近日,网络安全和基础设施安全局《网络安全和基础设施安全局发布《安全云商业应用(Scuba):可扩展的可见性参考框架》,为组织提供可见性框架,以识别可用于识别和减轻威胁的可见性数据,了解特定产品和服务提供该可见性数据的程度,并确定潜在的可见性差距。
eVRF
网络安全和基础设施安全局(CISA)需要在各种联邦民事行政部门(FCEB)机构领域的可视性面。这种可视性面使CISA能够开发出可在整个FCEB中共享的洞察力,确保CISA能够识别威胁;防止潜在的攻击;并执行狩猎、事件响应和分析活动。
可扩展可视性面参考框架(eVRF)的目的是为组织提供一个框架,以识别可用于识别和减轻威胁的可视性面数据,了解特定产品和服务提供该可视性面数据的程度,并确定潜在的可视性面差距。
五大目标
目标1:传达对FCEB机构的要求,向CISA提供必要的数据,以保护机构网络、设备、基于云的环境、数据和系统。
目标2:使各机构能够(a)评估其收集相关可视性面数据的能力,(b)模拟其对CISA可视性面要求的覆盖范围。
目标3:提高合作伙伴的能力,将关键的可视性面概念纳入他们自己的威胁知情网络实践和安全基线配置中。
目标4:为各组织提供一个框架,以评估产品的能力和特征的可视性面,并描述各种产品可以填补的可视性面差距。
目标5:满足OMB M-21-31对CISA的要求,为各机构开发共享日志的模式提供指导,并开发和发布工具,帮助各机构促进其对日志成熟度的评估。
五大优点
提供了一个模型,用于描述代表一个组织的现代企业的广泛领域的可视性面。
为组织的态势感知提供信息,使组织能够优先收集和分析整个企业的可视性面数据,以最佳方式减轻威胁并改善其整体风险态势。
允许识别可视性面覆盖的差距,并使建立新的目标和/或系统配置能够解决可视性面需求。
在实施产品和/或其系统基线配置设置之前,通过提供关于可视性面和影响的观点,为采购决策提供信息。
提供一个动态的方法,随着生态系统的不断发展,它可以包括新的领域和遥测。
可视性
本节定义并介绍了关键概念,以确保用户对eVRF有一个共同的理解。为了促进理解,本节使用了一个高价值的物理资产的场景,以与网络系统和资产相提并论。
2.1 关键的可视性面概念
可视性
在其最普遍的意义上,可视性面一词描述的是可见的东西。CISA使用可视性面一词指的是(a)数字事件的可观察工件和(b)这些事件发生的数字环境的特征。通过收集和分析环境中可观察到的人工制品和特征,组织将拥有必要的数据来对威胁活动进行取证调查,并持续保持对活动的更好认识。可视性面数据的理想品质包括对相关数据的低成本和可扩展的收集,以网络相关的速度接收数据的能力等。技术可视性越深入、越广泛,企业就越有机会发现对网络、设备和数据的高优先级威胁。
可视性面提供了关于在特定环境中发生的活动的特定背景的洞察力。因为它是针对具体环境的,所以提供可视性面的数据类型在整个企业中会有所不同。例如,在以云为中心的环境中,最有用的可视性面可能来自云API活动日志,但对于移动设备行为的可视性面来说,生物识别事件日志可能更受欢迎。不同背景下的数据类型的异质性会使整个企业难以获得一致的可视性面。eVRF建议将企业划分为多个可视面,每个可视面以不同类型的系统为中心,有相关背景。
通过实施与NIST SP 800-53《信息系统和组织的安全与隐私控制》等标准相关的安全控制,许多可视性面机制已经被部署到整个企业架构中。虽然在一个组织的企业内的所有领域实施eVRF可能是一项漫长的工作,但捕获与现有安全控制要求相关的可视性面可以提高对工作流程的熟悉程度,并提高后续分析的效率。这也将使一个组织开始记录和了解目前存在的可视性面,以及可以将初步工作重点放置位置,以确定可视性面方面的差距。
可视性面
可视性面是指存在或应该存在网络可观察数据的数字环境,因此是可视性面的特定环境实例。就像攻击面是由许多不同的点组成的,系统可以从这些点被攻击,可视性面面是由许多观测点或视角组成的,系统可以从这些角度被观察。观测点提供了架构背景,它将可视性面与该领域常见的真实数据紧密联系起来。有助于可视面的网络可观察数据日志、配置设置、数据包等,对于提供恶意活动的证据至关重要。
图2:可视性面:数据存在或应该存在的环境
在eVRF中,可视性面允许组织确定哪些数据可用于识别系统中的威胁行为者战术、技术和程序(TTP)。除了识别相关的数据和TTP,每个eVRF可视面都是针对特定类型的数字环境(例如,云商业应用、工作站操作系统)。一旦定义了可视性表面的这些参数(见第3.1节),组织可以叠加额外的信息,以产生覆盖图,描绘一个或多个系统配置所提供的可视性。
观测点
观测点定义了给定领域中遥测源的架构位置。例如,以下是云架构中所有可能的观测点:云服务提供商(CSP)、云访问安全代理(CASB)、任何安全即服务(SECaaS)解决方案,以及整个虚拟网络位置。观测点可以是云或网络拓扑结构中的传感器定位,也可以是用于终端可视性面的特定主机。观测点可以在应用政策的同一架构位置,并且通常与政策执行点(PEP)和/或政策决定点(PDP)相关。观测点可以与数据保持一致,在数据入口处,或在一个域的数据出口处。从多个观测点收集遥测数据可以增加整个域的可视性广度。
图3:观测点:遥测源的结构位置
