在去中心化、万物互联的年代里,管理难度更大,治理体现更为高明。如何引导业界、民众形成一个良好的网络空间安全生态,如何量化和表扬激励成为政府网络空间管理的核心命题。GDPR开了一个头后,美国可能实施更严格的网络空间治理惩罚激励策略,以查代检,以点促面,与之对应的技术和管理治理体系即CSF(网络安全框架)和OSCAL(开源安全控制评估语言)。
一、从FISMA 1.0到FISMA2.0到CSF1.0到CSF1.1
自从美国网络安全法立法因为隐私问题屡遭失败后,面对80%以上的核心基础设施(通信、水电、金融)在私营企业手中,美国开始推广Cybersecurity Framework网络安全框架,简写CSF,将政府进行多年的fisma经验(类似等保),由NIST集中输出标准,以最佳实践方式推动安全。2014年,FISMA(Federal Information Security Management Act 2002联邦网络安全管理法案)1.0后来进化到2.0,其名字也进行更换,由管理Management变成了Modernization现代化,FISMA(Federal Information Security Modernization Act of 2014),现代化的意思是名曲指出,2014年联邦信息安全现代化法修正了2002年联邦信息安全管理法(FISMA)。在FISMA1.0中,注重文档评估,一个等保测评最起码要3个月,安全时效性得不到保障,风险管理过程动辄以3个月为周期,实际上这个是等保的弊病.有一个说法是过了等级保护,本来主管部门准备发证,后来一想,如果今天发证,你明天被入侵,那多难看。所以国内等保没有发证,只有备案。虽然故事不一定是真的,但是风险是动态的,风险治理的核心是风险评估过程,但是用静态的风险评估如何才能管理动态的风险,如何提速增效。如何量化治理,都是难题。
类似问题美国也遇到,在FISMA2.0,明确通过更新FISMA1.0的做法:1、国土安全部(DHS)授权部门负责实施非政府的信息安全政策,包括向此类系统提供技术援助和部署技术;2、修改和澄清并通过管理和预算办公室(OMB)对联邦机构信息安全做法的监督权力; 3、按照OMB的要求修改回应“消除低效和无用的报告”。(https://www.dhs.gov/fisma)。最重要的概念是自动化,或者类似gatner的自适应安全,从部门以及机构开发静态、基于文件的合规报告到持续的、实时监控联邦网络。同时正在建立以实时监控为基础的基于风险的绩效评价,并且这个评价将最终被纳入上级官员绩效考核。这个变化意味着机构将能够迅速地发现脆弱性并且主动地防范攻击。美国启动了著名的跨部门的持续监控ISCM项目,他的核心SCAP(Security Content Automation Protocol安全内容自动化协议),通过建模语言将风险评估的过程自动化(建模语言是著名mitre公司和NIST一起开发),与之配套的是美国NIST定义的CVE,CCE,CPE,CWE等国家漏洞库及相关标准,参与SCAP的各个厂家可以自己开发扫描器,但是上报结果应该保持一致,比如我要检查永恒之蓝漏洞,我希望大家给我都是CVE-2017-0143,CVE-2017-0144, CVE-2017-0145。我要检查ssh弱口令,就是检查不同操作系统(CPE编号)下的不同文件(每个检查项一个CCE)。我可以设定一个基线(不允许有永恒之蓝漏洞和SSH弱口令配置不当),通过SCAP协议,通过扫描器的结果就知道谁违反了。
持续监控ISCM项目和SCAP协议,获得极大的成功,它可以把风险过程,从3个月到一周,到近乎实时。近乎实时是本届从治理角度听到最多的词。本届的开源安全控制评估语言(OSCAL)和FFedRAMP(The Federal Risk and Authorization Management Program 联邦风险和认证管理项目,美国版本云等保)反复提到的,对于CXO(CEO,CIO,CSO,CISO,等等C-Suite View)近乎实时吸引力很大,以往你需要3个月之后知道系统的是安全的,现在你可以免费的由政府教你怎么做。
