NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0
控制项模式信息系统和组织的安全与隐私控制
使用自动化机制分析一段时间内的多个漏洞扫描可以帮助确定系统漏洞的趋势并识别攻击模式。
漏洞扫描覆盖的广度可以表示为系统中组件的百分比、按系统的特定类型、按系统的重要性,或者按要检查的漏洞数量来表示。相反,漏洞扫描覆盖的深度可以表示为组织打算监控的系统设计级别(例如。,组件、模块、子系统、元素)。组织可以根据其风险容忍度和其他因素来确定漏洞扫描覆盖的充分性。扫描工具及其配置方式可能会影响扫描的深度和覆盖范围。可能需要多个扫描工具来实现所需的深度和覆盖范围。[SP 800-53A] 提供了有关覆盖范围广度和深度的更多信息。
攻击向量是对手可以用来访问系统以传送恶意代码或窃取信息的路径或手段。组织可以使用攻击树来展示对手的敌对行为如何相互作用并结合,从而对系统和组织产生不利影响或负面后果。这些信息结合来自漏洞扫描工具的相关数据,可以更清楚地了解多漏洞和多跳攻击向量。在组织从旧技术向新技术过渡时(例如,从 IPv4 网络协议过渡到 IPv6 网络协议),漏洞扫描信息的关联尤为重要。在此类过渡期间,一些系统组件可能会不经意地失去管理,从而为对手利用创造机会。
并非所有系统组件、功能或服务都必然需要重要的保护。例如,关键性分析是供应链风险管理的一个核心原则,并为保护活动的优先排序提供依据。关键系统组件和功能的识别需要考虑适用的法律、行政命令、法规、指令、政策、标准、系统功能要求、系统和组件接口以及系统和组件依赖关系。系统工程师会对系统进行功能分解,以识别任务关键功能和组件。功能分解包括识别系统支持的组织使命,将其分解为执行这些使命的具体功能,并追踪实现这些功能的硬件、软件和固件组件,包括当这些功能被系统内外的多个组件共享时的情况。系统或系统组件的操作环境可能影响其关键性,包括与网络物理系统、设备、系统系统以及外包 IT 服务的连接和依赖。允许不经中介访问关键系统组件或功能的系统组件被认为是关键组件,因为此类组件会产生固有的漏洞。组件和功能的关键性是通过评估组件或功能失效对由包含这些组件和功能的系统支持的组织任务的影响来进行的。在开发、修改或升级架构或设计时,会进行关键性分析。如果在系统开发生命周期的早期进行此类分析,组织可能能够修改系统设计,以降低这些组件和功能的关键性,例如通过在系统设计中增加冗余或备用路径。关键性分析还可以影响开发承包商所需的保护措施。除了对系统、系统组件和系统服务进行关键性分析外,对信息的关键性分析也是一个重要的考虑因素。这种分析是在RA-2的安全分类过程中进行的。
可发现的信息包括对手无需破坏或入侵系统即可获取的信息,例如通过收集系统正在公开的信息或进行广泛的网络搜索。纠正措施包括通知适当的组织人员、移除指定信息,或更改系统以使指定信息对对手不那么重要或有吸引力。本增强功能不包括可能作为组织部署的诱饵能力(例如蜜罐、蜜网或欺骗网络)的一部分而故意可被发现的信息。
收集到的威胁意识信息会传入组织的信息安全操作中,以确保在威胁环境变化时更新相关程序。例如,在更高的威胁级别下,组织可能会改变执行某些操作所需的权限或身份验证门槛。
