NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0
控制项模式信息系统和组织的安全与隐私控制
组织定义的内部节点包括子网络和子系统。组织系统中的异常包括大文件传输、长期持续连接、试图从意外位置访问信息、使用异常协议和端口、使用未监控的网络协议(例如,在 IPv4 过渡期间的 IPv6 使用情况,以及与疑似恶意外部地址的尝试通信。
组织定义的内部点包括子网络和子系统。可用于窃取信息的隐蔽手段包括隐写术。
识别和理解常见的通信流量和事件模式有助于组织向系统监控设备提供有用的信息,从而在可疑或异常流量和事件发生时更有效地进行识别。这类信息可以帮助减少系统监控过程中的误报和漏报。
数据集可以因多种原因进行归档。归档数据集的预期用途已被明确,如果不需要个人可识别信息元素,则这些元素不会被归档。例如,社会保障号码可能已被收集用于记录关联,但归档的数据集可能仅包括来自关联记录的所需元素。在这种情况下,没有必要存档社会保障号码。
组织根据软件类型、特定软件或可能存在完整性违规的信息来选择响应措施。
对组织系统和运营环境进行大量变更,需要将与安全相关的信息传达给各种对组织使命和业务功能的成功有直接利益的组织实体。根据安全警报和公告提供的信息,可能需要在与风险管理相关的三个层级之一或多个层级进行更改,包括治理层、任务和业务流程层以及信息系统层。
自动化机制可以跟踪并确定系统组件已知缺陷的状态。
使用自动化工具报告系统和信息完整性违规行为,并及时通知组织人员,对于有效的风险应对至关重要。对系统和信息完整性违规行为感兴趣的人员包括任务和业务负责人、系统所有者、高级机构信息安全官员、高级机构隐私官员、系统管理员、软件开发人员、系统集成商、信息安全官员以及隐私官员。
系统警报通知名单上的组织人员包括系统管理员、任务或业务负责人、系统负责人、高级机构信息安全官、高级机构隐私官、系统安全官或隐私官。自动化组织生成的警报是由组织生成并通过自动化方式传输的安全警报。组织生成的警报的来源主要集中在其他实体,如可疑活动报告和潜在内部威胁的报告。与组织生成的警报相比,SI-4(5)中系统生成的警报侧重于系统内部的信息来源,例如审计记录。
使用自动化工具来支持补丁管理有助于确保系统补丁操作的及时性和完整性。
组织可以根据信息类型、特定信息或两者的组合来定义不同的完整性检查响应。信息类型包括固件、软件和用户数据。特定信息包括某些类型机器的启动固件。在组织系统中自动实施控制措施,包括在关键安全文件被未经授权修改时,撤销更改、停止系统或触发审计警报。
最不干扰的措施包括发起请求以获取人工响应。
使用自动化工具和机制将入侵检测工具和机制集成到访问和流量控制机制中,可以通过支持攻击隔离和消除的机制重新配置,从而实现对攻击的快速响应。
自动化工具和机制包括基于主机、基于网络、基于传输或基于存储的事件监控工具和机制,或提供组织系统生成的警报和通知实时分析的安全信息和事件管理(SIEM)技术。自动化监控技术可能会带来意外的隐私风险,因为自动化控制可能会连接到外部或其他无关的系统。这些系统之间记录的匹配可能会产生意外的关联后果。组织会在其隐私影响评估中评估和记录这些风险,并做出符合其隐私项目计划的决策。
由于系统完整性和可用性方面的考虑,组织会评估用于执行自动更新的方法。组织在确保尽快安装更新的需求与维护配置管理和控制的需求之间取得平衡,同时考虑自动更新可能带来的任何任务或操作影响。
使用自动化机制更新垃圾邮件防护机制有助于确保更新定期进行,并提供最新的内容和防护功能。
使用自动化机制来提高数据质量可能会无意中产生隐私风险。自动化工具可能会连接到外部或其他无关的系统,而这些系统之间的记录匹配可能会产生意想不到的关联和后果。组织在其隐私影响评估中评估并记录这些风险,并做出与其隐私计划相一致的决定。随着数据在信息生命周期中的获取和使用,确认个人身份信息的准确性和相关性是非常重要的。自动化机制可以增强现有的数据质量流程和程序,使组织能够更好地识别和管理大规模系统中的个人身份信息。例如,自动化工具可以大大改进持续规范化数据或识别格式错误数据的工作。自动化工具也可以用于改进数据审计,并检测可能错误地更改个人身份信息或将此类信息错误地关联到错误个人的错误。自动化功能可以大规模地支持流程和程序,并使对数据质量错误进行更细致的检测和纠正成为可能。
使用自动化机制来支持分布式功能测试的管理,有助于确保此类测试的完整性、及时性、完整性和有效性。
集中管理的完整性验证工具能够在此类工具的应用中提供更高的一致性,并且可以促进更全面的完整性验证操作覆盖。
密码认证包括验证软件或固件组件是否已使用组织认可和批准的证书进行数字签名。代码签名是防止恶意代码的有效方法。采用密码机制的组织还会考虑密码密钥管理解决方案。