传感器
传感器在观测点收集遥测数据。多个传感器可以在同一个观测点上共处一地。应选择和部署传感器,以提供具体的洞察力。当它们共用一个观测点时,最好能产生互补的数据,相互增强和丰富。例如,一个组织可能在同一个观测点(网关)同时拥有网络应用防火墙(WAF)和下一代防火墙,这两个防火墙一起可以提供对网络活动的更大洞察力。
图4:传感器:放置在观测点上并提供遥测数据
可见度覆盖图
可视性面覆盖图描述了一个产品或组织通过提供相关的网络可观察数据来解决可视性面的能力。可视性面描述了环境及其相关数据和TTP的范围,而可视性面覆盖图则传达了可用数据对网络威胁活动提供足够可视性面的程度。
使用eVRF,组织通过使用eVRF工作簿创建覆盖图,以表明环境中当前或潜在的数据。组织可以为供应商的主要产品的每个实际或假定的分层日志级别创建覆盖图。组织应定期更新覆盖图,以准确描述快速变化的遥测选项。该工作簿将使用该输入产生一个彩色编码的可视化,显示哪些MITRE ATT&CK技术是由可用数据解决的。组织还可以显示指标,以表明每种技术的覆盖质量。在可视面中加强组织的覆盖图,为检测和缓解建立关键的安全事件背景。
图5:产品覆盖图:来自单一观测点和传感器类型的可见度
可视性面要求图
可视性面要求图是一种特殊用途的覆盖图,用于识别网络可观测数据,这些数据必须在各方之间共享,以实现共同的态势感知和使用(对于特定的可视性面)。可视性面要求图可以确定共享给定元数据的关键性、所需观测点和传感器输入的多样性,或其他"网络可观察数据质量"属性。
图6:可视性面要求覆盖图:共同态势感知的数据共享
通过使用可视性面要求图,一个权威组织(例如,CISA)可以向其他参与组织传达特定可视性面的遥测要求,同时对任何供应商的实施保持中立。随着他们对威胁的理解发生变化,随着领域内可视性面能力的发展,以及随着其他组织在自己的遥测使用方面的成熟(并减少对权威组织的补充保护的依赖),该组织应更新其需求图。
可视性面覆盖率比对
能见度覆盖比较由两个或多个覆盖图叠加在MITRE ATT&CK框架上,用于评估竞争性和/或互补性产品和服务。覆盖率比较图回答了这样一个问题:"对于哪种ATT&CK技术,产品/服务的组合能产生遥测数据?"可视性面覆盖率比较可以作为组织的现有技术或正在考虑部署的拟议架构的名义替补。在考虑竞争产品或多个安全架构时,组织可以创建可视性覆盖率比较;可视性覆盖率比较可以显示每个产品或架构设计中可用遥测数据的并排比较。可视性面覆盖率比较是确定遥测的优先级和遥测选项的投资回报的工具。它们是eVRF工作簿分析的高潮,用于产生高层次的见解。
2.2企业领域划分
一个组织的数字企业是广泛的;它包括许多不同的硬件设备、网络、虚拟环境、操作系统和应用程序。在工作簿中定义eVRF可视性面之前,将企业划分为不同的组成部分,以便为单个可视性面创建一个可管理的范围,是很有帮助的。在企业内有许多方法来分类或确定可视性面的范围,导致每个组织采用不同的方法,因为他们可能需要考虑具体的特征、结构或其他考虑因素。
将一个企业划分为不同的组成部分,将有助于创建一个现有观测点及其相关传感器的综合清单。首先,将领域、观测点和传感器的关系以分层的方式可视化是有帮助的,如图7的例子所示。传感器被分组在观测点内,而观测点则与域对齐。
图7:域的层次结构
一个组织应该选择一组共同的属性,将其范围扩大到一个有指定标题的域。由于域是共享观测点(传感器的架构位置)的集合,这通常与使用中的部署模型紧密相连。因此,网络拓扑结构、数据转发路径和服务交付模式都可以帮助告知域的范围(任何给定的观测点是否在其中或在外)。图8说明了"远程工作"和"电子邮件"是如何用于识别组织内的一组观测点的。
图8:远程工作和电子邮件域的组成部分
在企业被划分为域之后,创建可视面的过程被简化了,因为观测点和传感器已经被识别和分组。有许多可能的共同属性,可以用来将一组域划分为可视面。示例包括:
物理位置
组织结构
行政领域
共享信息
现有的逻辑分组
如图 9所示,可视性面可能包括也可能不包括域的每个确定的观测点。能见度面的范围和详细程度都将决定其与特定领域的交集程度。类似于企业可以被分割成多个域来管理复杂性,利用多个可视性面可以帮助管理eVRF可视性面特征的工作量。
图9:可见度面范围
在这个例子中,"电子邮件"域包括"云租户"以及"云反向代理"架构位置的候选观测点。这些架构可以被评估为包含在可视面范围内,并根据所需的共同属性包括或排除。在这种情况下,可视面范围试图最大限度地提高多个组织的重复使用,并将覆盖范围限制在单一的服务提供商。因此,可视面三包括"云租户"的观测点,但确定"云反向代理"不会总是出现,因此将其排除在特征描述之外。
生成eVRF工作簿
eVRF工作簿定义了特定的可视性面,使企业能够为计划中或实施中的系统配置制作自己的可见性覆盖图。通过使用工作簿来确定他们环境中可用的可见性数据,组织可以确定可见性差距并设定可见性要求。供应商也可以提供特定产品的可见性覆盖图,以表明个别产品或产品层级所提供的可见性。
