近日,網絡安全和基礎設施安全局《網絡安全和基礎設施安全局發布《安全云商業應用(Scuba):可擴展的可見性參考框架》,為組織提供可見性框架,以識別可用于識別和減輕威脅的可見性數據,了解特定產品和服務提供該可見性數據的程度,并確定潛在的可見性差距


eVRF

網絡安全和基礎設施安全局(CISA)需要在各種聯邦民事行政部門(FCEB)機構領域的可視性面。這種可視性面使CISA能夠開發出可在整個FCEB中共享的洞察力,確保CISA能夠識別威脅;防止潛在的攻擊;并執行狩獵、事件響應和分析活動。

可擴展可視性面參考框架(eVRF)的目的是為組織提供一個框架,以識別可用于識別和減輕威脅的可視性面數據,了解特定產品和服務提供該可視性面數據的程度,并確定潛在的可視性面差距。

五大目標

  • 目標1:傳達對FCEB機構的要求,向CISA提供必要的數據,以保護機構網絡、設備、基于云的環境、數據和系統。
  • 目標2:使各機構能夠(a)評估其收集相關可視性面數據的能力,(b)模擬其對CISA可視性面要求的覆蓋范圍。
  • 目標3:提高合作伙伴的能力,將關鍵的可視性面概念納入他們自己的威脅知情網絡實踐和安全基線配置中。
  • 目標4:為各組織提供一個框架,以評估產品的能力和特征的可視性面,并描述各種產品可以填補的可視性面差距。
  • 目標5:滿足OMB
  • M-21-31對CISA的要求,為各機構開發共享日志的模式提供指導,并開發和發布工具,幫助各機構促進其對日志成熟度的評估。

五大優點

  • 提供了一個模型,用于描述代表一個組織的現代企業的廣泛領域的可視性面。
  • 為組織的態勢感知提供信息,使組織能夠優先收集和分析整個企業的可視性面數據,以最佳方式減輕威脅并改善其整體風險態勢。
  • 允許識別可視性面覆蓋的差距,并使建立新的目標和/或系統配置能夠解決可視性面需求。
  • 在實施產品和/或其系統基線配置設置之前,通過提供關于可視性面和影響的觀點,為采購決策提供信息。
  • 提供一個動態的方法,隨著生態系統的不斷發展,它可以包括新的領域和遙測。

可視性

本節定義并介紹了關鍵概念,以確保用戶對eVRF有一個共同的理解。為了促進理解,本節使用了一個高價值的物理資產的場景,以與網絡系統和資產相提并論。

2.1 關鍵的可視性面概念

可視性

在其最普遍的意義上,可視性面一詞描述的是可見的東西。CISA使用可視性面一詞指的是(a)數字事件的可觀察工件和(b)這些事件發生的數字環境的特征。通過收集和分析環境中可觀察到的人工制品和特征,組織將擁有必要的數據來對威脅活動進行取證調查,并持續保持對活動的更好認識。可視性面數據的理想品質包括對相關數據的低成本和可擴展的收集,以網絡相關的速度接收數據的能力等。技術可視性越深入、越廣泛,企業就越有機會發現對網絡、設備和數據的高優先級威脅。

可視性面提供了關于在特定環境中發生的活動的特定背景的洞察力。因為它是針對具體環境的,所以提供可視性面的數據類型在整個企業中會有所不同。例如,在以云為中心的環境中,最有用的可視性面可能來自云API活動日志,但對于移動設備行為的可視性面來說,生物識別事件日志可能更受歡迎。不同背景下的數據類型的異質性會使整個企業難以獲得一致的可視性面。eVRF建議將企業劃分為多個可視面,每個可視面以不同類型的系統為中心,有相關背景。

通過實施與NIST

SP

800-53《信息系統和組織的安全與隱私控制》等標準相關的安全控制,許多可視性面機制已經被部署到整個企業架構中。雖然在一個組織的企業內的所有領域實施eVRF可能是一項漫長的工作,但捕獲與現有安全控制要求相關的可視性面可以提高對工作流程的熟悉程度,并提高后續分析的效率。這也將使一個組織開始記錄和了解目前存在的可視性面,以及可以將初步工作重點放置位置,以確定可視性面方面的差距。