如果数据源包含个人可识别信息,但这些信息不会被使用,则在创建数据集时可以通过不收集包含个人可识别信息的数据元素来实现数据去标识化。例如,如果一个组织不打算使用申请者的社会安全号码,那么申请表就不要求提供社会安全号码。
学习机制包括贝叶斯过滤器,它会根据用户输入回应,这些输入将特定流量标识为垃圾邮件或合法流量,从而更新算法参数,并更准确地区分流量类型。
将来自不同系统监控工具和机制的信息进行关联可以提供更全面的系统活动视图。将通常独立运行的系统监控工具和机制(包括恶意代码防护软件、主机监控和网络监控)进行关联,可以提供全组织范围的监控视图,并可能揭示原本无法发现的攻击模式。了解各种监控工具和机制的功能与限制,以及如何最大化利用这些工具和机制产生的信息,可以帮助组织开发、运行和维护有效的监控程序。在从旧技术向新技术过渡期间,监控信息的关联尤为重要(例如)。,从 IPv4 过渡到 IPv6 网络协议)。
用于保护完整性的加密机制包括数字签名以及使用非对称加密计算和应用签名哈希,保护用于生成哈希的密钥的机密性,并使用公钥验证哈希信息。采用加密机制的组织还会考虑加密密钥管理解决方案。
个人可识别信息的数据标记包括标注处理权限、处理授权、去标识化、影响等级、信息生命周期阶段以及保留或最后更新日期。使用个人可识别信息的数据标记可以支持使用自动化工具来更正或删除相关的个人可识别信息。
去标识化是指移除一组识别性数据与数据主体之间关联的总体过程。许多数据集包含关于个人的信息,可用于区分或追踪个人身份,例如姓名、社会保障号码、出生日期和地点、母亲的娘家姓或生物特征记录。数据集还可能包含可与个人相关联或可链接到个人的其他信息,例如医疗、教育、财务和就业信息。当这些信息对于满足数据预期用途不必要(或不再必要)时,经过培训的人员会从数据集中删除可识别个人身份的信息。例如,如果数据集仅用于生成汇总统计,则不用于生成这些统计的标识符将被移除。移除标识符可以提高隐私保护,因为被移除的信息无法被无意中泄露或被不当使用。根据适用的法律、法规或政策,组织可能需要遵守特定的去标识化定义或方法。重新识别是去标识化数据的一个剩余风险。重新识别攻击的方式可能有所不同,包括结合新的数据集或其他数据分析的改进。保持对潜在攻击的认识,并随时间评估去标识化的有效性,有助于管理这一剩余风险。
检测未经授权的命令可以应用于除基于内核的接口以外的关键接口,包括与虚拟机和特权应用程序的接口。未经授权的操作系统命令包括来自不受信任的系统进程的内核功能命令,这些进程不被允许发起此类命令,以及即使某类命令对于进程发起是合理的,但仍然可疑的内核功能命令。组织可以通过命令类型、命令类别或特定命令实例的组合来定义需要检测的恶意命令。组织还可以通过组件类型、组件、网络中组件的位置或其组合来定义硬件组件。组织可以针对不同类型、类别或实例的恶意命令选择不同的操作。
差分隐私的数学定义认为,在添加或删除单条数据记录(假设是某个个体的数据)前后,数据集分析的结果应大致相同。在最基本的形式中,差分隐私仅适用于在线查询系统。然而,它也可以用于生成机器学习统计分类器和合成数据。差分隐私的代价是结果准确性的降低,这迫使组织必须量化隐私保护与去标识化数据集的整体准确性、实用性和效用之间的权衡。非确定性噪声可以包括在数据集分析的数学运算结果中添加微小的随机值。
组织会考虑错误消息的结构和内容。系统处理错误条件的能力范围由组织政策和操作要求指导和决定。可被利用的信息包括堆栈跟踪和实现细节;错误的登录尝试,例如密码错误地作为用户名输入;可以从记录的信息中推导出的任务或业务信息,即使这些信息没有明确说明;以及个人身份信息,如账户号码、社会保障号码和信用卡号码。错误信息也可能提供一个隐蔽的渠道来传递信息。
故障条件包括关键系统组件之间或系统组件与操作设施之间的通信丢失。安全故障程序包括向操作人员发出警报,并提供后续步骤的具体操作指示。后续步骤可能包括不采取任何措施、恢复系统设置、关闭进程、重启系统或联系指定的组织人员。
故障转移是指在主系统发生故障时,自动切换到备用系统。故障转移能力包括在备用处理站点实施镜像系统操作,或根据组织的恢复时间周期定期进行数据镜像。
修复系统缺陷的需求适用于所有类型的软件和固件。组织会识别受软件缺陷影响的系统,包括这些缺陷可能带来的潜在漏洞,并将这些信息报告给负责信息安全和隐私的指定组织人员。与安全相关的更新包括补丁、服务包和恶意代码签名。组织还会处理在评估、持续监控、事件响应活动以及系统错误处理过程中发现的缺陷。通过将缺陷修复纳入配置管理流程,可以跟踪和验证所需的修复措施。组织定义的用于更新与安全相关的软件和固件的时间周期可能会因多种风险因素而有所不同,包括系统的安全类别、更新的重要性(即与发现的漏洞相关的漏洞严重性)、组织的风险承受能力、系统支持的任务或威胁环境。某些类型的缺陷修复可能比其他类型需要更多的测试。组织会根据所考虑的具体缺陷修复活动类型以及需要进行配置管理的更改类型,来确定所需的测试类型。在某些情况下,组织可能会认为对软件或固件更新进行测试是不必要或不切实际的,例如在实施简单的恶意代码签名更新时。在做出测试决定时,组织会考虑安全相关的软件或固件更新是否来自具有适当数字签名的授权来源。