2012年,美国启动flsma2.0的预研,最重要点就是量化治理,建立以实时监控为基础的基于风险的绩效评价,并且这个评价将最终被纳入上级官员绩效考核。2011年11月15开始,机构必须通过一个基于Web网关平台(网络辖域:Cyber Scope),按月提交报告。网络空间绩效公布在www.performance.gov。2014年2月,美国把等保改头换面,把fisma多年巨资搞得的成果,各种管理要求,技术要求,变成Cybersecurity Framework网络安全框架CSF,并且在此基础上不停的开发建模语言、字典、风险记分等方案,企业可以免费快速使用。同时有一个好处,你自己企业安全了,因为你用的是NIST的语言,所以我到时候只要收数据,就知道你安全了。对与建立整体的国家级安全防御战线是非常有好处的。而且节省成本(国家不用帮你买设备)。好了,框架折腾了很多年,专门和intel等大公司高校合作形成了很多best practice。2018年4月,CSF推出了1.1版本。实际上就是RSA上(以往RSA是2月份,今年变成4月份,不知道谁等谁。)同时推出了开源安全控制评估语言(OSCAL),作为SCAP协议的开源版本,很明显,NIST在引导业界用一套建模语言说话,为后续的风险管理处置的治理过程打下基础。
按照美国的逻辑,2002布什搞了fisma1.0,2014奥巴马搞了fisma2.0(2012年有一个修订版本,2014才是真正版本),唐纳德·特朗普在任期内很可能搞3.0版本fisma。或者借着GDPR的流行,真正从CSF框架角度,以数据外泄和隐私角度将FISMA和CSF结合变成全国的法案。
二、网络安全框架(CSF)治理过程
网络安全框架包含三个主要组件:核心,实施层和配置文件。
框架核心使用易于理解的通用语言提供了一套理想的网络安全活动和成果。核心指导组织管理和降低网络安全风险,以补充组织现有的网络安全和风险管理流程。
框架实施等级通过提供关于组织如何看待网络安全风险管理的背景来帮助组织。层级指导组织考虑网络安全计划的适当严格程度,并经常用作交流工具来讨论风险偏好,任务优先级和预算。
框架配置文件是一个组织独特的组织要求和目标,风险偏好和资源与框架核心预期结果的一致性。配置文件主要用于识别和优先考虑改善组织网络安全的机会。
2.1 框架实施层
层级描述了组织网络安全风险管理实践展现框架中定义的特征的程度。层级从部分(第1级)到适应性(第4级),并描述了严格程度越来越高,网络安全风险决策整合到更广泛的风险决策中的程度,以及组织共享和从外部接收网络安全信息的程度。
层级不一定代表成熟度水平。组织应该确定所需的层级,确保选定的级别符合组织目标,将网络安全风险降低到组织可接受的水平,并且可以在财务和其他方面实施。
2.2 框架核心
核心是一系列所需的网络安全活动和成果,组织成分类并与信息参考一致。框架核心的设计是直观的,并充当翻译层,通过使用简单化和非技术性语言来实现多学科团队之间的沟通。核心由三部分组成:功能,类别和子类别。核心包括五个高级功能:识别,保护,检测,响应和恢复。这5项功能不仅适用于网络安全风险管理,还适用于风险管理。下一个级别是分成五个函数的23个类别。下图描述了Framework Core的功能和类别。
这些类别旨在涵盖组织网络安全目标的广度,但不是过于详细。它涵盖了网络,物理和人员方面的主题,重点关注业务成果。
子类别是Core中抽象的最深层次。有108个子类别,这些是以结果为导向的语句,为创建或改进网络安全计划提供了考虑因素。由于框架是以结果为导向的,并没有要求组织必须实现这些结果,因此它能够实现针对组织需求而定制的基于风险的实现。
商业环境类别(ID.BE)中描绘的五个子类别提供了整个核心中发现的关注结果的语句的示例。在右侧的栏目中,Informative References通过提供比框架本身更具技术性的广泛参考来支持Core。组织可能希望使用这些参考资料中的一部分,全部或全部来通知活动以实现子类别中描述的结果。