可視性面

可視性面是指存在或應該存在網絡可觀察數據的數字環境,因此是可視性面的特定環境實例。就像攻擊面是由許多不同的點組成的,系統可以從這些點被攻擊,可視性面面是由許多觀測點或視角組成的,系統可以從這些角度被觀察。觀測點提供了架構背景,它將可視性面與該領域常見的真實數據緊密聯系起來。有助于可視面的網絡可觀察數據日志、配置設置、數據包等,對于提供惡意活動的證據至關重要。

圖2:可視性面:數據存在或應該存在的環境

在eVRF中,可視性面允許組織確定哪些數據可用于識別系統中的威脅行為者戰術、技術和程序(TTP)。除了識別相關的數據和TTP,每個eVRF可視面都是針對特定類型的數字環境(例如,云商業應用、工作站操作系統)。一旦定義了可視性表面的這些參數(見第3.1節),組織可以疊加額外的信息,以產生覆蓋圖,描繪一個或多個系統配置所提供的可視性。

觀測點

觀測點定義了給定領域中遙測源的架構位置。例如,以下是云架構中所有可能的觀測點:云服務提供商(CSP)、云訪問安全代理(CASB)、任何安全即服務(SECaaS)解決方案,以及整個虛擬網絡位置。觀測點可以是云或網絡拓撲結構中的傳感器定位,也可以是用于終端可視性面的特定主機。觀測點可以在應用政策的同一架構位置,并且通常與政策執行點(PEP)和/或政策決定點(PDP)相關。觀測點可以與數據保持一致,在數據入口處,或在一個域的數據出口處。從多個觀測點收集遙測數據可以增加整個域的可視性廣度。


圖3:觀測點:遙測源的結構位置

傳感器

傳感器在觀測點收集遙測數據。多個傳感器可以在同一個觀測點上共處一地。應選擇和部署傳感器,以提供具體的洞察力。當它們共用一個觀測點時,最好能產生互補的數據,相互增強和豐富。例如,一個組織可能在同一個觀測點(網關)同時擁有網絡應用防火墻(WAF)和下一代防火墻,這兩個防火墻一起可以提供對網絡活動的更大洞察力。

圖4:傳感器:放置在觀測點上并提供遙測數據

可見度覆蓋圖

可視性面覆蓋圖描述了一個產品或組織通過提供相關的網絡可觀察數據來解決可視性面的能力。可視性面描述了環境及其相關數據和TTP的范圍,而可視性面覆蓋圖則傳達了可用數據對網絡威脅活動提供足夠可視性面的程度。

使用eVRF,組織通過使用eVRF工作簿創建覆蓋圖,以表明環境中當前或潛在的數據。組織可以為供應商的主要產品的每個實際或假定的分層日志級別創建覆蓋圖。組織應定期更新覆蓋圖,以準確描述快速變化的遙測選項。該工作簿將使用該輸入產生一個彩色編碼的可視化,顯示哪些MITRE

ATT&CK技術是由可用數據解決的。組織還可以顯示指標,以表明每種技術的覆蓋質量。在可視面中加強組織的覆蓋圖,為檢測和緩解建立關鍵的安全事件背景。

圖5:產品覆蓋圖:來自單一觀測點和傳感器類型的可見度

可視性面要求圖

可視性面要求圖是一種特殊用途的覆蓋圖,用于識別網絡可觀測數據,這些數據必須在各方之間共享,以實現共同的態勢感知和使用(對于特定的可視性面)。可視性面要求圖可以確定共享給定元數據的關鍵性、所需觀測點和傳感器輸入的多樣性,或其他"網絡可觀察數據質量"屬性。

圖6:可視性面要求覆蓋圖:共同態勢感知的數據共享

通過使用可視性面要求圖,一個權威組織(例如,CISA)可以向其他參與組織傳達特定可視性面的遙測要求,同時對任何供應商的實施保持中立。隨著他們對威脅的理解發生變化,隨著領域內可視性面能力的發展,以及隨著其他組織在自己的遙測使用方面的成熟(并減少對權威組織的補充保護的依賴),該組織應更新其需求圖。