基于主机的监控收集关于主机(或其所在系统)的信息。可以实施基于主机监控的系统组件包括服务器、笔记本电脑和移动设备。组织可以考虑采用来自多个产品开发商或供应商的基于主机的监控机制。
与系统进出通信流量相关的异常或未经授权的活动或状况,包括内部流量表明组织系统中存在恶意代码或合法代码或凭证的未经授权使用,或在系统组件之间传播、向外部系统发出信号,以及未经授权的信息导出。恶意代码或未经授权使用合法代码或凭证的证据被用于识别潜在被入侵的系统或系统组件。
妥协指标(IOC)是来自入侵的取证痕迹,可在组织系统的主机或网络层级上识别。IOC 提供有关已被攻破系统的有价值信息。IOC 可以包括注册表键值的创建。网络流量的 IOC 包括指示恶意代码命令和控制服务器的统一资源定位器(URL)或协议元素。IOC的快速分发和采用可以通过减少系统和组织对同一漏洞或攻击的易受攻击时间来提高信息安全性。威胁指标、特征、战术、技术、程序以及其他妥协指标可能通过政府和非政府合作组织获得,包括事件响应与安全团队论坛、美国计算机应急响应小组、国防工业基地网络安全信息共享计划以及CERT协调中心。
组织保存的不准确的个人身份信息可能会给个人带来问题,尤其是在那些不准确信息可能导致不恰当决策或拒绝向个人提供福利和服务的业务环节。即使是正确信息,在某些情况下,也可能给个人带来问题,其影响超过组织保留这些信息的好处。组织在决定是否应根据请求的范围、所要求的更改、变更的影响以及相关法律、法规和政策来更正或删除可识别个人的信息时,会采用谨慎判断。组织人员会咨询高级机构隐私和法律官员,以了解在何种情况下适合进行更正或删除。
组织可以通过在信息不再需要时进行处理来将安全和隐私风险降至最低。信息的处理或销毁适用于原件、复制件以及归档记录,包括可能包含个人身份信息的系统日志。
系统服务或功能采取的操作通常由它接收到的信息驱动。信息的损坏、伪造、修改或删除可能影响服务或功能正确执行其预期操作的能力。通过拥有多个输入来源,如果某个来源被破坏或不再可用,服务或功能仍然可以继续运行。替代信息来源可能不如主要信息来源精确或准确。但拥有这样的次优信息来源仍可能提供足够的质量,使基本服务或功能得以执行,即使是在降级或受损的情况下。
高级持续性威胁的一个目标是窃取有价值的信息。一旦信息被窃取,组织通常无法找回丢失的信息。因此,组织可能会考虑将信息分成不同的部分,并将这些部分分散到多个系统或系统组件及不同位置。这样的行为会增加对手获取和窃取所需信息的工作难度,从而提高被发现的概率。信息的分散也会影响组织及时访问信息的能力。碎片化的程度取决于信息的影响或分类级别(及其价值)、收到的威胁情报信息,以及是否使用数据污染(即,通过数据污染获得的关于部分信息外泄的信息可能导致剩余信息的碎片化)。
检查系统输入的有效语法和语义——包括字符集、长度、数值范围和可接受的值——以验证输入是否符合格式和内容的规定定义。例如,如果组织规定在某个应用程序中的某个字段中,1到100之间的数值是唯一可接受的输入,那么“387”、“abc”或“%K%”等输入都是无效输入,系统不会接受。有效输入可能因软件应用程序中的不同字段而有所不同。应用程序通常遵循使用结构化消息的明确定义的协议(即,命令或查询)在软件模块或系统组件之间进行通信。结构化消息可以包含穿插元数据或控制信息的原始或非结构化数据。如果软件应用程序使用攻击者提供的输入来构建结构化消息,而没有正确编码这些消息,那么攻击者可能会插入恶意命令或特殊字符,从而导致数据被解释为控制信息或元数据。因此,接收到损坏输出的模块或组件将执行错误的操作或以错误的方式解释数据。在将输入传递给解释器之前进行预筛选可以防止内容被无意中解释为命令。输入验证可以确保输入的准确性和正确性,并防止跨站脚本攻击及各种注入攻击。
