网络安全实践指南系列.docx
《网络安全实践指南系列.docx》由会员分享,可在线阅读,更多相关《网络安全实践指南系列.docx(20页珍藏版)》请在冰点文库上搜索。
网络安全实践指南系列
NIST网络安全实践指南系列
导语
NIST(美国国家标准与技术研究所)在安全行业几乎是无人不知吧。
作为NIST的一部分,NCCoE的名气虽然没有那么大,但其名称“国家网络安全卓越中心”也是够大气。
在笔者心目中,NIST是典型的标准派,而NCCoE则是典型的实践派。
作为美国联邦的标准制定机构,还同步开展实践项目,这种标准与实践相结合的方式值得我们学习。
NIST在安全领域以几个系列的出版物而著称:
FIPS(联邦信息处理标准)系列;SP800(计算机/信息安全)系列;SP1800(网络安全实践指南)系列;SP500(计算机系统技术)系列;NISTIR(NIST机构间或内部报告)等。
本文要介绍的正是其中的SP1800(网络安全实践指南)系列,该系列正是NCCoE的作品。
NCCoE以实践项目著称,而且每一个实践项目都计划产生一份可免费公开获取的NIST网络安全实践指南(NISTCybersecurityPracticeGuide),即SP1800系列指南。
这些实践指南正是关切所在。
NCCoE的实践项目包含两种类型:
一是积木(BuildingBlocks);二是用例(UseCases)。
积木是技术领域,用例是行业领域。
两者分别包含了十几个具体项目。
在本文中,只是简单罗列这些实践项目的摘要内容,展示一下概貌。
一、NCCoE背景
国家网络安全卓越中心(NCCoE)是NIST的一部分,成立于2012年。
NCCoE是一个协作中心,行业组织、政府机构、学术机构在此共同应对企业最紧迫的网络安全挑战。
通过政府机构与私营机构的合作,为特定行业和广泛的跨部门技术挑战,创建实用的网络安全解决方案。
作为“国家网络安全卓越中心”,NCCoE发起了“国家网络安全卓越伙伴”(NCEP)计划,与多家美国公司联手。
这些合作伙伴承诺为合作项目提供硬件、软件、研究人员和专业知识,为NCCoE的测试环境提供设备和产品,以推动安全技术的迅速采用。
NCCoE应用标准和最佳实践,使用商用技术,开发了模块化、适应性强的网络安全解决方案示例。
NCCoE的每个项目,都会产生一个免费的NIST网络安全实践指南(SP1800系列)。
NCCoE在NISTSP1800系列中记录了这些示例解决方案,SP1800系列将能力映射到NIST网络安全框架(CSF),并详细说明了其他实体重现示例解决方案所需的步骤。
以下总结一下NCCoE这家机构的特点:
o应对紧迫问题:
咨询IT安全专家和其他领导,以识别最紧迫的网络安全问题和挑战;
o加速技术采用:
加速企业采用基于标准的先进安全技术,加快安全技术创新步伐;
o采用商业产品:
采用基于标准的商用产品,作为实验室示例解决方案中的模块;
o提供实用方案:
为企业提供低成本、可重复、可扩展的网络安全实用解决方案,以保护其数据和数字基础设施;
o映射安全能力:
将安全解决方案映射到NIST和行业标准及最佳实践中,特别是将能力映射到NIST网络安全框架(CSF);
o构建安全积木:
以项目方式,形成模块化的解决方案,作为安全积木;
o推出实践指南:
推出NIST网络安全实践指南(SP1800系列),详细说明重现示例解决方案的步骤。
简言之,NCCoE致力于利用商用技术,以实用、基于标准的解决方案,解决企业最紧迫的网络安全问题。
二、NIST实践指南列表
下表给出了NIST网络安全实践指南(SP-1800)系列目前已经发布的指南(倒序排列):
表1-NIST网络安全实践指南(SP-1800系列)
注:
NISTSP1800指南系列包含两种类型:
一是积木(BuildingBlocks);二是用例(UseCases)。
积木是技术领域,用例是行业领域。
但从指南的编号顺序上看,并没有刻意区分,而是混在一起的。
在本文的后文,将会区分出来。
三、网络安全积木列表
