对一个机构来说,只要其依托网络开展业务,网络的安全运转就是其管理目标的重中之重。各种安全威胁时时刻刻充斥在身边,谁也不知道何时发作。安全措施的部署是否真的有效?某些安全设备是否该更换?安全策略是否该调整?若想保障机构网络的安全运转,除了“抓内鬼”,还需要监控“外鬼”的网络攻击威胁,而且要不间断地、持续地进行检测。针对这些问题,美国提出一系列解决方案,搬出了“爱因斯坦”和“凯撒大帝”等伟人命名项目计划来拯救网络安全,其中“信息安全持续监测ISCM”是方案中非常重要的策略。
那么什么是信息安全持续监测?
信息安全持续监视(ISCM - Information Security Continuous Monitoring)是美国信息安全职能部门之一国家标准与技术研究院(NIST)提出的概念。NIST根据2002 年《联邦信息安全管理法案》(FISMA)制定了三个有关ISCM的特别出版物,分别是SP 800-37、SP 800-53、SP 800-137。NIST总结了持续监测三个不同角度的定义,从广义范畴定义:持续监测旨在提供告警的不间断的观测。持续监测能力是对系统的运行状态进行不间断的观测和分析,以提供有关态势感知和偏离期望的决策支撑;从网络空间安全角度:信息安全持续监测是能够保持对信息安全、漏洞和威胁的持续感知,支撑组织机构的风险管理决策;从技术角度定义:持续监测是网络空间安全的一种风险管理措施,可维护组织机构的安全态势,提供资产可视化,数据自动化反馈,监测安全策略有效性并优化补救措施。
持续监测的机构视图
NIST SP 800-137从风险管理角度提出信息安全持续监测的三层机构视图,从上到下依次是机构层、任务/业务过程层、信息系统层。ISCM策略制定从上到下是细化落实过程,从下到上则是数据的收集、分析和报告过程。ISCM策略6个步骤:定义、建立、实施、分析数据及报告分析结果、响应、审查及更新。
持续监测的“凯撒(CAESARS)”参考框架
2010年4月,国土安全部(DHS)受美国行政管理和预算局(OMB)委任,建立了持续监测技术参考框架,即持续资产评估、态势感知和风险评分参考框架(the Continuous Asset Evaluation, Situational Awareness, and Risk Scoring, CAESARS)。框架包含传感器、数据库、分析/风险评分和展示/报告四个子系统。
“凯撒”扩展框架
CAESARS参考框架虽然提供了技术架构的基础,但也存在一些局限。2012年,NIST基于CAESARS参考框架进一步研究和改进,在NIST IR 7756中提出了CAESARS扩展框架。改进后的CAESARS FE框架包含6个子系统,分别是展示/报告子系统、内容子系统、采集子系统、数据聚合子系统、分析/评分子系统和任务管理器。另外,NIST IR 7799中对CAESARS FE框架的工作流、子系统和接口规范进行了详细定义,NIST IR 7800结合安全内容自动化协议(Security Content Automation Protocol, SCAP)对CAESARS FE框架的数据域约束和处理规范进行了详细的定义。
持续监测如何解决问题呢?
为判断网络安不安全,首先要有方方面面的数据来支撑进一步分析。持续监测的理念一方面强调持续,即以适当的频率收集数据;另一方面强调监测,即收集网络中的各种安全数据、状态数据等能体现安全态势的数据。通过多方面分析这些数据,对网络安全态势、风险等级进行评估,并将分析评估结果可视化,展现给管理网络安全风险的决策者。只有决策者全面了解了整个网络的安全状态后,才能结合机构的实际情况调整信息安全策略。单靠持续监测无法解决所有的安全问题,但可以让用户更了解自己的安全状况,不断改善安全策略,能够以积极主动的姿态防御安全威胁。
美国政府对ISCM干了些什么?
NIST原本建议ISCM任务由各联邦机构自行建设,国土安全部以避免各个单位自行建设成本问题名义,提出集中开发“持续诊断与缓解项目”(CDM - Continuous Diagnostics and Mitigation)具体落实ISCM策略。2013年11月,美国行政管理和预算局(OMB)发布了一份备忘录M-14-03,要求所有联邦机构建立信息安全持续监控(ISCM)机制, 国土安全部被委以重任协助所有部门和机构实施此项目,OMB要求所有联邦机构在2014年2月 28日之前完成CDM/ISCM策略的部署。CDM主要保护联邦民口机构的信息系统和网络免受网络攻击。CDM项目通过提供标准化工具和云服务(CMaaS)的方式,解决各联邦机构自行开发的成本和不统一问题。这些工具包括识别偏离基线的网络安全风险、区分风险影响的严重程度、促进网络安全人员解决最重大安全问题。SuperTEK公司承包了美国政府机构持续监控系统项目,项目要求能监控分布于全球的一百多万部设备信息安全。
ISCM实施效果受到质疑
2015年6月初,美国人事管理局(OPM)的电脑遭到大规模网络攻击,导致400万现任和前任员工信息被盗。中国“躺着中枪”,美国国家情报总监(DNI)詹姆斯•克拉珀声称中国是网络入侵的“头号嫌疑人”。这件事情引起舆论对国土安全部花费上百亿美元打造的网络安全计划的普遍质疑,其中就包括CDM项目。
【本文为51CTO专栏作者“中国保密协会科学技术分会”原创稿件,转载请联系原作者】