可視性面覆蓋率比對

能見度覆蓋比較由兩個或多個覆蓋圖疊加在MITRE

ATT&CK框架上,用于評估競爭性和/或互補性產品和服務。覆蓋率比較圖回答了這樣一個問題:"對于哪種ATT&CK技術,產品/服務的組合能產生遙測數據?"可視性面覆蓋率比較可以作為組織的現有技術或正在考慮部署的擬議架構的名義替補。在考慮競爭產品或多個安全架構時,組織可以創建可視性覆蓋率比較;可視性覆蓋率比較可以顯示每個產品或架構設計中可用遙測數據的并排比較。可視性面覆蓋率比較是確定遙測的優先級和遙測選項的投資回報的工具。它們是eVRF工作簿分析的高潮,用于產生高層次的見解。

2.2企業領域劃分

一個組織的數字企業是廣泛的;它包括許多不同的硬件設備、網絡、虛擬環境、操作系統和應用程序。在工作簿中定義eVRF可視性面之前,將企業劃分為不同的組成部分,以便為單個可視性面創建一個可管理的范圍,是很有幫助的。在企業內有許多方法來分類或確定可視性面的范圍,導致每個組織采用不同的方法,因為他們可能需要考慮具體的特征、結構或其他考慮因素。

將一個企業劃分為不同的組成部分,將有助于創建一個現有觀測點及其相關傳感器的綜合清單。首先,將領域、觀測點和傳感器的關系以分層的方式可視化是有幫助的,如圖7的例子所示。傳感器被分組在觀測點內,而觀測點則與域對齊。

圖7:域的層次結構

一個組織應該選擇一組共同的屬性,將其范圍擴大到一個有指定標題的域。由于域是共享觀測點(傳感器的架構位置)的集合,這通常與使用中的部署模型緊密相連。因此,網絡拓撲結構、數據轉發路徑和服務交付模式都可以幫助告知域的范圍(任何給定的觀測點是否在其中或在外)。圖8說明了"遠程工作"和"電子郵件"是如何用于識別組織內的一組觀測點的。

圖8:遠程工作和電子郵件域的組成部分

在企業被劃分為域之后,創建可視面的過程被簡化了,因為觀測點和傳感器已經被識別和分組。有許多可能的共同屬性,可以用來將一組域劃分為可視面。示例包括:

  • 物理位置
  • 組織結構
  • 行政領域
  • 共享信息
  • 現有的邏輯分組

如圖 9所示,可視性面可能包括也可能不包括域的每個確定的觀測點。能見度面的范圍和詳細程度都將決定其與特定領域的交集程度。類似于企業可以被分割成多個域來管理復雜性,利用多個可視性面可以幫助管理eVRF可視性面特征的工作量。

圖9:可見度面范圍

在這個例子中,"電子郵件"域包括"云租戶"以及"云反向代理"架構位置的候選觀測點。這些架構可以被評估為包含在可視面范圍內,并根據所需的共同屬性包括或排除。在這種情況下,可視面范圍試圖最大限度地提高多個組織的重復使用,并將覆蓋范圍限制在單一的服務提供商。因此,可視面三包括"云租戶"的觀測點,但確定"云反向代理"不會總是出現,因此將其排除在特征描述之外。

生成eVRF工作簿

eVRF工作簿定義了特定的可視性面,使企業能夠為計劃中或實施中的系統配置制作自己的可見性覆蓋圖。通過使用工作簿來確定他們環境中可用的可見性數據,組織可以確定可見性差距并設定可見性要求。供應商也可以提供特定產品的可見性覆蓋圖,以表明個別產品或產品層級所提供的可見性。

eVRF工作簿提供了一種靈活的方式來創建和編輯可見度表面定義和覆蓋圖。目前正在開發一個互動的工作簿應用程序。隨著組織開發每個工作簿,能見度覆蓋圖將在工作簿中被填充。這些地圖將提供一個快速的視覺參考,顯示覆蓋范圍內的潛在差距。圖10顯示了如何為每個可見度表面開發幾種類型的可見度覆蓋圖,以及每一層如何提供獨特的見解。