信息管理和保留要求涵盖信息的整个生命周期,在某些情况下甚至延伸至系统报废之后。需要保留的信息还可能包括政策、程序、计划、报告、控制实施产生的数据输出以及其他类型的管理信息。美国国家档案和记录管理局(NARA)提供有关记录保留和时间表的联邦政策和指导。如果组织设有档案管理办公室,建议与档案管理人员协调。由已实施控制措施的输出产生的记录,可能需要管理和保留,包括但不限于:所有 XX-1, AC-6(9), AT-4, AU-12, CA-2, CA-3, CA-5, CA-6, CA-7, CA-8, CA-9, CM-2, CM-3, CM-4, CM-6, CM-8, CM-9, CM-12, CM-13, CP-2, IR-6, IR-8, MA-2, MA-4, PE-2, PE-8, PE-16, PE-17, PL-2, PL-4, PL-7, PL-8, PM-5, PM-8, PM-9, PM-18, PM-21, PM-27, PM-28, PM-30, PM-31, PS-2, PS-6, PS-7, PT-2, PT-3, PT-7, RA-2, RA-3, RA-5, RA-8, SA-4, SA-5, SA-8, SA-10, SI-4, SR-2, SR-4, SR-8。
某些类型的攻击,包括 SQL 注入,会产生与软件程序或应用程序预期输出结果不符或不一致的输出结果。信息输出过滤侧重于检测多余内容,防止这些多余内容被显示,然后提醒监控工具已发现异常行为。
将信息保留的时间超过所需会使其成为对手越来越有价值且具有吸引力的目标。仅在支持组织任务或业务功能所需的最短时间内保持信息可用,可以减少对手破坏、获取和外泄信息的机会。
可以通过使用参数化接口或输出转义(输出编码)来防止不受信任的数据注入。参数化接口将数据与代码分离,从而防止恶意或非预期数据注入改变所发送命令的语义。输出转义使用指定字符来告知解释器的解析器数据是否可信。针对不受信任的数据注入的预防,是针对组织在基础控制(SI-10)中定义的信息输入进行的。
将来自更多样化信息源的监测信息进行关联有助于实现综合态势感知。通过结合物理、网络和供应链监测活动获得的综合态势感知能够增强组织更快速地检测复杂攻击的能力,并调查用于实施此类攻击的方法和技术。与SI-4(16)将各种网络监控信息相关联不同,综合态势感知旨在将监控信息关联扩展到网络领域之外。来自多项活动的监控信息关联可能有助于揭示针对跨多个攻击向量运行的组织的攻击。
整合检测和响应有助于确保对检测到的事件进行跟踪、监控、纠正,并保存用于历史记录。维护历史记录对于能够在较长时间内识别和辨别对手行为以及可能的法律行动非常重要。与安全相关的更改包括对已建立配置设置的未经授权的更改或系统权限的未经授权提升。
与安全相关的事件包括识别组织系统可能面临的新威胁,以及安装新的硬件、软件或固件。过渡状态包括系统启动、重启、关机和中止。
组织在执行用户安装的软件之前会验证其完整性,以减少执行恶意代码或包含未经授权修改错误的程序的可能性。组织会考虑验证软件完整性方法的可行性,包括软件开发商和供应商提供的可信校验和的可用性。
在信息生命周期中,当信息不用于操作目的时,限制使用可识别个人身份的信息,有助于降低系统产生的隐私风险。信息生命周期包括信息的创建、收集、使用、处理、存储、维护、传播、披露和处置。风险评估以及适用的法律、法规和政策可以为确定哪些个人身份信息元素可能带来风险提供有用的参考。
使用恶意代码分析工具可以让组织更深入地了解对手的作战手法(即策略、技术和程序)以及特定恶意代码实例的功能和目的。了解恶意代码的特性有助于组织有效应对当前和未来的威胁。组织可以通过使用逆向工程技术或监控正在执行代码的行为来进行恶意代码分析。
系统的进出点包括防火墙、远程访问服务器、工作站、电子邮件服务器、网页服务器、代理服务器、笔记本电脑和移动设备。恶意代码包括病毒、蠕虫、特洛伊木马和间谍软件。恶意代码还可以以各种格式编码,包含在压缩文件或隐藏文件中,或者通过隐写术等技术隐藏在文件中。恶意代码可以通过多种方式被插入系统,包括电子邮件、万维网和便携式存储设备。恶意代码的插入通常是通过利用系统漏洞发生的。目前存在多种技术和方法来限制或消除恶意代码的影响。恶意代码防护机制包括基于特征和非特征的技术。非特征的检测机制包括使用启发式方法的人工智能技术,用于检测、分析并描述恶意代码的特征或行为,并对尚不存在签名或现有签名可能无效的恶意代码提供控制措施。恶意代码如果尚无有效签名或签名可能无效,包括多态恶意代码(即在复制时会改变签名的代码)。非签名机制还包括基于信誉的技术。除了上述技术外,普遍的配置管理、全面的软件完整性控制以及反利用软件可能在防止未经授权的代码执行方面有效。商业现成软件以及定制软件中可能存在恶意代码,可能包括逻辑炸弹、后门以及其他可能影响组织任务和业务功能的攻击类型。在恶意代码无法通过检测方法或技术被发现的情况下,组织依赖其他类型的控制措施,包括安全编码实践、配置管理与控制、可信采购流程以及监控实践,以确保软件不会执行其预期功能以外的操作。组织可能会认定,在检测到恶意代码时,可能需要采取不同的措施。例如,组织可以在定期扫描期间检测到恶意代码、检测到恶意下载或在尝试打开或执行文件时检测到恶意行为时,定义相应的应对措施。
在某些情况下,例如在应急计划中定义的事件期间,可能需要对输入验证进行手动覆盖。手动覆盖仅在有限的情况下使用,并且仅针对组织定义的输入。
