事件。他们通过向另一个集成的产品发送命令以执行响应。SOAR向端点技术发送命令，以阻止那些符合配置在SOAR解决方案中的自动规则的流程。
• SOAR产品需要人工来创建工作流程（也称为Playbook），其中包括发送响应命令的步骤。这些工作流包括与谁，什么，何时，何地，为什么以及如何进行的逻辑。一些SOAR产品包含阈值和/限制，但很少对资产，漏洞或威胁进行优先级分类。

对安全事件的响应是过程驱动的，因为在执行响应活动之前，它需要大量的日志和分析。响应技术是高度可取的，因为一旦将响应技术配置为基于人类的智力和经验来执行一组动作，它们可以减少大量的时间和资源。简而言之，它们用于使人类过去执行的重复性活动自动化。

最后一个功能，“恢复”。可能最依赖于人员和流程。很少有恢复技术能够自动或立即将资产（设备，应用程序，网络数据，用户）恢复到已知的良好运行状态。即使该技术具有此功能，则很可能是很小部分的恢复功能，因为该技术无法学习和改善这些发生问题的上下文环境，避免将来这些问题再次出现。

这就提出了“宠物与牛”的概念（由比尔·贝克（Bill Baker）提出）。从整体上来看，宠物是我们深切关心的个人资产，例如我们的笔记本电脑之类的资产，或我们拥有敏感数据。我们每天都依赖这些资产，并担心它们会损失。牛是用于特定目的资产，但出于可伸缩性和冗余目的，我们可能会有许多资产。如果特定的资产发生某些状况，我们通常会较少地关心，因为我们有多个资产，或者我们可以容易替换它们。

当从安全事件中恢复时，安全从业人员会在不知不觉中考虑个人和功能资产。当特定的功能资产遭到破坏时，重新部署甚至恢复备份可能非常容易，如服务器内存条损坏。这些资产的变更流程可能会比较宽松，因为对企业的风险和影响很小。但当人员相关的资产如用户数据遭到破坏时，恢复起来可能会非常困难，并且需要很长的时间来计划和执行恢复。安全分析师可能需要与资产所有者和组织内的其他团队进行协调，以最大程度地减少数据丢失和破坏。风险和影响可能很高。人员相关的资产的恢复程序需要大量的人员和流程，而且都和技术相关。

结语

使用此信息评估框架和标准以构建可防御的运营安全体系结构。通过此网络安全标准和框架实践的指导和基本原则的使用，可以在任何环境中部署基础和分层安全技术以真正满足控制要求。漏洞评估和风险管理是一个永无止境的迭代过程。技术应和人员，流程一起组合运用以充分有效地利用蓝图。

参考文献

1.Applying SOAR to NIST’s Incident ResponsePlaybook (cyware.com)

https://cyware.com/educational-guides/incident-response/applying-soar-to-nists-incident-response-playbook-7d1f/

2.What Is EDR? – Endpoint Detection and Response –Cisco? https://www.cisco.com/c/en/us/products/security/endpoint-security/what-is-endpoint-detection-response-edr.html

3. Security information and event management -Wikipediahttps://en.wikipedia.org/wiki/Security_information_and_event_management

4.NIST CSF Internal Controls

5.Practical Guide to AWS Cloud Security VOLUME IPractical Guide to Security in the AWS Cloud

声明：本文来自网络安全与网络战，版权归作者所有。