  • CISA可見性要求圖: CISA可見性要求覆蓋圖是由CISA開發的,以顯示遙測的生成、收集和處理要求。
  • 產品覆蓋圖:
  • 產品覆蓋圖可以由供應商或服務提供商開發,以顯示他們的解決方案的可見性如何影響ATT&CK
  • TTPs。
  • 環境覆蓋圖:
  • 環境覆蓋圖描述了組織的已建或待建環境的特點,可以使用一個或多個產品覆蓋圖制作。環境覆蓋圖考慮產品配置和許可水平等因素,以準確反映組織實施可見性產品所提供的可見性。

在得出覆蓋圖后,一個組織可以通過結合多個覆蓋圖來生成可見度覆蓋比較。能見度覆蓋比較可用于分析和產生洞察力。

3.1 工作流程流程概述

eVRF工作流程描述了建立能見度表面和構建覆蓋圖以評估環境中可用的能見度的過程。該過程分為三個階段:圖11顯示了eVRF的工作流程。以下各節對這些階段進行了詳細的描述。

  • 第1階段:定義可見度表面:
  • 在這一階段,創建可視性面定義,建立表面邊界并確定所需的可見性數據。可見度面可以用一個或多個觀測點來定義,每個觀測點包含一個或多個傳感器。許多組織將選擇使用現有的可見度表面定義,而不是創建一個自定義或新的定義。
  • 第2階段:制作能見度覆蓋圖:
  • 在這一階段,制作一個覆蓋圖來描述選定的環境,以表明可用數據是否提供了所需的可見度。一些組織可能會選擇制作多個覆蓋圖,以表明環境中不同部分的不同可見度水平。許多組織會選擇根據供應商提供的覆蓋信息來制定覆蓋圖。
  • 第3階段:為分析和洞察力產生可見性覆蓋率的比較:
  • 在這個階段,組織分析覆蓋圖,以確定覆蓋范圍的差距,為必須收集的新的可見性數據建立目標,或產生其他操作或業務洞察力。企業可以通過結合一個以上可視性面的覆蓋圖來產生和整合環境的多個部分的覆蓋比較。

圖11顯示了eVRF的工作流程。下面的章節更詳細地描述了這些階段。

第1階段:定義可視性面

組織可以選擇使用現有的可視面定義,例如由CISA發布的定義,或者他們可以選擇創建一個新的定義。隨著已建立的可視面定義集的增加,對新定義的需求將減少。在實踐中,一個能見度面可以有一個或多個觀測點,每個觀測點包含一個或多個傳感器的范圍。每個eVRF工作簿都需要定義將在該工作簿中檢查的可見度面。

每個能見度面的定義都確定了以下內容:


  • 范圍:確定可見度面所包括的數字環境的界限。相關數據:確定需要哪些類型的數據來提供威脅行為者TTPs的證據。
  • ATT&CK矩陣:確定與該環境相關的ATT&CK技術。
  • ATT&CK與數據的疊加:確定哪些ATT&CK技術是由相關數據類型解決的。
  • 創建覆蓋圖的模板:通過生成數據輸入模板,為后續階段做準備,以確定系統的特征。要使用現有的可視性面定義,找到相關的eVRF工作簿(例如,云業務應用),并跳到第2階段。

要創建一個新的可視性面定義,從一個空白的eVRF工作簿模板開始,進行五個連續的活動,將所需信息填入工作簿,如下圖12所示。

圖11:eVRF工作流程第1 階段

階段1,步驟1:確定可視面的范圍

確定可視面定義中要捕獲的環境范圍。既要考慮環境的類型(例如,云業務應用、端點檢測和響應能力),又要考慮技術棧內適當的顆粒度(見圖13)。在評估可見性時,技術棧中的每一個增量都提供了更多的細節和更高的精度。然而,它也限制了可視性表面的范圍,減少了重復使用的機會,并需要為全面的生態系統意識定義額外的可視性表面。可見度表面的范圍可能會限制考慮ATT&CK子技術的數量。組織在創建可視性面時,應考慮所有ATT&CK子技術。