eVRF工作簿提供了一种灵活的方式来创建和编辑可见度表面定义和覆盖图。目前正在开发一个互动的工作簿应用程序。随着组织开发每个工作簿,能见度覆盖图将在工作簿中被填充。这些地图将提供一个快速的视觉参考,显示覆盖范围内的潜在差距。图10显示了如何为每个可见度表面开发几种类型的可见度覆盖图,以及每一层如何提供独特的见解。
CISA可见性要求图: CISA可见性要求覆盖图是由CISA开发的,以显示遥测的生成、收集和处理要求。
产品覆盖图: 产品覆盖图可以由供应商或服务提供商开发,以显示他们的解决方案的可见性如何影响ATT&CK TTPs。
环境覆盖图: 环境覆盖图描述了组织的已建或待建环境的特点,可以使用一个或多个产品覆盖图制作。环境覆盖图考虑产品配置和许可水平等因素,以准确反映组织实施可见性产品所提供的可见性。
在得出覆盖图后,一个组织可以通过结合多个覆盖图来生成可见度覆盖比较。能见度覆盖比较可用于分析和产生洞察力。
3.1 工作流程流程概述
eVRF工作流程描述了建立能见度表面和构建覆盖图以评估环境中可用的能见度的过程。该过程分为三个阶段:图11显示了eVRF的工作流程。以下各节对这些阶段进行了详细的描述。
第1阶段:定义可见度表面: 在这一阶段,创建可视性面定义,建立表面边界并确定所需的可见性数据。可见度面可以用一个或多个观测点来定义,每个观测点包含一个或多个传感器。许多组织将选择使用现有的可见度表面定义,而不是创建一个自定义或新的定义。
第2阶段:制作能见度覆盖图: 在这一阶段,制作一个覆盖图来描述选定的环境,以表明可用数据是否提供了所需的可见度。一些组织可能会选择制作多个覆盖图,以表明环境中不同部分的不同可见度水平。许多组织会选择根据供应商提供的覆盖信息来制定覆盖图。
第3阶段:为分析和洞察力产生可见性覆盖率的比较: 在这个阶段,组织分析覆盖图,以确定覆盖范围的差距,为必须收集的新的可见性数据建立目标,或产生其他操作或业务洞察力。企业可以通过结合一个以上可视性面的覆盖图来产生和整合环境的多个部分的覆盖比较。
图11显示了eVRF的工作流程。下面的章节更详细地描述了这些阶段。
第1阶段:定义可视性面
组织可以选择使用现有的可视面定义,例如由CISA发布的定义,或者他们可以选择创建一个新的定义。随着已建立的可视面定义集的增加,对新定义的需求将减少。在实践中,一个能见度面可以有一个或多个观测点,每个观测点包含一个或多个传感器的范围。每个eVRF工作簿都需要定义将在该工作簿中检查的可见度面。
每个能见度面的定义都确定了以下内容:
范围:确定可见度面所包括的数字环境的界限。相关数据:确定需要哪些类型的数据来提供威胁行为者TTPs的证据。
ATT&CK矩阵:确定与该环境相关的ATT&CK技术。
ATT&CK与数据的叠加:确定哪些ATT&CK技术是由相关数据类型解决的。
创建覆盖图的模板:通过生成数据输入模板,为后续阶段做准备,以确定系统的特征。要使用现有的可视性面定义,找到相关的eVRF工作簿(例如,云业务应用),并跳到第2阶段。
要创建一个新的可视性面定义,从一个空白的eVRF工作簿模板开始,进行五个连续的活动,将所需信息填入工作簿,如下图12所示。
图11:eVRF工作流程第1 阶段
阶段1,步骤1:确定可视面的范围
确定可视面定义中要捕获的环境范围。既要考虑环境的类型(例如,云业务应用、端点检测和响应能力),又要考虑技术栈内适当的颗粒度(见图13)。在评估可见性时,技术栈中的每一个增量都提供了更多的细节和更高的精度。然而,它也限制了可视性表面的范围,减少了重复使用的机会,并需要为全面的生态系统意识定义额外的可视性表面。可见度表面的范围可能会限制考虑ATT&CK子技术的数量。组织在创建可视性面时,应考虑所有ATT&CK子技术。
图12:能见度表面范围的例子
第1阶段,第2步:确定相关的能见度数据
创建一个适用于可视性面的数据清单。为了产生有效的可视性面定义,这项活动必须确定技术领域的可见性所需的所有数据。
组织可能需要让几个专家参与这项活动,以确定必要的数据。包括那些对范围内的技术有全面经验的专家,以及能够确定用于对这些技术进行取证分析的数据类型的网络安全专家。技术和威胁环境的变化可能需要对清单进行修改以保持准确性。各组织应将数据清单分为四组,详细程度越来越高:
类别:确定系统中存在网络可观察数据的组件(即应用程序、软件、服务等)(例如,电子邮件、文档管理)。
事件:确定在定义的组件中发生的过程(例如,接收收到的电子邮件,发送出去的电子邮件)。
描述:提供有关被记录的活动或数据的额外细节或说明。
第1阶段,第3步:选择ATT&CK矩阵
确定与环境相关的ATT&CK技术,可能使用预先定义的MITRE ATT&CK矩阵(例如,传统或云)。
另外,各组织可选择在"子技术"层面而非"技术"层面进行评价,以提高其eVRF评价的真实性。如果一个组织选择评估子技术,只需要包括相关的子技术。通过这种方式,组织可以扩大可见度评估的保真度,以适应每个组织的需求和风险状况。
第1阶段,第4步:创建ATT&CK to DATA叠加数据
审查步骤2中确定的可见性数据,并确定这些数据是否能够为每一个ATT&CK技术提供可见性。捕获这些评估,并使用它们来创建ATT&CK-to-Data叠加。与步骤2一样,组织可能需要让技术和网络安全专家参与这项活动。完成的覆盖图确定了可视面的相关可见性数据。即使没有创建eVRF工作流程的第2和第3阶段所描述的可见性覆盖图和可见性覆盖比较,这种覆盖也可以提供有价值的洞察力,以指导关于如何使用日志数据来识别威胁活动的决策和意识。