2.3 框架配置
配置文件是组织独特的组织要求和目标,风险偏好和资源与Framework Core的期望结果相一致的结果。通过比较“当前”配置文件和“目标”配置文件,配置文件可用于识别改善网络安全状况的机会。
个人档案是关于优化网络安全框架以最好地为组织提供服务。该框架是自愿的,因此没有“正确”或“错误”的方式来做到这一点。处理概要文件的一种方法是组织将他们的网络安全要求,任务目标和操作方法以及针对框架核心子类别的当前做法映射为创建当前状态配置文件。这些要求和目标可以与组织当前的运营状态进行比较,以了解两者之间的差距。
这些配置文件的创建以及差距分析允许组织创建优先执行计划。纠正措施的优先级,缺口大小和估计成本可帮助组织为网络安全改进活动制定计划和预算。
2.4 用框架支持风险管理
该框架可以帮助指导关键风险管理活动的决策点,从高级管理人员到企业和流程层面,以及实施和运营等各个层面。
如图所示,下面的图表和解释说明了框架如何实现组织间的端到端风险管理通信。
实施层将任务优先级,可用资源和整体风险容忍度传达给业务/流程级别。业务/流程层面将信息用作风险管理流程的输入,然后制定一个配置文件以协调实施/操作活动。实施/操作级别将Profile实施进度传达给业务/流程级别。业务/流程级别使用此信息执行影响评估。业务/流程层面管理将该影响评估的结果报告给实施层,以通知组织的整体风险管理流程以及实施/运营层面,以提高对业务影响的认识。
三、开源安全控制评估语言(OSCAL)
当前在安全控制评估方面主要的挑战是控制指标不准确,不能量化为机器可读;不同的系统需要不同的基线进行区分;各组件之间复杂的关系导致评估的复杂度;一个单独的系统需要遵循多个标准框架。
OSCAL的作用是大量减少评估的相关工作量;对系统安全进行持续的监控;使得系统遵循一系列的安全要求;适用于各种类型的系统。
OSCAL工作流如下图所示:
- 控制框架
通过参考并支持多种安全控制规范(如:NIST SP 800-53,COMBIT 5,ISO/IEC 27001/2)构建可范式化的控制框架,支持映射到第三阶段系统安全框架(PCI DSS,NIST CSF,HIPAA)。形成机器可读文档(如XML形式的控制条目)
- 基线模型
参考并支持多种基线规范(如:NIST SP 800-53,FedRAMP,PCI DSS),构建可范式化的基线模型。形成机器可读文档(如XML形式的基线文档)
- OSCAL实现模型
将选择的基线与实际的的组件形成映射关系,并通过控制框架提供的量化参数进行测量,构建可范式化的实现模型。支持生成系统安全计划和控制条目的分析。
- 评估
提供自动化控制模型评估以及验证是否符合OCIL,SCAP等准则。
- 审计
基于测试计划和评估结果进行自动化审计。
四、结语
在去中心化、万物互联的年代里,管理难度更大,治理体现更为高明。如何引导业界、民众形成一个良好的网络空间安全生态,如何量化和表扬激励成为政府网络空间管理的核心命题。GDPR开了一个头后,美国可能实施更严格的网络空间治理惩罚激励策略,以查代检,以点促面,与之对应的技术和管理治理体系即CSF(面向人,人类语言)和OSCAL(面向机器,机器语言)。在这个框架下,人能驱动机器,机器能理解人的意图,机器的结果能给人读懂,机器和机器之间互相理解,安全自动化,评估的结果可以即时响应,安全能力自编排,自动化完成防护,然后自动显示安全绩效,惩罚激励。好吧,这个全部是科幻小说的情节,我们的科幻小说才开始写,美国科幻小说已经写一半了。下一步,就是看谁先实现。
最后啰嗦一句,笔者混了3年RSA,眼看这RSA前几排越来越多的中国人。中国和美国网络空间方面没有代差。美国遇到的问题,我们也遇到。但是美国的基础,特别是理论基础确实很好。我们学习进步很快,但是,我们太浮躁,只看到表象,没有看到内涵。AI,ML,威胁情报很热,建模语言是根基。所幸,在P2SO年代里,我们为了运维,为了即时响应,为了近乎实时风险管理,为了治理量化,为了网络空间生态健康,我们也必须走一些难路。