圖12:能見度表面范圍的例子

第1階段,第2步:確定相關的能見度數據

創建一個適用于可視性面的數據清單。為了產生有效的可視性面定義,這項活動必須確定技術領域的可見性所需的所有數據。

組織可能需要讓幾個專家參與這項活動,以確定必要的數據。包括那些對范圍內的技術有全面經驗的專家,以及能夠確定用于對這些技術進行取證分析的數據類型的網絡安全專家。技術和威脅環境的變化可能需要對清單進行修改以保持準確性。各組織應將數據清單分為四組,詳細程度越來越高:

  • 類別:確定系統中存在網絡可觀察數據的組件(即應用程序、軟件、服務等)(例如,電子郵件、文檔管理)。
  • 事件:確定在定義的組件中發生的過程(例如,接收收到的電子郵件,發送出去的電子郵件)。
  • 描述:提供有關被記錄的活動或數據的額外細節或說明。

第1階段,第3步:選擇ATT&CK矩陣

確定與環境相關的ATT&CK技術,可能使用預先定義的MITRE

ATT&CK矩陣(例如,傳統或云)。

另外,各組織可選擇在"子技術"層面而非"技術"層面進行評價,以提高其eVRF評價的真實性。如果一個組織選擇評估子技術,只需要包括相關的子技術。通過這種方式,組織可以擴大可見度評估的保真度,以適應每個組織的需求和風險狀況。:加

審查步驟2中確定的可見性數據,并確定這些數據是否能夠為每一個ATT&CK技術提供可見性。捕獲這些評估,并使用它們來創建ATT&CK-to-Data疊加。與步驟2一樣,組織可能需要讓技術和網絡安全專家參與這項活動。完成的覆蓋圖確定了可視面的相關可見性數據。即使沒有創建eVRF工作流程的第2和第3階段所描述的可見性覆蓋圖和可見性覆蓋比較,這種覆蓋也可以提供有價值的洞察力,以指導關于如何使用日志數據來識別威脅活動的決策和意識。第1階段,第5步:為覆蓋圖創建數建第2階段的模板,各組織將使用這些模板來描述其環境特征并確定可用的可見性數據。在第二階段,企業將使用該數據輸入表來表明其環境中的每個服務或應用是否提供了所需的可見性數據。由此產生的信息將被顯示為可見性覆蓋圖。

第2階段:制作可見性覆蓋圖

可見性覆蓋圖使組織能夠分析和交流有關數據在特定環境中提供的可見性的信息。組織可以使用eVRF工作簿來制作覆蓋圖。組織可以選擇重復第二階段來創建多個覆蓋圖(例如,檢查可視性表面的不同實現,或詳細說明不同產品提供的可視性覆蓋)。可見性覆蓋圖可以有多種形式,包括:

  • CISA能見度要求覆蓋圖:
  • 對于每個能見度表面,CISA可以選擇創建一個覆蓋圖,反映FCEB機構與CISA持續或按要求分享能見度數據的要求,并確定收集和使用遙測數據的優先次序。
  • 產品覆蓋圖:
  • 供應商可以選擇創建覆蓋圖,說明哪些產品層級和配置設置可以為特定能見度表面的ATT&CK技術提供能見度。
  • 環境覆蓋圖:
  • 一個組織可以選擇創建覆蓋圖,以了解目前有哪些數據可用于支持內部網絡安全操作,或為改善可見性覆蓋設定目標。
  • 比較覆蓋圖:
  • 一個FCEB機構可以創建覆蓋圖,說明他們計劃與CISA共享哪些數據,以支持CISA的任務目標。
  • 圖13:可見度要求、產品和環境覆蓋圖
  • 圖14:覆蓋率比對圖