组织将“最高水位”概念应用于按照[FIPS 199]分类的每个系统,从而将系统指定为低影响、中等影响或高影响。希望在基于风险的决策中获得系统影响等级更细颗粒度的组织,可以进一步将系统划分为初始系统分类的子类别。例如,对中等影响系统进行影响级别优先排序可以产生三个新的子类别:低-中等系统、中等-中等系统和高-中等系统。影响级别的优先排序及由此产生的系统子类别为组织提供了一个机会,使其能够在应对已识别风险时,集中投资于安全控制的选择以及控制基线的定制。影响等级优先法也可用于确定那些可能受到对手高度关注或价值较高的系统,或对联邦企业构成关键损失的系统,有时称为高价值资产。对于这些高价值资产,组织可能更加关注复杂性、聚合性和信息交换。可以通过将高影响系统划分为低-高系统、中-高系统和高-高系统,来优先考虑拥有高价值资产的系统。或者,组织可以应用[CNSSI 1253]中的指导,进行与安全目标相关的分类。
风险评估政策和程序涵盖了在系统和组织中实施的风险评估系列控制。风险管理策略是制定此类政策和程序的重要因素。政策和程序有助于保障安全性和隐私性。因此,安全和隐私项目在制定风险评估政策和程序时进行协作非常重要。通常,组织层面的安全和隐私项目政策与程序是更可取的,并且可能不需要针对特定任务或系统的政策和程序。该政策可以作为整体安全与隐私政策的一部分,也可以通过多项政策来体现,以反映组织的复杂性。如有需要,可以为安全与隐私计划、任务或业务流程以及系统制定相应的程序。程序描述了政策或控制措施是如何实施的,并且可以针对作为程序对象的个人或角色。程序可以记录在系统安全和隐私计划中,或记录在一个或多个单独的文档中。可能导致风险评估政策和程序更新的事件包括评估或审计发现、安全或隐私事件,或法律、行政命令、指令、法规、政策、标准和指南的变更。仅仅重复控制措施并不构成组织的政策或程序。
除非采用先进的自动化和分析技术来处理数据,否则即使是装备充足的安全运营中心(SOC)或计算机事件响应团队(CIRT)也可能因安全工具和设备激增所产生的信息量而不堪重负。先进的自动化和分析能力通常依赖于人工智能概念的支持,包括机器学习。示例包括自动化威胁发现与响应(包括广泛的数据收集、基于上下文的分析和自适应响应能力)、自动化工作流程操作以及机器辅助决策工具。然而,需要注意的是,复杂的对手可能能够提取与分析参数相关的信息,并重新训练机器学习模型将恶意活动分类为良性。因此,机器学习通过人工监控得到增强,以确保复杂的对手无法隐藏他们的活动。
隐私影响评估是对个人可识别信息的处理方式进行分析,以确保处理符合适用的隐私要求,确定与信息系统或活动相关的隐私风险,并评估减轻隐私风险的方法。隐私影响评估既是一种分析,也是一份正式文件,详细说明了分析过程及其结果。组织进行和制定隐私影响评估时,应具有足够的清晰度和具体性,以表明组织已充分考虑隐私,并在组织活动的最初阶段及整个信息生命周期中纳入适当的隐私保护措施。为了进行有意义的隐私影响评估,组织的高级隐私官员会与项目经理、系统所有者、信息技术专家、安全官员、法律顾问以及其他相关组织人员密切合作。此外,隐私影响评估不是一种仅限于信息系统或可识别个人信息生命周期特定里程碑或阶段的时间限制活动。相反,隐私分析会贯穿整个系统和可识别个人信息的生命周期。因此,隐私影响评估是一个动态文档,组织应在信息技术发生变化、组织实践发生变化或其他因素改变了使用该信息技术所带来的隐私风险时进行更新。为了进行隐私影响评估,组织可以使用安全和隐私风险评估。组织还可以使用其他可能有不同名称的相关流程,包括隐私门槛分析。隐私影响评估也可以作为向公众通知组织隐私实践的方式。尽管进行和发布隐私影响评估可能是法律要求的,但在没有适用法律的情况下,组织也可以制定此类政策。对于联邦机构,隐私影响评估可能是 [EGOV] 要求的;机构应咨询其高级隐私官员和法律顾问,了解这一要求,并注意与该规定相关的法定例外和OMB指导意见。