积木(BuildingBlocks)解决了影响多个部门的广泛技术差距。
这些项目依赖于不同行业的成员的洞察力和激情,他们有着共同的目标,即满足特定的网络安全需求。
NCCoE的网络安全积木项目包括以下28项:
1.零信任架构(ZTA)
2.基于属性的访问控制(ABAC)(SP)
3.人工智能:
对手机器学习
4.消费者家庭物联网产品安全
5.IT基础架构持续监控
6.关键网络安全卫生:
修复企业
7.密码灵活性:
后量子密码学
8.数据机密性:
数据泄露的检测、响应、恢复
9.数据机密性:
识别和保护资产和数据,以防止数据泄露
10.数据完整性:
检测和响应(SP)
11.数据完整性:
识别和保护(SP)
12.数据完整性:
恢复(SP)
13.派生的PIV凭据(SP)
14.基于DNS的安全电子邮件(SP)
15.提高托管服务提供商的网络安全性
16.物联网设备表征
17.移动设备安全:
自带设备(BYOD)
18.移动设备安全:
云和混合构建(SP)
19.移动设备安全:
公司拥有个人启用(SP)
20.移动设备安全:
移动威胁目录
21.准备向5G安全演进
22.隐私增强的身份联合
23.安全域间路由(SP)
24.使用MUD保护家庭物联网设备(SP)
25.物联网传感器网络的安全性
26.供应链保障
27.TLS服务器证书管理(SP)
28.可信云:
VMware混合云IaaS环境
注:
上述列表中标题尾部带有(SP)的项目,表示已经发布了NIST网络安全实践指南,即SP1800系列,也出现在前文的表1(NIST网络安全实践指南)中。
而其它的项目,还处于构建中,尚未发布SP1800指南。
试着对上述积木进行了归类,如下图所示,仅供参考:
图1-网络安全积木项目分类
四、网络安全积木项目
1、零信任架构
近几年来,美国民间零信任技术的快速发展,促使美国联邦政府(包括国防部门)加快对零信任架构(ZTA)的研究和推进过程。
2018年,联邦首席信息官(CIO)委员会与NISTNCCoE接洽,希望其帮助联邦机构围绕ZTA的定义达成一致,并了解零信任架构的好处和局限性。
美国官方发布的权威零信任参考资料:
∙2019年4月:
ACT-IAC(美国技术委员会-行业咨询委员会)发布《零信任网络安全当前趋势》;
∙2019年7月:
DIB(国防创新委员会)发布《零信任之路》;
∙2019年9月:
NIST(美国国家标准与技术研究院)发布NISTSP800-207《零信任架构(草案)》;
∙2019年10月:
DIB(国防创新委员会)发布《零信任架构(ZTA)建议》;
∙2020年2月:
NIST发布NISTSP800-207《零信任架构(第2版草案)》,其主要变化可参见《零信任架构(第2版草案)主要变化》;
∙2020年3月:
NIST NCCoE发布《实现零信任架构(草案)》项目说明书。
NCCoE计划开展的《实现零信任架构》项目,旨在瞄准零信任架构的落地实践,希望实现安全性与用户体验的兼得。
NCCoE项目将基于NISTSP800-207《零信任架构》标准,产生一个零信任架构的示例实现。
该项目将在实验室环境中,构建一个模块化、端到端的零信任架构示例,演示一种拟议的网络拓扑结构,以解决一系列与NISTCSF(网络安全框架)一致的网络安全挑战,使得分布在场内和云环境中的不同企业资源(如数据源、计算服务、物联网设备)可以发挥作用并继承零信任安全特性。
该项目的另一个主要目标是:
识别并尽可能减少由于采用ZTA策略而对用户体验造成的负面影响。
因为一个成功的ZTA解决方案,应该尽可能少地给用户体验带来不愉快。
NCCoE项目计划实现以下主要场景:
o场景1:
员工访问公司资源;
o场景2:
员工访问互联网资源;
o场景3:
承包商访问公司和互联网资源;
o场景4:
企业内的服务器间通信;
o场景5:
与业务伙伴的跨企业协作;
o场景6:
利用公司资源建立信心水平。
NCCoE项目拟采用的零信任组件架构,如下图所示:
图2-ZTA(零信任架构)高层级架构
NCCoE项目的组件清单包括:
o核心组件:
策略引擎、策略管理器、策略执行点;