第1阶段,第5步:为覆盖图创建数据输入模板
建第2阶段的模板,各组织将使用这些模板来描述其环境特征并确定可用的可见性数据。在第二阶段,企业将使用该数据输入表来表明其环境中的每个服务或应用是否提供了所需的可见性数据。由此产生的信息将被显示为可见性覆盖图。
第2阶段:制作可见性覆盖图
可见性覆盖图使组织能够分析和交流有关数据在特定环境中提供的可见性的信息。组织可以使用eVRF工作簿来制作覆盖图。组织可以选择重复第二阶段来创建多个覆盖图(例如,检查可视性表面的不同实现,或详细说明不同产品提供的可视性覆盖)。可见性覆盖图可以有多种形式,包括:
CISA能见度要求覆盖图: 对于每个能见度表面,CISA可以选择创建一个覆盖图,反映FCEB机构与CISA持续或按要求分享能见度数据的要求,并确定收集和使用遥测数据的优先次序。
产品覆盖图: 供应商可以选择创建覆盖图,说明哪些产品层级和配置设置可以为特定能见度表面的ATT&CK技术提供能见度。
环境覆盖图: 一个组织可以选择创建覆盖图,以了解目前有哪些数据可用于支持内部网络安全操作,或为改善可见性覆盖设定目标。
比较覆盖图: 一个FCEB机构可以创建覆盖图,说明他们计划与CISA共享哪些数据,以支持CISA的任务目标。
图13:可见度要求、产品和环境覆盖图
图14:覆盖率比对图
与eVRF工作流程中的早期活动一样,让一个专家团队参与制作可见性覆盖图的这一阶段可能会有帮助。为了制作准确的覆盖图并得出有价值的见解,eVRF工作簿必须准确地捕捉环境中的技术。包括组织中具有配置相关技术的专业知识的人。要创建可见性覆盖图,首先要有一个包含完整可视性面定义的eVRF工作簿(见第1阶段)。创建可见性覆盖图包括四个步骤,如图16所示:
图15:eVRF工作流程第2阶段
第2阶段第1步:为覆盖图特征选择环境
从第1阶段第5步的结果开始,确定哪些服务或应用支持可见度表面。在这一步骤中确定的服务将是描述整个能见度表面覆盖情况的基础,因此必须仔细考虑在覆盖图中包括哪些能见度来源。
第2阶段,第2步:确定环境中的可用数据
对于每个服务或应用程序,确定产生了哪些日志,可以提供系统级和用户级事件的可见性。一个服务或应用将包括一个或多个传感器的观测点。例如,在云业务应用的可视面定义中,相关服务和应用可能包括电子邮件应用,其中包括邮件流日志、邮箱审计日志等;防病毒服务,其中包括恶意软件保护日志;云访问服务,其中可能包括身份保护日志和云访问安全代理日志;以及底层云平台服务,其中包括明显的事件日志。
第2阶段,第3步:将可用数据映射到可视性表面
在确定了可用的日志源之后,审查实际的日志数据,以验证日志是否提供可视性面所指定的元数据。对于环境中的每个日志源,输入每个元数据的覆盖范围,以表明日志是否提供该数据。继续下去,直到所有的日志源都被解决。当这一步骤完成后,所产生的工作成果为整个可视性面提供了详细的、应用层面的可见性覆盖。
阶段2,步骤4:可视化环境覆盖图结果
此步骤产生覆盖图。这个覆盖图是由第2阶段的前几个步骤中提供的环境特征得出的,它代表了可视面环境中所有服务和应用的可视性覆盖的摘要视图。使用颜色编码来表示每个ATT&CK技术的可见性覆盖:
表1提供了可见性覆盖率的评分标准。
表1:可见性覆盖率评分标准
在eVRF工作流程的下一阶段,将对第二阶段第4步覆盖图提供的结果进行分析,并与其他覆盖图进行比较,以确定对现有覆盖的洞察力,或回答与业务决策或运营可见性有关的问题。
第3阶段:为分析和洞察力生成可见性覆盖比较
在eVRF工作流程的最后阶段,组织通过结合多个覆盖图创建可视性覆盖比较,以进行分析和产生见解。组织可以利用可见性覆盖率比较来进行:
识别可见度覆盖的差距
为收集新的可见度数据确立目标
识别系统配置的潜在更新
为采购决策提供信息
在实施前执行 "如果 "方案
增加产品供应以提供更广泛的可见性
识别冗余或重复的可视性
为了产生有价值的见解,首先要有一个eVRF工作簿,其中包含完整的可见度表面定义(见第1阶段)和完整的可见度覆盖图(见第2阶段)。从覆盖图结果产生分析和洞察力的建议过程包括图17中显示的五个步骤:
图16:eVRF工作流程第三阶段
第3阶段,步骤1:收集相关覆盖图
收集要在分析中检查或比较的覆盖图。能见度覆盖比较允许一个组织汇总或比较多个覆盖图进行分析;每个可见度覆盖比较需要两个或更多的覆盖图。如第2阶段所述,可能有许多类型的覆盖图可供选择。进行分析的组织可以为这项活动创建所选择的覆盖图;或者供应商或合作伙伴可以提供覆盖图以支持比较或目标设定。
各组织应根据自己的使用情况,定制选择覆盖图。例如,一个想要了解收购决策的权衡的组织可能会选择将描述该组织现有环境的覆盖图与描述新产品可用覆盖范围的第二个覆盖图相结合。这将产生一个可见性覆盖率的比较,突出产品提供的潜在可见性改进以及覆盖率的剩余差距。
各组织将使用为这一步骤选择的覆盖图来创建能见度覆盖比较叠加图,以便在整个eVRF工作流程的其余部分进行分析。
第3阶段,第2步:创建和分析可见度覆盖比较