在某些情况下,漏洞扫描的性质可能更加侵入式,或者被扫描的系统组件可能包含机密或受控的非机密信息,例如个人身份信息。对选定的系统组件进行特权访问授权可以更全面地进行漏洞扫描,并保护此类扫描的敏感性。
报告渠道是公开可发现的,并包含明确的语言,授权善意的研究和向组织披露漏洞。组织不会将其授权与报告方对公众持续保密的期望挂钩,但可能会请求一个特定的时间段,以便妥善修复漏洞。
审查历史审计日志以确定系统中最近发现的漏洞是否已被对手利用,可以为取证分析提供重要信息。这种分析可以帮助识别,例如,先前入侵的范围、攻击期间使用的手段、被泄露或修改的组织信息、受影响的任务或业务能力,以及攻击的持续时间。
风险评估考虑对组织运营和资产、个人、其他组织以及国家的威胁、脆弱性、可能性和影响。风险评估还考虑来自外部方的风险,包括代表组织操作系统的承包商、访问组织系统的个人、服务提供商和外包实体。组织可以在风险管理层次的三个层面(即组织层面、任务/业务流程层面或信息系统层面)以及系统开发生命周期的任何阶段进行风险评估。风险评估也可以在风险管理框架的各个步骤中进行,包括准备、分类、控制选择、控制实施、控制评估、授权和控制监控。风险评估是一项贯穿系统开发生命周期的持续活动。风险评估也可以涉及与系统相关的信息,包括系统设计、系统的预期用途、测试结果以及供应链相关的信息或产物。风险评估在控制选择过程中可以发挥重要作用,特别是在应用定制指导和能力确定的早期阶段。
组织应对风险有多种选择,包括通过实施新控制措施或加强现有控制措施来减轻风险,基于适当的理由或依据来接受风险,分担或转移风险,或规避风险。组织的风险容忍度会影响风险应对的决策和行动。风险应对涉及在制定行动计划和里程碑条目之前,确定对风险的适当应对方法的需求。例如,应对措施可能是接受风险或拒绝风险,或者可以立即减轻风险,从而不需要制定行动计划和里程碑条目。然而,如果风险应对措施是减轻风险,而减轻措施无法立即完成,则会生成一个行动计划和关键节点条目。
安全类别描述了如果组织的信息和系统因保密性、完整性或可用性丧失而受到损害,对组织运营、组织资产和个人可能造成的潜在不利影响或负面后果。安全分类也是系统安全工程过程中的一种资产损失分类类型,它贯穿于系统开发生命周期。组织可以使用隐私风险评估或隐私影响评估来更好地理解对个人可能产生的不利影响。[CNSSI 1253] 提供了关于国家安全系统分类的额外指导。组织将安全分类过程作为全组织范围的活动进行,直接涉及首席信息官、高级机构信息安全官、机构高级隐私官、系统所有者、业务和任务所有者以及信息所有者或管理者。组织会考虑对其他组织的潜在不利影响,并根据《美国爱国者法》和国土安全总统指令,考虑潜在的国家级不利影响。安全分类过程有助于建立信息资产清单,并且与 CM-8 一起,映射到处理、存储或传输信息的特定系统组件。在整个系统开发生命周期中,安全分类过程会被反复审查,以确保安全分类保持准确和相关。
供应链相关事件包括中断、使用有缺陷的组件、插入假冒产品、盗窃、恶意开发行为、不当交付行为以及插入恶意代码。这些事件可能对系统及其信息的机密性、完整性或可用性造成重大影响,因此也可能对组织运营(包括使命、职能、形象或声誉)、组织资产、个人、其他组织以及国家产生不利影响。供应链相关事件可能是无意的或恶意的,并且可以在系统生命周期的任何阶段发生。供应链风险分析可以帮助组织识别需要额外供应链风险缓解的系统或组件。
技术监控反制调查是一项由合格人员提供的服务,用于检测技术监控设备和隐患的存在,并识别可能被用于对被调查设施进行技术渗透的技术安全漏洞。技术监控对策调查还提供对组织和设施技术安全状况的评估,包括对被调查设施的内部和外部进行视觉、电子和物理检查。这些调查还为风险评估提供有用的信息,并提供有关组织可能暴露于潜在对手的信息。