o支撑组件:
CDM系统、行业合规系统、威胁情报、网络和访问日志记录系统、数据访问策略、PKI系统、身份管理系统、SIEM系统;
o设备和网络基础设施组件:
设备、网络基础设施组件;
关于NCCoE项目更加详细的内容,请参见《实现零信任架构(草案)》项目说明书。
另一个非常重要的预期成果是,该项目计划产生一份可公开获取的NIST网络安全实践指南。
它将是一份详细的实施指南,说明实施零信任架构所需的实际步骤。
2、基于属性的访问控制(ABAC)
目前大多数企业使用基于角色的访问控制(RBAC),来根据工作职务或角色分配对网络和系统的访问。
但是,如果员工改变角色或离开公司,管理员必须相应地在多个系统中手动改变访问权限。
随着组织的扩张和收缩、与外部实体的合作、系统的现代化,这种管理用户访问的方法变得越来越困难和低效。
为了帮助应对日益增长的网络安全挑战并支持下一代身份管理,NCCoE(国家网络安全卓越中心)的安全工程师,为基于属性的访问控制(ABAC)系统开发了一个参考设计。
ABAC是一种高级方法,用于管理连接到网络和资产的人员和系统的访问权限,提供了更高的效率、灵活性、可扩展、安全性。
示例解决方案使用商用技术,来演示基于标准的ABAC平台,在该平台中,根据用户的属性(例如证书、原始IP地址、组、部门、在职状态)授予对组织网络或资产的访问权限。
然后,根据整个组织或组织之间的系统可用的信息、关于一个人、她要执行的操作和她想要访问的资源的信息,来做出访问决策。
ABAC基于个体属性为每个用户的访问请求启用恰当的权限和限制,并允许来自单一平台的多个系统管理这些权限,从而减少管理负担。
企业可以使用部分或全部指南,以使用标准和行业最佳实践来实现ABAC系统。
像我们使用的那些基于标准的商业产品,很容易获得,并且可以与常用的信息技术基础设施和投资进行互操作。
3、人工智能:
对手机器学习(AML)
NCCoE已经发布了NISTIR8269(对手机器学习的分类与术语)草案。
目前正在审核针对该草案提交的意见。
机器学习(ML)是人工智能(AI)的一个领域,它专注于计算机无需人工编程就能自行学习的能力。
当这些系统被误导或被恶意输入时,对手机器学习(AML,AdversarialMachineLearning)可能会被使用。
AML由恶意行为体执行,以破坏机器学习(ML)能力;而ML安全则侧重于了解这些攻击后果,以缓解恶意行为体的影响。
NISTIR8269的开发是为了保护人工智能的应用,特别是AML,并以概念和术语的分类为特色。
通过建立共同语言和对快速发展的AML前景的理解,该NISTIR可以为评估和管理ML安全性的未来标准和最佳实践提供信息。
4、消费者家庭物联网产品安全
消费者使用物联网设备简化任务,提供更大便利,并提高个人生产力。
例如,一个智能门锁可以使房主允许维修人员进入家中,而不需要房主亲自在场。
由于许多IoT设备可通过互联网访问,恶意行为体可以利用漏洞来访问IoT设备。
Mirai,一种分布式拒绝服务攻击,是利用物联网设备的最大网络安全事件之一。
消费者家庭物联网设备,如连接的安全摄像头和智能电视,可以收集一系列关于房主和其他用户的数据,方便地定制和个性化家庭和用户体验。
不幸的是,如果被XX的个人截获,这些信息可能会暴露或用于犯罪或破坏性活动。
NISTNISTIR8267-消费者家庭物联网产品安全审查,是该项目的第一份报告,展示了一项研究的结果,该研究旨在研究几种消费者家庭物联网设备上可用的网络安全功能的可观察方面。
审查的消费者家庭物联网设备类型包括:
智能灯泡、安全灯、安全摄像头、门铃、插头、恒温器和电视。
技术审查的目的是更好地了解消费者家庭物联网设备的内置网络安全特性,并为改善消费者家庭物联网设备的网络安全提供一般考虑。
观察和分析以NIST目前围绕网络安全的特性和实施的良好实践而开展的工作为指导,包括但不限于最近的草案NISTIR8259-安全物联网设备核心网络安全特性基线:
物联网设备制造商的起点。