通过比较两个或多个覆盖图,创建一个或多个可见度覆盖比较。创建能见度覆盖比较目前是一个手动过程,在eVRF工作簿的未来版本中可能会更新和简化。目前创建能见度覆盖比较的最简单方法是将每张覆盖图并排排列,以比较彩色编码的能见度覆盖图。
使用可见性覆盖率比较,分析人员可以看到在每个单独的覆盖图中,哪些ATT&CK技术没有被覆盖,哪些被全部覆盖,或者哪些是日志源的子集。例如,对于寻求比较多个产品套件的可见性的组织来说,可见性覆盖率比较可以通过突出显示一些或没有日志源提供可见性的情况来显示哪里存在覆盖差距。同样明显的是,有些产品提供了更完整的可见性,而其他产品没有。
为了说明其他潜在的分析用例:
一个组织可以使用可见性覆盖率比较,以了解将产品或服务添加到一个已实施的环境中的效果。该比较可以说明冗余的可见性或需要一个或多个额外的产品来解决剩余的覆盖差距。
一个组织可以使用可见性覆盖率比较,将已实施的产品配置与最佳产品配置(例如,由供应商提供的覆盖率图描述)进行比较。这种比较可以为改变配置设置、升级产品或购买新产品以解决覆盖面差距的决策提供信息。一个部门或机构可以利用可见性覆盖率的比较来更好地了解他们的实施环境与CISA的可见性要求相比所提供的覆盖率。这种比较可以为有关新产品的决策提供信息,这些产品可以解决覆盖面的差距和缓解策略。
CISA或其他组织可能希望使用能见度覆盖率比较来比较许多组织的覆盖图中的相同能见度表面。这种比较可以为 CISA 可能想要优先考虑的新分析工具集或事件响应活动提供决策依据。
第3阶段,第3步:建立新的可见性目标
组织应设定目标,以改善或解决在覆盖面比较中发现的可见性差距。一些目标也可能是由识别冗余的可见性和改善资源使用的机会所驱动。在这种情况下,组织应该考虑那些看起来为同一技术提供冗余覆盖的日志的细节--它们可能并不像看起来那样冗余。
此外,威胁形势的变化,如威胁者利用新技术和子技术,可能会启动新的可见性目标。随着威胁者采用这些新方法,组织应努力保持相关的可见性。
第3阶段,第4步:对系统或环境进行更新
一般来说,能见度目标的解决方案通常涉及确定新的配置设置、产品升级、功能增强、或额外的产品或业务合作伙伴,它们可以提供所需的能见度以解决覆盖范围的差距。在冗余或重复的可见性或服务使用的情况下,解决方案可能是减少许可、产品使用,甚至简化架构。
第3阶段,第5步:使用新数据重复eVRF过程
当特征环境被修改、威胁环境演变或影响使用中的覆盖图的其他变化发生时,组织应修改相关可见度表面定义、可见度覆盖图和可见度覆盖比较。这些eVRF组件应该是活的人工制品,如果定期重新检查,可以继续为组织的当前可见性态势和改善可见性态势的机会提供有价值的洞察力。
3.2 为eVRF 工作流程提供指导
可视性面
本指南中描述的工作流程旨在为各组织采用eVRF 并对企业内的可见性进行分类提供高层次指导。本指南定义了完整的eVRF 流程,包括创建一个新的可视性表面,这是eVRF流程的第一步。如果还没有定义可视面,企业需要继续定义和创建可视面。然而,在大多数情况下,组织可能会建立在现有的可视性面的定义上。
如果一个组织找不到符合该组织需求的预定义表面,它可以定义一个可视性面。eVRF流程包括定义可视性面和域的灵活性。为了帮助减少定义可视面的复杂性,组织可以从利用已经获取的有关其企业的现有架构信息开始(例如,为支持符合NIST SP 800-535或其他安全控制实施指南而创建的文件)。通过首先考虑与组织的任务或业务相关的最重要的系统来确定系统的优先级,将在短期内为组织提供最大的价值,并允许在整个组织的企业中逐步实施eVRF流程。利用现有的架构信息,以及对最关键的系统进行优先排序,可以更容易地对可视性表面的生成进行定制,并可根据组织的资源情况进行调整。
同样,当一个组织希望拥有比现有可视性面更全面的范围时,他们可以首先继承预先定义的可视性面,然后根据需要扩大范围。
覆盖图
覆盖图的使用也是eVRF过程的组成部分。如同可见度表面,组织可以利用外部各方已经生成的覆盖图。这可以节省一个组织的时间,并确保与其他eVRF利益相关者保持一致(促进组织间的分析和比较)。覆盖图可以由供应商、类似组织或行业领导机构编写。当一个组织考虑是否利用另一方编写的覆盖图时,他们应该考虑多种因素,包括地图的准确性、可靠性、与他们选定的可视面范围的一致性,以及他们使用地图的具体意图。
与其为可视面定义自定义配置,组织可能会发现利用既定的可视面定义及其相关的通用供应商覆盖图是有帮助的。然后他们可以只考虑与他们的用例相关的质量或属性。这种方法可能会被证明比重新定义可视性表面的范围,然后研究所有候选产品并为每个产品生成供应商覆盖图更有效。
3.3 eVRF的组织整合
识别可见性差距
eVRF过程为组织提供了一种机制,以密切了解他们的架构中目前存在哪些可见性。通过使用eVRF可见性覆盖率的比较,组织可以确定可见性差距,突出目前可能没有在系统中捕获的遥测。可能有这样的情况:系统和/或应用功能可以简单地打开,或者可能需要补充应用或服务来实现所需的洞察力。有了对现有可见性的清晰了解,企业可以全面考虑如何改善整个企业架构的整体网络安全态势。
提高资源使用效率