例如,如果系统组件的平均故障间隔时间(MTTF)为100天,而组织定义的MTTF百分比为90%,则手动转移将在90天后进行。
一些对手发起攻击的目的是在内存的非可执行区域或禁止的内存位置执行代码。用于保护内存的控制措施包括数据执行防护(DEP)和地址空间布局随机化(ASLR)。数据执行防护控制可以通过硬件实施或软件实施,其中硬件实施提供的机制更强大。
组织可以通过采用去识别化或合成数据等技术来将个人隐私风险降到最低。在信息生命周期中,当信息不用于研究、测试或培训时,限制使用个人可识别信息,有助于降低系统产生的隐私风险水平。风险评估以及适用的法律、法规和政策可以为确定使用哪些技术以及何时使用提供有用的参考。
“有动机入侵者测试”是指个人或团体利用某个数据发布和指定资源,尝试在去标识化的数据集中重新识别一个或多个人的测试。这类测试会明确入侵者进行测试所拥有的内部知识、计算资源、财力资源、数据以及技能程度。积极入侵者测试可以确定去识别是否不足。它也可以作为评估去识别是否可能足够的有用诊断工具。然而,仅凭该测试无法证明去识别是充分的。
非持久性组件和服务的实施通过减少对手发起和完成攻击的能力(即机会窗口和可利用的攻击面),从而减轻高级持续性威胁(APT)带来的风险。通过对选定的系统组件实施非持久性概念,组织可以在特定时间段内提供一个可信、已知状态的计算资源,从而不给对手足够的时间去利用组织系统或操作环境中的漏洞。由于APT在能力、意图和目标方面都是高级且复杂的威胁,组织通常假设在较长时间内,会有一部分攻击是成功的。非持久性的系统组件和服务会根据需要使用受保护的信息进行激活,并在定期或会话结束时终止。非持久性会增加试图破坏或入侵组织系统的对手的工作难度。非持久性可以通过刷新系统组件、定期重建组件镜像或使用多种常见的虚拟化技术来实现。非持久性服务可以通过使用虚拟化技术来实现,作为虚拟机的一部分,或作为物理机上新进程的实例(无论是持久性还是非持久性)。定期刷新系统组件和服务的好处在于,组织不需要首先确定组件或服务是否已被破坏(这往往很难判断)。所选系统组件和服务的刷新频率足够高,以防止攻击的传播或预期影响,但不会高到导致系统不稳定的程度。关键组件和服务的刷新可以定期进行,以阻碍对手利用最佳脆弱窗口的能力。
持续的系统连接可能为高级攻击者提供横向移动的路径,并可能使其更接近高价值资产。限制此类连接的可用性会阻碍攻击者在组织系统中自由移动的能力。
将信息保留的时间超过必要范围会使这些信息成为高级对手的潜在目标,这些对手可能试图通过未经授权的披露、未经授权的修改或数据外泄来破坏高价值资产。对于系统相关的信息,不必要的保留会为高级对手提供有助于其侦察和在系统中横向移动的信息。
当个人可识别信息被更正或删除时,组织会采取措施,确保所有该类信息的授权接收者,以及与信息相关的个人或其指定代表,被告知已更正或删除的信息。
加密流量、不对称路由架构、容量和延迟限制,以及从旧技术向新技术(例如从 IPv4 向 IPv6 网络协议的过渡)的转变,可能导致组织在分析网络流量时出现盲点。收集、解密、预处理并仅将相关流量分发到监控设备,可以提高设备的使用效率并优化流量分析。
个人身份信息质量操作包括组织为确认个人身份信息在整个信息生命周期中的准确性和相关性所采取的步骤。信息生命周期包括个人身份信息的创建、收集、使用、处理、存储、维护、传播、披露和处置。个人身份信息的质量操作包括在收集或输入系统时,通过使用自动地址验证查询应用程序接口对地址进行编辑和验证。检查个人可识别信息的质量包括追踪数据随时间的更新或更改,这使组织能够在发现错误信息时了解个人可识别信息是如何以及被更改了什么内容。为保护个人可识别信息质量而采取的措施是基于个人可识别信息的性质和背景、其使用方式、获取方式以及可能采用的去标识化方法。用于验证个人身份信息准确性的措施,这些信息用于决定享有联邦项目下权利、利益或特权的个人,可能比用于验证用于较不敏感目的的个人身份信息的措施更为全面。
系统和信息完整性政策及程序涉及在系统和组织中实施的 SI 系列控制。风险管理策略是制定此类政策和程序的重要因素。政策和程序有助于保障安全和隐私。因此,安全和隐私项目在制定系统和信息完整性政策及程序时进行协作非常重要。一般来说,组织层面的安全和隐私项目政策和程序是更可取的,并且可能无需专门针对特定任务或系统的政策和程序。该政策可以作为一般安全和隐私政策的一部分,或者通过多项政策来体现组织的复杂性。如果需要,可以为安全和隐私计划、任务或业务流程以及系统建立相应的程序。程序描述了政策或控制措施是如何实施的,并且可以针对作为程序对象的个人或角色。程序可以记录在系统安全和隐私计划中,或记录在一个或多个单独的文档中。可能导致系统和信息完整性政策及程序更新的事件包括评估或审计结果、安全或隐私事件,或适用法律、行政命令、指令、法规、政策、标准和指南的变化。简单地重复控制措施并不构成组织政策或程序。
