美國信息安全持續監測(ISCM)簡介
對一個機構來說,只要其依托網絡開展業務,網絡的安全運轉就是其管理目標的重中之重。各種安全威脅時時刻刻充斥在身邊,誰也不知道何時發作。安全措施的部署是否真的有效?某些安全設備是否該更換?安全策略是否該調整?若想保障機構網絡的安全運轉,除了“抓內鬼”,還需要監控“外鬼”的網絡攻擊威脅,而且要不間斷地、持續地進行檢測。針對這些問題,美國提出一系列解決方案,搬出了“愛因斯坦”和“凱撒大帝”等偉人命名項目計劃來拯救網絡安全,其中“信息安全持續監測ISCM”是方案中非常重要的策略。
那么什么是信息安全持續監測?
信息安全持續監視(ISCM - Information Security Continuous Monitoring)是美國信息安全職能部門之一國家標準與技術研究院(NIST)提出的概念。NIST根據2002 年《聯邦信息安全管理法案》(FISMA)制定了三個有關ISCM的特別出版物,分別是SP 800-37、SP 800-53、SP 800-137。NIST總結了持續監測三個不同角度的定義,從廣義范疇定義:持續監測旨在提供告警的不間斷的觀測。持續監測能力是對系統的運行狀態進行不間斷的觀測和分析,以提供有關態勢感知和偏離期望的決策支撐;從網絡空間安全角度:信息安全持續監測是能夠保持對信息安全、漏洞和威脅的持續感知,支撐組織機構的風險管理決策;從技術角度定義:持續監測是網絡空間安全的一種風險管理措施,可維護組織機構的安全態勢,提供資產可視化,數據自動化反饋,監測安全策略有效性并優化補救措施。
持續監測的機構視圖
NIST SP 800-137從風險管理角度提出信息安全持續監測的三層機構視圖,從上到下依次是機構層、任務/業務過程層、信息系統層。ISCM策略制定從上到下是細化落實過程,從下到上則是數據的收集、分析和報告過程。ISCM策略6個步驟:定義、建立、實施、分析數據及報告分析結果、響應、審查及更新。
持續監測的“凱撒(CAESARS)”參考框架
2010年4月,國土安全部(DHS)受美國行政管理和預算局(OMB)委任,建立了持續監測技術參考框架,即持續資產評估、態勢感知和風險評分參考框架(the Continuous Asset Evaluation, Situational Awareness, and Risk Scoring, CAESARS)。框架包含傳感器、數據庫、分析/風險評分和展示/報告四個子系統。
“凱撒”擴展框架
CAESARS參考框架雖然提供了技術架構的基礎,但也存在一些局限。2012年,NIST基于CAESARS參考框架進一步研究和改進,在NIST IR 7756中提出了CAESARS擴展框架。改進后的CAESARS FE框架包含6個子系統,分別是展示/報告子系統、內容子系統、采集子系統、數據聚合子系統、分析/評分子系統和任務管理器。另外,NIST IR 7799中對CAESARS FE框架的工作流、子系統和接口規范進行了詳細定義,NIST IR 7800結合安全內容自動化協議(Security Content Automation Protocol, SCAP)對CAESARS FE框架的數據域約束和處理規范進行了詳細的定義。
持續監測如何解決問題呢?
為判斷網絡安不安全,首先要有方方面面的數據來支撐進一步分析。持續監測的理念一方面強調持續,即以適當的頻率收集數據;另一方面強調監測,即收集網絡中的各種安全數據、狀態數據等能體現安全態勢的數據。通過多方面分析這些數據,對網絡安全態勢、風險等級進行評估,并將分析評估結果可視化,展現給管理網絡安全風險的決策者。只有決策者全面了解了整個網絡的安全狀態后,才能結合機構的實際情況調整信息安全策略。單靠持續監測無法解決所有的安全問題,但可以讓用戶更了解自己的安全狀況,不斷改善安全策略,能夠以積極主動的姿態防御安全威脅。
美國政府對ISCM干了些什么?
NIST原本建議ISCM任務由各聯邦機構自行建設,國土安全部以避免各個單位自行建設成本問題名義,提出集中開發“持續診斷與緩解項目”(CDM - Continuous Diagnostics and Mitigation)具體落實ISCM策略。2013年11月,美國行政管理和預算局(OMB)發布了一份備忘錄M-14-03,要求所有聯邦機構建立信息安全持續監控(ISCM)機制, 國土安全部被委以重任協助所有部門和機構實施此項目,OMB要求所有聯邦機構在2014年2月 28日之前完成CDM/ISCM策略的部署。CDM主要保護聯邦民口機構的信息系統和網絡免受網絡攻擊。CDM項目通過提供標準化工具和云服務(CMaaS)的方式,解決各聯邦機構自行開發的成本和不統一問題。這些工具包括識別偏離基線的網絡安全風險、區分風險影響的嚴重程度、促進網絡安全人員解決最重大安全問題。SuperTEK公司承包了美國政府機構持續監控系統項目,項目要求能監控分布于全球的一百多萬部設備信息安全。
ISCM實施效果受到質疑
2015年6月初,美國人事管理局(OPM)的電腦遭到大規模網絡攻擊,導致400萬現任和前任員工信息被盜。中國“躺著中槍”,美國國家情報總監(DNI)詹姆斯•克拉珀聲稱中國是網絡入侵的“頭號嫌疑人”。這件事情引起輿論對國土安全部花費上百億美元打造的網絡安全計劃的普遍質疑,其中就包括CDM項目。
【本文為51CTO專欄作者“中國保密協會科學技術分會”原創稿件,轉載請聯系原作者】