用有限的资源确定安全需求的优先次序是一个持续的挑战。从eVRF过程和其他综合努力中得到的产出可以帮助确定这些资源的优先次序。这可以让企业将可视性的见解与其他基础设施设计元素结合起来,以提高效率,减少重复生成的遥测数据,并尽量减少冗余的日志收集。这种更深入的知识还可以帮助推动架构设计决策,以确保可见性与组织目标和预期威胁相一致。
支持零信任
企业正在从基于静态网络的周边防御转向更动态和整体的安全架构。这些零信任架构包括对用户、资产、数据和应用程序的网络安全保护。为了支持向零信任架构的过渡,CISA开发了一个零信任成熟度模型。在这个成熟度模型中,"可见性和分析"被确定为每个网络安全支柱(身份、网络、应用、数据和设备)的交叉组成部分,这意味着组织有责任确保这些支柱的可见性覆盖。组织对可见性覆盖的评估应导致在缺乏覆盖的地方进行架构改进。这将普遍存在于企业范围内的可视性表面重叠的情况下。组织可以将eVRF工作簿的覆盖图分层,并将其他数据纳入其分析中。
CISA对eVRF的使用
CISA在本节中的使用案例描述了CISA将如何与FCEB机构一起使用eVRF,并提供了一个CISA、供应商或服务提供商以及各机构之间的活动和互动的例子,因为他们通过本指南中的一般工作流程进行工作。本节重点讨论各机构应如何为CISA提供政府系统的可见性。
理想情况下,每一方都会在各组织之间发展一个迭代过程,以提供富有成效的对话和共享成熟度。这将加强合作,以便随着时间的推移改进反馈和完善需求、产品和系统。
4.1 机构和CISA对eVRF的好处
FCEB机构在采用该框架时,将获得第1.2 节中提到的eVRF 的好处。此外,各机构将从使用eVRF 来满足CISA 的可视性要求中受益,具体方式如下:
通过加强可视性的风险分析,各机构将对其整体安全状况有更好的了解。
各机构将能够更好地分析在其企业环境中存在的可见性差距。
机构将对覆盖范围内的差距和潜在的风险有更多的了解,为资源分配的决策过程提供信息。由于一个机构的可见性得到更好的理解,他们将有更好的条件来识别和减轻潜在的威胁。
所有机构和CISA都从扩展的可见性中受益。跨域的额外遥测功能的加入,增强了事件响应和持续猎杀能力。
使用这种模式有助于CISA聚集和关联威胁数据,帮助及时发现联邦企业系统面临的攻击活动,使所有机构受益。
妥协指标的频率和可用性是由更多的威胁信息和可用数据集驱动的。因此,与eVRF可见性要求覆盖图保持一致,将使CISA更好地了解情况和提供破坏指标。
各机构可以利用 eVRF来帮助满足 OMB M-21-31 的记录要求。
4.2 角色和责任
在FCEB机构领域内的可见性有助于确保CISA能够识别威胁;防止潜在的攻击;以及执行追捕、事件响应和分析活动。此外,这种可见性使CISA能够在FCEB机构领域内发展和分享有价值的见解,这为各个机构提供了宝贵的网络安全利益。虽然本指南没有指导或要求具体的行动(特别是供应商),但本节大致描述了CISA、各机构和供应商/服务提供者为成功实施eVRF所能承担的角色和责任。
CISA的作用
首先,CISA负责制定eVRF并向其他机构传达指导意见,包括遥测需求确定过程的规范和FCEB机构领域的遥测数据要求。CISA分析FCEB安全事件和遥测数据。这项责任指导eVRF可见性要求覆盖图定义的发展;CISA提供eVRF可视性面定义,供FCEB机构在解决方案开发和所需的遥测共享方面考虑。这可以确保FCEB机构能够理解CISA的eVRF可视性目标和限制。CISA还负责更新可见性要求,以反映威胁形势的变化、解决方案的演变、FCEB机构对技术能力的反馈,以及其他方面,以适应当前和未来的遥测需求。图18显示了CISA在eVRF工作流程中的作用。
图17:eVRF工作流程中的CISA角色
机构的作用
FCEB机构负责使用基于eVRF的指导,以告知其内部政策,并酌情提供与机构网络安全需求和/或风险管理规划的一致性。FCEB机构负责采用CISA制定的可视性面定义,并确保在需要时提供可见性数据以支持CISA。为了支持CISA未来潜在的调查需要,各机构将需要持续保留和报告遥测数据。FCEB机构有责任评估其收集相关能见度数据的能力,并制定一个计划来满足CISA的能见度要求。FCEB机构有责任确保按照CISA提供的eVRF指南在每个领域内配置遥测生成;这将确保FCEB机构的安全事件和遥测报告符合CISA的要求。FCEB机构有责任更新其建成后的可视性覆盖图,以反映其环境的变化。图19显示了eVRF工作流程中的机构角色。
图18:机构在eVRF工作流程中的作用
供应商和/或服务提供商角色
供应商和/或服务提供商可选择为其产品和服务制作可见度覆盖图,并更新其可见度图以反映其产品随时间的变化。图20显示了eVRF工作流程中的供应商角色。
图19:eVRF工作流程中的供应商角色
4.3 FCEB工作流程示例
图21显示了CISA工作流程周期所需的三个实体。当每个实体通过流程工作并产生数据时,每个实体与其他实体互动,以完善和改进数据。随着时间的推移,可能会有更多的遥测数据出现或发生变化,随着技术、实施和目标需求的变化,所有各方都应更新其数据。