NISTIR8267是基础工作,NCCoE计划发布后续项目和文件,为消费者家庭物联网设备提供详细的网络安全考虑。
5、IT基础架构持续监控
NCCoE正在提议一个项目,探索持续监控能力,以有效、高效、自动地检测恶意行为体(无论是授权用户还是外部行为体),当其试图在组织的IT基础设施中执行可能会对组织造成财务、声誉、运营方面影响的行动时。
许多组织通过手动检查或计算机辅助审核,来监视业务IT基础设施,从而在事后发现恶意用户访问事件。
本项目将描述如何通过从IT基础设施收集适当的日志数据来解决这个问题。
此外,还可以利用适当的信息自动分析和报告能力,对检测到的信息进行自动分析和记录,从而使人员能够采取措施来解决被检测到到问题。
该项目将产生一份免费的NIST网络安全实践指南,其中包括参考架构、完整实施的示例解决方案、实施解决方案所需实际步骤的详细指南。
6、关键网络安全卫生:
修复企业
此项目当前处于构建阶段(buildphase)。
许多数据泄露、恶意软件感染和其他安全事件都有一些根本原因。
实施一些相对简单的安全卫生实践,可以解决这些根本原因——阻止许多事件发生,并降低仍然发生的事件的潜在影响。
换言之,安全卫生实践使攻击者更难成功并减少其可能造成的损害。
不幸的是,安全卫生说起来容易做起来难。
几十年来,IT专家都知道,修复软件——操作系统和应用程序——可以消除漏洞。
尽管人们普遍认为补丁是有效的,但它也是资源敏感的。
打补丁本身会降低系统和服务的可用性。
然而,延迟补丁部署又给了攻击者更大的机会。
该项目将研究商业和开源工具如何帮助解决通用IT系统最具挑战的方面。
我们正在使用商业和开源工具来帮助解决最具挑战性的方面,包括系统特性和优先级排序、补丁测试、补丁实施的跟踪和验证。
我们将包括为整个补丁生命周期制定政策和流程的可操作、规范性指南,包括定义所有受影响人员的角色和责任,并制定包含针对破坏性恶意软件爆发的缓解措施的行动手册。
该项目将产生一份公开可用的NIST网络安全实践指南,该指南描述了实施应对上述挑战的网络安全参考设计所需的实际步骤。
7、密码灵活性:
后量子密码学
NCCoE正在着手开发实践,以简化从现有公钥密码算法到抗量子计算机攻击的替代算法的迁移过程。
这项工作是对“NIST后量子密码(PQC)标准化”行动的补充。
挑战是什么?
新的密码弱点的发现或密码分析技术的进步,常常导致需要替换旧的密码算法。
量子计算技术的出现将危及现有的许多密码算法,特别是广泛用于保护数字信息的公钥密码。
算法替换非常具有破坏性,通常需要几十年才能完成。
算法替换通常需要:
o识别遗留算法的存在;
o了解加密库的数据格式和API,以支持必要的更改和替换;
o开发实施验证工具;
o发现实现或加速算法性能的硬件;
o确定使用该算法的操作系统和应用程序代码;
o识别所有使用脆弱协议的通信设备;
o更新开发人员、实现者、用户的过程和流程。
为何重要?
政府和工业界都在使用加密技术来保护静止或传输中信息的保密性和完整性。
密码算法是这些加密技术的基础。
随着量子计算技术的进步,公钥密码算法可能会受到破坏,不再提供设计者所期望的安全保护。
这些算法已经在全球部署的计算机、移动设备、存储器和网络组件中实现。
而大多数的密码学完整性和密钥建立协议都使用公钥加密。
不幸的是,一旦实用化的量子计算对网络对手是可用的,那么基于一种称为Shor算法的攻击,将使目前广泛使用的所有公钥密码算法失效。
对组织意味着什么?
目前还不确定能否使用实际的量子计算机。
然而,一旦量子计算技术实用化,则信息的机密性和完整性将无法得到保证。
因此,现在就应该计划更换使用公钥算法的硬件、软件、服务,以保护信息免受未来攻击。
关于后量子密码标准和实施指南的工作,正在顺利进行。
然而,经验表明,如果已经提前启动重要的实施规划,那么在发布抗量子密钥加密标准之后,至少需要5至15年甚至更长的时间来实施这些标准,以取代目前使用的大多数易受攻击的公钥系统。
因此,组织现在就可以而且也应该计划和准备这种转变,以便准备好在标准化过程结束时可以及早采用和实施新算法。
NIST如何应对?