與eVRF工作流程中的早期活動一樣,讓一個專家團隊參與制作可見性覆蓋圖的這一階段可能會有幫助。為了制作準確的覆蓋圖并得出有價值的見解,eVRF工作簿必須準確地捕捉環境中的技術。包括組織中具有配置相關技術的專業知識的人。要創建可見性覆蓋圖,首先要有一個包含完整可視性面定義的eVRF工作簿(見第1階段)。創建可見性覆蓋圖包括四個步驟,如圖16所示:

圖15:eVRF工作流程第2階段

從第1階段第5步的結果開始,確定哪些服務或應用支持可見度表面。在這一步驟中確定的服務將是描述整個能見度表面覆蓋情況的基礎,因此必須仔細考慮在覆蓋圖中包括哪些能見度來源。

對于每個服務或應用程序,確定產生了哪些日志,可以提供系統級和用戶級事件的可見性。一個服務或應用將包括一個或多個傳感器的觀測點。例如,在云業務應用的可視面定義中,相關服務和應用可能包括電子郵件應用,其中包括郵件流日志、郵箱審計日志等;防病毒服務,其中包括惡意軟件保護日志;云訪問服務,其中可能包括身份保護日志和云訪問安全代理日志;以及底層云平臺服務,其中包括明顯的事件日志。

在確定了可用的日志源之后,審查實際的日志數據,以驗證日志是否提供可視性面所指定的元數據。對于環境中的每個日志源,輸入每個元數據的覆蓋范圍,以表明日志是否提供該數據。繼續下去,直到所有的日志源都被解決。當這一步驟完成后,所產生的工作成果為整個可視性面提供了詳細的、應用層面的可見性覆蓋。

此步驟產生覆蓋圖。這個覆蓋圖是由第2階段的前幾個步驟中提供的環境特征得出的,它代表了可視面環境中所有服務和應用的可視性覆蓋的摘要視圖。使用顏色編碼來表示每個ATT&CK技術的可見性覆蓋:

表1提供了可見性覆蓋率的評分標準。

表1:可見性覆蓋率評分標準

在eVRF工作流程的下一階段,將對第二階段第4步覆蓋圖提供的結果進行分析,并與其他覆蓋圖進行比較,以確定對現有覆蓋的洞察力,或回答與業務決策或運營可見性有關的問題。

第3階段:為分析和洞察力生成可見性覆蓋比較

在eVRF工作流程的最后階段,組織通過結合多個覆蓋圖創建可視性覆蓋比較,以進行分析和產生見解。組織可以利用可見性覆蓋率比較來進行:

  • 識別可見度覆蓋的差距
  • 為收集新的可見度數據確立目標
  • 識別系統配置的潛在更新
  • 為采購決策提供信息
  • 在實施前執行 "如果 "方案
  • 增加產品供應以提供更廣泛的可見性
  • 識別冗余或重復的可視性

為了產生有價值的見解,首先要有一個eVRF工作簿,其中包含完整的可見度表面定義(見第1階段)和完整的可見度覆蓋圖(見第2階段)。從覆蓋圖結果產生分析和洞察力的建議過程包括圖17中顯示的五個步驟:

圖16:eVRF工作流程第三階段

收集要在分析中檢查或比較的覆蓋圖。能見度覆蓋比較允許一個組織匯總或比較多個覆蓋圖進行分析;每個可見度覆蓋比較需要兩個或更多的覆蓋圖。如第2階段所述,可能有許多類型的覆蓋圖可供選擇。進行分析的組織可以為這項活動創建所選擇的覆蓋圖;或者供應商或合作伙伴可以提供覆蓋圖以支持比較或目標設定。

各組織應根據自己的使用情況,定制選擇覆蓋圖。例如,一個想要了解收購決策的權衡的組織可能會選擇將描述該組織現有環境的覆蓋圖與描述新產品可用覆蓋范圍的第二個覆蓋圖相結合。這將產生一個可見性覆蓋率的比較,突出產品提供的潛在可見性改進以及覆蓋率的剩余差距。