CISA在每个工作簿中提供了其对可视性面定义的要求。各机构可以与他们的供应商合作,为每个环境中存在的可见性遥测提供输入。各机构将这些信息提供给CISA进行审查和反馈。为了向机构提供更多的信息,供应商(或服务提供商)可能希望为他们的产品填充相关数据,以确定可用的遥测。在采购范围之外,供应商可以选择向CISA提供这些数据,以使CISA能够根据CISA的要求评估产品的遥测技术。
FCEB机构使用该工作簿来获取现有遥测系统的现状,并向CISA 提供所需的遥测数据。各机构可与CISA和供应商合作,确定可视性的差距,并确定如何改进可视性有限的领域。当一种产品不能完全提供所需的可视性时,分层的另一种产品可以帮助填补这一空白。各机构可能会使用多个供应商的产品和服务来协助了解潜在的解决方案。
工作流程
CISA的工作流程遵循图22中所示的任务。这个工作流程代表了CISA、供应商和FCEB机构在之前描述的eVRF和具体部分与eVRF工作流程相一致的特定任务。
图21:CISA工作流程的任务
CISA第1阶段,第1步:确定可见度面的范围
CISA将酌情公布能见度面。对于CISA发布的每个可见度表面,CISA将首先定义可见度表面的范围,并完成对规定的详细程度的描述。当CISA决定下一步定义哪个能见度面时,它将考虑许多因素,包括M-21-31附录C表5中定义的日志类别。
CISA第1阶段,第2步:确定相关的可视性数据
CISA确定每个事件和类别所需的元数据。表2显示了在一个通用商业应用套件的工作簿或工具中捕获的一部分可视性表面数据的例子。
表2:可视性面示例
CISA第1阶段,第3步:选择ATT&CK矩阵
有了可见性数据的定义,CISA就可以为给定的应用选择所需的与MITRE ATT&CK技术集的映射。一个MITRE ATT&CK矩阵可能已经存在于给定的产品中。CISA可以选择使用MITRE的现有矩阵,自己制作,或者选择一套不同的标准来映射。表3提供了一个战术、技术和子技术的样本。
表3:ATT&CK的战术、技术和次级技术的例子
CISA第1阶段,步骤4:创建ATT&CK,数据覆盖层
CISA确定给定产品与ATT&CK技术的可见性映射。对于每个事件,CISA确定每个事件和相关数据是否会对ATT&CK技术的每个元素和每个战术中的子技术提供可见性。如果元数据提供了可见性,"是"就被输入到本例的相关字段中。表4的右边显示了映射情况。
表4:可见性数据与ATT&CK技术的叠加示例
CISA第2阶段,第2步:定义可见性要求
CISA将确定可见性数据的可见性要求例如,CISA将为每个事件的每组元数据确定周期和优先级;提供给CISA的遥测数据将符合这些规定的要素。
例子中的数值是作为占位符输入的,并不打算代表对这组信息的任何分析。
周期性选项是持续的或应要求的。"持续"定义了各机构应定期向CISA提供元数据;CISA将与各机构协商细节。这种遥测数据将是自动提供的,或者根据数据以固定的频率提供。CISA将对这些信息进行持续的分析,用先进的分析方法来帮助识别机构实施的架构内的恶意活动。各机构将保持"应要求"的遥测;如果情况需要,(例如,根据分析结果或其他指标),CISA可以向该机构提出要求,提供额外信息。这将使CISA能够帮助该机构进行更深入的分析,寻找其系统被破坏的其他指标。
为了帮助分配资源以满足数据请求,CISA将为每个能见度元素分配一个优先级别(级别为0、1、2;0为最高,2为最低)。CISA在确定每个事件的优先级时,可以考虑能见度目标与能见度面的映射。根据OMB的记录要求文件,优先级的确定应该集中在高影响的系统和高价值的资产。根据一个机构的具体架构,可能需要进行额外的优先排序。应将工作重点放在满足优先级为0的请求上。如果不能提供一套特定的元数据,该机构应与CISA协调,实施一个工作解决方案。
表5的右侧显示了工作簿中的能见度要求以及相关的能见度表面信息。在向各机构提供工作手册之前,CISA将用CISA的要求预先填入工作手册的这一部分。这构成了一个特殊用途的覆盖图,专门用于CISA对主体能见度表面的要求。
表5:CISA能见度要求示例
供应商阶段2,步骤1:选择覆盖图特征的环境
供应商可以确定哪些服务或应用程序支持可视性面。
供应商阶段2,步骤2:确定产品中的可用数据
随着可见性映射的完成和CISA可见性要求的确定,CISA向供应商提供工作手册(CISA-阶段1,步骤5)以确定其产品对ATT&CK技术的可见性映射。对于每个事件,供应商可以通过在工作手册的相关字段中写上"是"来表明是否存在元数据,以提供ATT&CK技术的每个元素和每个战术中的子技术的可见性。随着eVRF流程和工具的成熟,供应商可能会提供更多的信息,如可见度的级别完成后,供应商可以向CISA提供完整的工作簿以进行裁决。CISA将审查所提供的信息,寻求对任何问题的澄清,并更新其流程以纳入供应商的意见。表6提供了一个产品可见性映射的例子。
表6:产品可见性映射示例
CISA第1阶段,第5步:创建覆盖面图的数据输入模板
CISA可以使用供应商提交的信息,如果有的话,以更新和改进CISA的可见性要求。然后,CISA为第二阶段创建模板,各机构将使用这些模板来描述他们的环境特征,并确定可用的可见度数据。
机构第2阶段,步骤1:选择环境进行覆盖图特征分析
机构确定哪些服务或应用程序支持可视性面。
机构第2阶段,步骤2和3:识别并将可用数据映射到可视性表面