组织系统中一个常见的漏洞是在收到无效输入时行为不可预测。验证系统的可预测性有助于确保系统在收到无效输入时能够按预期运行。这通过指定系统响应来实现,使系统能够过渡到已知状态而不会产生不良的、意外的副作用。无效输入是指与组织在基础控制(SI-10)中定义的信息输入相关的那些输入。
虽然MTTF主要是一个可靠性问题,但可预测的故障预防旨在解决提供安全功能的系统组件的潜在故障。故障率反映了特定安装的考虑因素,而非行业平均水平。组织根据平均无故障时间(MTTF)值定义系统组件更换的标准,同时考虑组件故障可能带来的潜在危害。主动组件与备用组件之间的责任转移不会影响安全性、运行准备状态或安全能力。系统状态变量的保持也至关重要,以帮助确保转移过程的顺利进行。备用组件在任何时候都可用,除非正在进行维护或发生恢复故障。
特权用户可以访问比普通用户更多的敏感信息,包括与安全相关的信息。访问这些信息意味着特权用户可能对系统和组织造成的损害比非特权用户更大。因此,对特权用户实施额外的监控有助于确保组织能够在最早的时间识别恶意活动并采取适当的措施。
在试用期间,员工在组织内没有正式的雇佣身份。由于缺乏这种身份或对系统上驻留信息的访问权限,额外的监控有助于发现任何潜在的恶意活动或不当行为。
对启动固件的未经授权修改可能表明存在复杂的定向攻击。这类定向攻击可能导致永久性的服务中断或持续的恶意代码存在。如果固件被破坏或恶意代码嵌入固件中,就可能发生这些情况。系统组件可以通过在对系统组件应用更改之前验证固件的完整性和真实性,并防止未经授权的进程修改启动固件,从而保护组织系统中启动固件的完整性。
可信来源包括来自一次写入、只读媒体的软件和数据,或来自选定的离线安全存储设施的软件和数据。
在发布数据集之前,数据管理者会考虑数据集的预期用途,并确定是否有必要发布可识别个人身份的信息。如果可识别个人身份的信息不是必需的,可以使用去标识化技术将其删除。
有许多方法可以从数据集中移除直接标识符。数据集中包含直接标识符的列可以被删除。在掩码处理中,直接标识符会被转换为重复字符,例如 XXXXXX 或 999999。标识符可以被加密或哈希,以便关联记录仍然保持关联。在加密或哈希的情况下,会使用需要密钥的算法,包括高级加密标准(AES)或基于哈希的消息认证码(HMAC)。实现可能对所有标识符使用相同的密钥,或者对每个标识符使用不同的密钥。对每个标识符使用不同的密钥可以提供更高的安全性和隐私保护。标识符也可以替换为关键字,包括将“George Washington”转换为“PATIENT”,或者用替代值替代,例如将“George Washington”转换为“Abraham Polk”。
在安装更新后,如果系统中未删除软件或固件组件的以前版本,可能会被对手利用。一些产品可能会自动从系统中移除软件和固件的以前版本。
可能对安全和隐私功能验证结果感兴趣的组织人员包括系统安全官员、高级机构信息安全官员以及机构高级隐私官员。
将输入的使用限制在可信来源和可信格式上,将授权或许可软件的概念应用于信息输入。指定已知的可信信息源和可接受的输入格式可以降低恶意活动的可能性。信息输入是组织在基础控件(SI-10)中定义的那些输入。
输入验证错误的解决包括纠正错误的系统性原因,并使用更正后的输入重新提交交易。输入验证错误是指与组织在基本控制(SI-10)中定义的信息输入相关的错误。
可以从不同的来源获取个人风险增加的迹象,包括人员档案、情报机构、执法组织以及其他来源。对个人的监控是与进行此类监控的管理、法律、安全、隐私和人力资源官员协调进行的。监控是根据适用的法律、行政命令、指令、规章、政策、标准和指南进行的。
运行时应用自我防护(RASP)利用运行时检测来发现并阻止对软件漏洞的利用,借助正在运行软件的信息。运行时漏洞防护不同于传统的基于边界的保护措施(如防护程序和防火墙),后者只能通过网络信息来检测和阻止攻击,而无法具备上下文意识。运行时应用自我保护技术可以通过监控软件的输入并阻止可能导致攻击的输入,来降低软件的易受攻击性。它还可以帮助保护运行时环境,防止不希望的更改和篡改。当检测到威胁时,运行时应用自我保护技术可以防止利用漏洞并采取其他措施(例如向用户发送警告信息、终止用户会话、终止应用程序或向组织人员发送警报)。运行时应用自我保护解决方案可以部署在监控模式或保护模式。
网络安全和基础设施安全局(CISA)发布安全警报和公告,以在整个联邦政府中保持态势意识。安全指令由OMB或其他具有发布此类指令的责任和权限的指定组织发布。由于许多这些指令的关键性以及如果未能及时实施这些指令可能对组织运营和资产、个人、其他组织以及国家产生的(即时)不利影响,遵守安全指令至关重要。外部组织包括供应链合作伙伴、外部任务或业务合作伙伴、外部服务提供商以及其他同行或支持性组织。