如NIST2016年4月发布的NISTIR8105(后量子密码学研究报告)所示,抗量子公钥密码标准的研发工作正在进行中,算法选择过程也在紧锣密鼓地进行中,算法选择预计在未来1至2年内完成。
为了配合正在进行的工作,NCCoE正在发起一项运动,让人们认识到迁移到后量子算法所涉及的问题,并开发白皮书、剧本、概念验证(POC)实现。
NIST制定了一份网络安全白皮书(为后量子密码术做准备)。
此外,NCCoE正在组建一个加密应用程序社区,以制定一个迁移行动手册,该手册将解决前面描述的挑战,并提供建议的实践,为顺利的密码迁移做准备。
最后,这些活动和未来研讨会的结果将推动NCCoE与社区合作开发实用的、可演示的实现。
8、数据保密性:
数据泄露的检测、响应、恢复
此项目当前处于构建阶段。
NCCoE正在提议一个项目,来提供指导和参考架构,以帮助组织从数据保密性的威胁中检测、响应、恢复信息。
组织的数据是其最有价值的资产之一,必须加以保护,防止XX的访问和披露。
由于运营和财务数据以及员工或客户的个人身份信息可能遭受损害,大数据和小数据的泄露都会影响组织的生存能力。
这可能会破坏组织的工作和成功,并导致严重的声誉损害。
该项目的目标是提供一个实用的解决方案,来检测、响应影响数据保密性的事件并从中恢复。
该项目还将提供与“识别和保护资产和数据以防数据泄露”项目并行的数据保密性指南。
NCCoE选择在两个并行项目中解决数据保密性问题,以提供模块化的、适应性强的指南,而不是一个全有或全无的方法。
此外,两个项目允许多个场景来防止和应对数据泄露或其他数据保密性损失事件。
该项目将产生一个公开的NIST网络安全实践指南,它是一个为应对上述挑战而实施网络安全参考设计所需实际步骤的详细实施指南。
9、数据保密性:
识别和保护资产和数据,以防止数据泄露
此项目当前处于构建阶段。
NCCoE正在提议一个项目,以提供指导和参考架构,以帮助一个组织识别和保护信息免受数据保密性的威胁。
该项目的目标是提供一个实用的解决方案,来识别和保护企业数据的保密性。
该项目还将提供与“数据泄露的检测、响应、恢复”项目并行的数据保密性指南。
NCCoE选择在两个并行项目中解决数据保密性问题,以提供模块化的、适应性强的指南,而不是一个全有或全无的方法。
该项目将产生一个公开的NIST网络安全实践指南,它是一个为应对上述挑战而实施网络安全参考设计所需实际步骤的详细实施指南。
10、数据完整性:
检测和响应
NCCoE近期发布了网络安全实践指南NISTSP1800-26(检测和响应勒索软件和其他破坏性事件)草案。
本实践指南可使管理人员、首席信息安全官、系统管理员或与保护其组织的数据、隐私和总体操作安全有利害关系的人员受益。
NCCoE提出了一个项目,可以帮助组织检测和响应跨多个行业的数据完整性事件。
该项目包括开发一个参考设计,并使用商业技术来开发一个示例解决方案,以帮助不同的组织实施更强大的安全控制。
勒索软件、破坏性恶意软件、内部威胁,甚至诚实的误操作,都会对组织的基础设施构成持续的威胁。
一旦发生攻击,数据库记录和结构、系统文件、配置、用户文件、应用程序代码和客户数据都将面临风险。
不实施检测和响应解决方案的组织,会使自己面临许多类型的数据完整性攻击的风险。
这些风险可以通过以下能力降低:
o完整性监控
o事件检测
o漏洞管理
o报告能力
o缓解和遏制
这个项目的重点是可以检测、缓解和抑制企业网络组件中的数据完整性事件的详细方法和潜在工具集。
它还确定了帮助安全团队应对此类事件的工具和策略。
该项目的范围回答了与检测和响应数据完整性事件有关的特定问题。
11、数据完整性:
识别和保护
NCCoE近期发布了网络安全实践指南NISTSP1800-25(识别和保护资产以防范勒索软件和其他破坏性事件)草案。