威胁猎捕是一种主动的网络防御手段,与传统的防护措施(如防火墙、入侵检测和防御系统、在沙箱中隔离恶意代码以及安全信息与事件管理技术和系统)形成对比。网络威胁猎捕涉及主动搜索组织的系统、网络和基础设施,以发现高级威胁。目标是尽早追踪和干扰网络对手在攻击序列中的行为,并切实提高组织响应的速度和准确性。妥协的迹象包括异常的网络流量、异常的文件更改以及恶意代码的存在。威胁狩猎团队利用现有的威胁情报,并可能创建新的威胁情报,这些情报会与同行组织、信息共享与分析组织(ISAO)、信息共享与分析中心(ISAC)以及相关的政府部门和机构共享。
由于现代软件、系统及其他因素的复杂性,新漏洞会定期被发现。重要的是,要将新发现的漏洞添加到待扫描漏洞列表中,以确保组织能够及时采取措施来缓解这些漏洞。
组织利用全源情报来指导工程、采购和风险管理决策。全源情报由来自所有可用来源的信息组成,包括公开或开源信息、测量和特征情报、人力情报、信号情报和影像情报。全方位情报用于分析开发、制造和交付过程、人以及环境中漏洞(包括故意和无意)的风险。风险分析可以在供应链多个层级的供应商上进行,以充分管理风险。各组织可以根据需要制定协议,与其他组织共享全来源情报信息或由此产生的决策。
信息和系统的安全分类指导漏洞监控的频率和全面性(包括扫描)。组织确定系统组件所需的漏洞监控,确保潜在的漏洞来源——如基础设施组件(例如交换机、路由器、防护设备、传感器)、联网打印机、扫描仪和复印机——不会被忽视。随着新漏洞的发现和公布以及新扫描方法的开发,能够及时更新漏洞监控工具有助于确保所使用的漏洞监控工具不会漏掉新漏洞。漏洞监控工具的更新过程有助于确保系统中潜在的漏洞能够尽快被识别和处理。定制软件的漏洞监控和分析可能需要额外的方法,例如静态分析、动态分析、二进制分析或三者的混合方法。组织可以在源代码审查中使用这些分析方法,并在各种工具中应用,包括基于网页的应用扫描器、静态分析工具和二进制分析器。漏洞监控包括扫描补丁等级;扫描不应对用户或设备开放的功能、端口、协议和服务;以及扫描配置不当或运行异常的流量控制机制。漏洞监控还可能包括使用检测工具的持续漏洞监控,这些工具通过检测来持续分析组件。基于仪器的工具可能提高准确性,并且可以在整个组织中运行而无需扫描。促进互操作性的漏洞监控工具包括经过安全内容自动化协议(SCAP)验证的工具。因此,组织考虑使用以通用漏洞与披露(CVE)命名规范表示漏洞的扫描工具,并使用开放漏洞评估语言(OVAL)来确定漏洞的存在。漏洞信息来源包括通用缺陷枚举(CWE)列表和国家漏洞数据库(NVD)。控制评估,例如红队演练,提供了额外的潜在漏洞来源供扫描。组织还会考虑使用通过通用漏洞评分系统(CVSS)表示漏洞影响的扫描工具。漏洞监控包括一个渠道和流程,用于接收来自公众的安全漏洞报告。漏洞披露程序可以非常简单,只需发布一个受监控的电子邮件地址或网页表单来接收报告,包括授权善意研究和披露安全漏洞的通知。组织通常预计此类研究无论是否经过其授权都会进行,并且可以使用公共漏洞披露渠道来增加已发现漏洞直接报告给组织进行修复的可能性。组织还可以利用财务激励(也称为“漏洞赏金”)来进一步鼓励外部安全研究人员报告发现的漏洞。漏洞赏金计划可以根据组织的需求进行定制。赏金计划可以无限期运行,也可以在指定的时间段内进行,并且可以向公众或特定群体提供。组织可以同时开展公开和私密奖励活动,并且可以选择向某些参与者提供部分授权访问,以便从特权角度评估安全漏洞。