系统的过渡状态包括系统启动、重启、关机和中止。系统通知包括硬件指示灯、向系统管理员发送的电子警报以及发送到本地计算机控制台的消息。与安全功能验证相反,隐私功能验证确保隐私功能按预期运行,并得到高级机构隐私官员的批准,或者隐私属性按预期被应用或使用。
由于错误或恶意活动,软件、固件和信息可能会发生未授权的更改。软件包括操作系统(具有关键内部组件,如内核或驱动程序)、中间件和应用程序。固件接口包括统一可扩展固件接口(UEFI)和基本输入输出系统(BIOS)。信息包括个人身份信息和包含与信息相关的安全与隐私属性的元数据。完整性检查机制——包括奇偶校验、循环冗余检查、加密哈希及相关工具——可以自动监控系统和托管应用的完整性。
系统的入口和出口点包括防火墙、远程访问服务器、电子邮件服务器、网络服务器、代理服务器、工作站、笔记本电脑和移动设备。垃圾邮件可以通过不同方式传播,包括电子邮件、电子邮件附件和网页访问。垃圾邮件防护机制包括签名定义。
在检测到组件故障时,组件可以自动或手动从备用模式切换到活动模式。
即使只提供汇总信息,许多类型的统计分析也可能导致个人信息被泄露。例如,如果一所学校每月发布一次少数族裔学生入学人数的表格,报告说一月份有10-19名少数族裔学生,随后在三月份报告说有20-29名少数族裔学生,那么可以推断二月份入学的学生是少数族裔。
警报可能来自各种来源,包括审计记录或来自恶意代码保护机制、入侵检测或防御机制,或边界保护设备(如防火墙、网关和路由器)的输入。警报可以自动生成,并可以通过电话、电子邮件或短信传送。警报通知名单上的组织人员可以包括系统管理员、任务或业务所有者、系统所有者、信息所有者/管理人员、机构高级信息安全官员、机构隐私高级官员、系统安全官员或隐私官员。与系统生成的警报相比,SI-4(12) 中由组织生成的警报更关注系统外部的信息来源,例如可疑活动报告和潜在内部威胁报告。
系统监控包括外部监控和内部监控。外部监控包括对系统外部接口发生的事件进行观察。内部监控包括对系统内部发生的事件进行观察。组织通过实时观察审计活动或观察系统的其他方面,如访问模式、访问特征及其他操作来监控系统。监控目标指导并决定事件的判定。系统监控功能是通过多种工具和技术实现的,包括入侵检测与防护系统、恶意代码防护软件、扫描工具、审计记录监控软件以及网络监控软件。根据安全架构的不同,监控设备的分布和配置可能会影响关键内部和外部边界以及网络其他位置的吞吐量,因为会引入网络吞吐延迟。如果需要进行吞吐量管理,这些设备会作为既定的全组织安全架构的一部分进行战略性部署和配置。监控设备的战略位置包括选定的周界位置以及支持关键应用的关键服务器和服务器群附近。监控设备通常部署在与控制措施 SC-7 和 AC-17 相关的管理接口上。收集的信息取决于组织的监控目标以及系统支持这些目标的能力。感兴趣的特定类型交易包括绕过 HTTP 代理的超文本传输协议(HTTP)流量。系统监控是组织持续监控和事件响应计划的一个组成部分,系统监控的输出作为这些计划的输入。系统监控要求,包括对特定类型系统监控的需求,可能在其他控制措施中被引用(例如,AC-2g、AC-2(7)、AC-2(12)(a)、AC-17(1)、AU-13、AU-13(1)、AU-13(2)、CM-3f、CM-6d、MA-3a、MA-4a、SC-5(3)(b)、SC-7a、SC-7(24)(b)、SC-18b、SC-43b)。系统监控级别的调整基于执法信息、情报信息或其他信息来源。系统监控活动的合法性基于适用的法律、行政命令、指令、规章、政策、标准和指导方针。
将单个入侵检测工具连接到系统级入侵检测系统可以提供额外的覆盖范围和有效的检测能力。一个入侵检测工具中包含的信息可以在整个组织内广泛共享,从而使系统级的检测能力更加强大和有效。
许多网络攻击针对组织的信息,或组织代表其他实体持有的信息(例如,个人可识别信息),并将这些数据外泄。此外,内部攻击和用户操作错误可能会从系统中删除信息,从而违反组织政策。污染的方法可以从被动到主动不等。被动污染方法可以像向内部数据库添加虚假电子邮件名称和地址一样简单。如果组织在其中一个虚假电子邮件地址收到邮件,它就知道数据库已被泄露。此外,该组织知道该电子邮件是由未经授权的实体发送的,因此其中包含的任何数据包都可能含有恶意代码,并且该未经授权的实体可能已经获取了数据库的副本。另一种污染方法可以包括在文件中嵌入虚假数据或隐写数据,以便通过开源分析找到这些数据。最后,一种主动污染的方法可以包括将软件嵌入数据中,该软件能够“回传”信息,从而提醒组织其已被“捕获”,并可能提供其位置以及被外泄或移除的路径。
None.