本实践指南可使管理人员、首席信息安全官、系统管理员或与保护其组织的数据、隐私和总体操作安全有利害关系的人员受益。
NCCoE提出了一个项目,该项目可以帮助组织识别并保护其资产免受跨多个行业的数据完整性攻击。
该项目包括开发一个参考设计,并使用商业技术来开发一个示例解决方案,以帮助不同的组织实施更强大的安全控制。
不实施识别和保护解决方案的组织,会使自己面临许多类型的数据完整性攻击的风险。
这些风险可以通过以下能力降低:
o安全存储
o数据库、虚拟机和文件系统的备份能力
o日志收集
o资产清点
o文件完整性检查机制
本项目的重点是有效识别可能成为数据完整性攻击目标的资产的方法。
它还探讨了通过使用审计日志、漏洞管理、维护和其他潜在解决方案来保护这些资产免受数据完整性攻击的方法。
12、数据完整性:
恢复
NCCoE最近发布了NIST网络安全实践指南SP1800-11(数据完整性:
从勒索软件和其他破坏性事件中恢复)的草案。
破坏性恶意软件、勒索软件、恶意内部活动,甚至是诚实的误操作的不断威胁,使得组织必须能够从更改或破坏数据的事件中快速恢复。
企业必须确信恢复的数据是准确和安全的。
NCCoE与企业界成员和网络安全解决方案供应商合作,创建了一个解决这些复杂数据完整性挑战的示例解决方案。
多个系统需要协同工作,以阻止、检测、通知损坏数据的事件并从中恢复。
本项目探索有效恢复操作系统、数据库、用户文件、应用程序和软件/系统配置的方法。
它还探讨了审计和报告问题(用户活动监视、文件系统监视、数据库监视和快速恢复解决方案),以支持恢复和调查。
为了解决与数据完整性相关的实际业务挑战,示例解决方案由开源组件和商用组件组成。
此积木工作的目标是帮助组织自信地识别:
o更改的数据,以及更改的日期和时间
o更改数据者的身份
o与数据更改一致的其他事件
o数据更改的任何影响
o用于数据恢复的正确备份版本(没有损坏的数据)
13、派生的PIV凭据
NCCoE发布了NIST网络安全实践指南SP1800-12(派生的个人身份验证(PIV)凭据)的最终版本。
2005年,个人身份验证(PIV)认证的重点,是通过台式机和笔记本电脑等传统计算设备进行身份验证,PIV卡将通过集成智能卡读卡器提供通用身份验证。
今天,没有集成智能卡读卡器的移动设备的激增,使PIV凭证和身份验证复杂化。
派生的个人身份验证(PIV)凭据,帮助组织对使用移动设备并需要安全访问信息系统和应用程序的个人进行身份验证。
该项目展示了一个基于联邦PIV标准的可行的安全平台,该平台利用当前有效的PIV凭证的身份验证和审查结果,在满足政策准则的同时,通过移动设备实现对信息技术系统的双因素认证。
虽然PIV计划和NCCoE衍生的PIV凭证项目主要针对联邦部门的需求,但两者都与商业部门中使用智能卡凭据或其他身份验证方式的的移动设备用户相关,并支持在联邦(PIV)、非联邦关键基础设施(PIV互操作或PIV-I)和一般商业(PIV兼容或PIV-C)环境中的操作。
NCCoE参考设计包括以下功能:
o使用安全加密认证交换,对移动设备的用户进行身份验证
o提供一个可行的基于联邦身份的安全平台
o使用公钥基础设施(PKI)和来自PIV卡的凭据
o支持在PIV、PIV互操作(PIV-I)、PIV兼容(PIV-C)环境中的操作
o颁发在认证器保证级别(AAL,authenticatorassurancelevel)2的基于PKI的派生PIV凭据
o提供对数据中心或云中托管的远程资源的逻辑访问
14、基于DNS的安全电子邮件
NCCoE发布了NIST网络安全实践指南1800-6(基于域名系统的电子邮件安全)。
在低成本和快速交付的推动下,私营