机构将使用工作簿来确定其系统架构中的可用可视性。这将是对所有机构的系统和与每个可视面相关的供应商产品的审查。在每个领域内,该机构将确定部署了哪些观测点和传感器,它们有哪些遥测数据,以及目前是如何采集数据的。如果该机构目前没有收集遥测数据,该机构应考虑努力完善架构,以获取遥测数据或提供CISA批准的替代方案。在机构无法提供遥测数据的情况下,机构人员应与CISA合作,商定前进的道路。
确定发送给CISA的遥测数据
根据机构的结构和能见度的确定,机构将确定与能见度表面和要求相关的适当遥测数据,以发送至CISA。FCEB机构可能要参考CISA能见度要求覆盖图,以便机构提供能见度数据。对于每一项能见度数据,该表包括一个优先级排名,并说明该数据是否应持续提供,或是否应根据要求向CISA提供。各机构也可以参考NCPS云界面参考架构第1和第2卷,了解有关遥测生成、处理和向CISA报告的细节。
机构第2阶段,步骤4:可视化环境覆盖图结果
作为第二阶段的一部分,各机构可以生成针对本机构的覆盖图。实施的遥测可用性是基于产品软件的选择,并映射到ATT&CK的覆盖图上。这将代表由于未使用或未完全实施的应用而存在的任何差距。在图23所示的示例地图中,当CISA指定与事件相关时,实施的覆盖范围不存在的技术,该技术的元数据将用黄色阴影表示与定义的可见度表面的偏差。
图22:覆盖面比较-环境到产品
CISA 第3阶段:分析机构遥测数据
CISA将检查其收到的遥测数据,以确保与该机构指定的信息一致。CISA将与该机构合作,解决传输中的任何问题。这将是一个持续的核查,以确保遥测信息与规格一致。然后,CISA将审查该机构提供的遥测输入,以确定差异,并与该机构合作解决遥测方面的差距,以确保CISA收到所需的可见度遥测。这将是一个经常性的过程,因为该机构会更新可提供给CISA的信息,并对其结构进行修改。
机构第3阶段:为分析和洞察力生成能见度覆盖比较
第2阶段生成的覆盖图将有助于建立更广泛的能见度覆盖比较,以确定与其他产品弥补这些差距的机会。
4.4 FCEB对能见度覆盖率比较的使用
每个利益相关者将以不同的方式使用能见度覆盖比较。从根本上说,每个能见度覆盖率比较显示的是覆盖图的总和,代表多个产品或服务的遥测。
能见度覆盖比较的多功能性允许对机构的遥测以及供应商提供的遥测来源进行评估。能见度覆盖率比较可以用来比较两个不同的服务集合或两个不同机构的相对实力。最终,能见度比较的广泛使用将提供更明智的决策,使整个FCEB的遥测覆盖的广度和深度最大化。
机构
一个机构可以通过多种方式使用可见性覆盖率比较来分析和改善其防御态势。一个机构应在内部保持一个单一或多个可视性覆盖比较的综合版本,以评估其作为一个组织或一个部门的网络安全态势。对机构可见性覆盖率比较的简单分析可以迅速传达出遥测方面的差距和重叠。每个机构都将向CISA提供可视性覆盖率比较,至少要有ATT&CK框架覆盖率的最低要求的细节。
一个机构可以自行或与CISA协调,将其目前的能见度覆盖比较与CISA建议的遥测覆盖进行比较。一个机构的可见度覆盖率比较中的差距反映了实施机构的应用中的差距。有些可能在CISA支持的服务产品中被覆盖。CISA建议利用其eVRF对可见性的洞察力来确定哪些产品最能加强该机构的整体态势。即使CISA的联邦服务产品与一个机构目前的覆盖范围重叠,使用CISA的服务仍然可以提供好处,如联合威胁共享或与其他CISA支持的产品更无缝的整合。各机构不会将所有可用的数据输出到CISA,但通过这一过程,将帮助机构确定在哪些地方有遥测数据可用,以提供对其网络上潜在恶意活动的洞察力。
这个过程也将有助于通过工作簿中生成的覆盖图来确定可能存在的差距,以及确定机构可能想要集中力量加强其架构的潜在领域。可见性覆盖率的比较代表了产品套件中可用的东西和已经实施的东西之间的差异。当产品套件提供遥测选项时,实施的覆盖范围不存在的技术将以红色阴影显示,表明该机构可能有一个机制来填补这些差距。
CISA
CISA将使用可视性比较来为其要求各机构持续或按需提供给CISA的遥测清单提供经验信息。CISA内部的组织将使用可见度覆盖率比较,以告知在分析工具集或事件响应参与活动中应优先考虑哪些遥测技术。随着时间的推移,CISA将根据某些产品或服务组合的概况,建立推荐的可见性覆盖比较。CISA将能够显示理想的可见度覆盖率比较和机构当前的可见度覆盖率比较之间的差异,并提出具体的缓解建议。供应商
企业商业应用或云安全软件的供应商将从其产品的明确安全评估标准中受益。利用采购范围之外的方法,供应商可以完成eVRF工作簿,以描述其产品和服务提供的遥测。作为迭代和持续改进过程的一部分,供应商可以与CISA合作,确定在元数据不可用的情况下如何满足信息需求。
结论
eVRF为CISA、FCEB机构和其他合作伙伴定义了概念、要求和机制,以确定、描述、收集和应用可见性数据,以减轻威胁。eVRF使用多种工作产品来定义和描述关键概念、角色和责任以及工作流程;确定了定义可见度表面的机制;并使各组织能够制作自己的可见度覆盖图和可见度覆盖比较。
声明:本文来自天极智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