测试入侵监控工具和机制是必要的,以确保这些工具和机制能够正确运行,并持续满足组织的监控目标。测试的频率和深度取决于组织使用的工具和机制类型以及部署方式。
在没有监控的情况下对进程执行设置时间限制,旨在适用于那些可以确定典型或正常执行时间的进程,以及组织超过这些时间的情况。监控包括操作系统上的定时器、自动响应,以及在系统进程发生异常时的人工监督和响应。
组织会确定在系统缺陷被识别后平均需要多长时间来纠正这些缺陷,并随后为采取纠正措施设定组织基准(即时间框架)。基准可以根据缺陷类型或潜在漏洞的严重程度(如果缺陷可能被利用)来建立。
在处理跨协议接口接收到的无效系统输入时,时序交互变得相关,其中一个协议需要考虑错误响应对协议栈中其他协议的影响。例如,当数据包丢失(可能由于无效的数据包输入)时,802.11标准无线网络协议与传输控制协议(TCP)的交互表现不佳。TCP 假设数据包丢失是由于网络拥塞造成的,而在 802.11 链路上丢失的数据包通常是由于链路上的噪声或碰撞导致的。如果 TCP 做出拥塞响应,它在碰撞事件中采取了错误的措施。对手可能能够利用看似可接受的协议单个行为,通过适当构造无效输入协同实现不利影响。无效输入是指与组织在基础控制(SI-10)中定义的信息输入相关的输入。
在主要组件发生故障之前,将主要系统组件的责任转移到其他替代组件是降低任务或业务功能受损或瘫痪风险的关键。根据平均故障时间的百分比进行这种转移,使组织能够根据其风险承受能力采取主动措施。然而,系统组件的过早更换可能会导致系统运行成本增加。
未经授权或未批准的网络服务包括在面向服务的架构中缺乏组织验证或确认的服务,因此可能不可靠或充当有效服务的恶意伪装服务。
针对恶意代码的保护机制通常被归类为与安全相关的软件,因此只有具备适当访问权限的组织人员才能进行更新。
看似能够从数据集中移除个人可识别信息的算法,实际上可能仍然保留个人可识别的信息或可重新识别的数据。声称实现了经过验证的算法的软件可能存在漏洞,或者实际实现了不同的算法。软件可能会对一种类型的数据进行去标识化,例如整数,但不会对另一种类型的数据进行去标识化,例如浮点数。基于这些原因,去标识化是使用经过验证的算法和软件进行的。
确保启动过程的完整性对于以已知、可信的状态启动系统组件至关重要。完整性验证机制提供了一种保证,即在启动过程中只执行可信代码。
组织在保护数据机密性所需的通信流量加密与从监控角度保持对这些流量的可见性之间取得平衡。组织需要确定可见性需求是否适用于内部加密流量、面向外部目的地的加密流量,或仅适用于某些类型的流量子集。
无线信号可能会辐射到组织设施之外。组织会主动搜索未经授权的无线连接,包括对未经授权的无线接入点进行彻底扫描。无线扫描不仅限于设施内有系统的区域,还包括设施外的区域,以验证未授权的无线接入点未连接到组织系统。
无线网络本质上比有线网络的安全性低。例如,无线网络比有线网络更容易受到窃听或流量分析的影响。当存在无线与有线通信时,无线网络可能成为进入有线网络的入口。鉴于通过无线接入点进行的未经授权的网络访问比从系统物理范围内进行的有线网络未经授权访问更为容易,可能需要对无线和有线网络之间的过渡流量进行额外监控,以检测恶意活动。使用入侵检测系统监控无线通信流量有助于确保在传输到有线网络之前,流量中不含恶意代码。