各組織將使用為這一步驟選擇的覆蓋圖來創建能見度覆蓋比較疊加圖,以便在整個eVRF工作流程的其余部分進行分析。

通過比較兩個或多個覆蓋圖,創建一個或多個可見度覆蓋比較。創建能見度覆蓋比較目前是一個手動過程,在eVRF工作簿的未來版本中可能會更新和簡化。目前創建能見度覆蓋比較的最簡單方法是將每張覆蓋圖并排排列,以比較彩色編碼的能見度覆蓋圖。

使用可見性覆蓋率比較,分析人員可以看到在每個單獨的覆蓋圖中,哪些ATT&CK技術沒有被覆蓋,哪些被全部覆蓋,或者哪些是日志源的子集。例如,對于尋求比較多個產品套件的可見性的組織來說,可見性覆蓋率比較可以通過突出顯示一些或沒有日志源提供可見性的情況來顯示哪里存在覆蓋差距。同樣明顯的是,有些產品提供了更完整的可見性,而其他產品沒有。

為了說明其他潛在的分析用例:

  • 一個組織可以使用可見性覆蓋率比較,以了解將產品或服務添加到一個已實施的環境中的效果。該比較可以說明冗余的可見性或需要一個或多個額外的產品來解決剩余的覆蓋差距。
  • 一個組織可以使用可見性覆蓋率比較,將已實施的產品配置與最佳產品配置(例如,由供應商提供的覆蓋率圖描述)進行比較。這種比較可以為改變配置設置、升級產品或購買新產品以解決覆蓋面差距的決策提供信息。一個部門或機構可以利用可見性覆蓋率的比較來更好地了解他們的實施環境與CISA的可見性要求相比所提供的覆蓋率。這種比較可以為有關新產品的決策提供信息,這些產品可以解決覆蓋面的差距和緩解策略。
  • CISA或其他組織可能希望使用能見度覆蓋率比較來比較許多組織的覆蓋圖中的相同能見度表面。這種比較可以為 CISA 可能想要優先考慮的新分析工具集或事件響應活動提供決策依據。

組織應設定目標,以改善或解決在覆蓋面比較中發現的可見性差距。一些目標也可能是由識別冗余的可見性和改善資源使用的機會所驅動。在這種情況下,組織應該考慮那些看起來為同一技術提供冗余覆蓋的日志的細節--它們可能并不像看起來那樣冗余。

此外,威脅形勢的變化,如威脅者利用新技術和子技術,可能會啟動新的可見性目標。隨著威脅者采用這些新方法,組織應努力保持相關的可見性。

一般來說,能見度目標的解決方案通常涉及確定新的配置設置、產品升級、功能增強、或額外的產品或業務合作伙伴,它們可以提供所需的能見度以解決覆蓋范圍的差距。在冗余或重復的可見性或服務使用的情況下,解決方案可能是減少許可、產品使用,甚至簡化架構。

當特征環境被修改、威脅環境演變或影響使用中的覆蓋圖的其他變化發生時,組織應修改相關可見度表面定義、可見度覆蓋圖和可見度覆蓋比較。這些eVRF組件應該是活的人工制品,如果定期重新檢查,可以繼續為組織的當前可見性態勢和改善可見性態勢的機會提供有價值的洞察力。

3.2 為eVRF 工作流程提供指導

可視性面

本指南中描述的工作流程旨在為各組織采用eVRF 并對企業內的可見性進行分類提供高層次指導。本指南定義了完整的eVRF 流程,包括創建一個新的可視性表面,這是eVRF流程的第一步。如果還沒有定義可視面,企業需要繼續定義和創建可視面。然而,在大多數情況下,組織可能會建立在現有的可視性面的定義上。

如果一個組織找不到符合該組織需求的預定義表面,它可以定義一個可視性面。eVRF流程包括定義可視性面和域的靈活性。為了幫助減少定義可視面的復雜性,組織可以從利用已經獲取的有關其企業的現有架構信息開始(例如,為支持符合NIST

SP

800-535或其他安全控制實施指南而創建的文件)。通過首先考慮與組織的任務或業務相關的最重要的系統來確定系統的優先級,將在短期內為組織提供最大的價值,并允許在整個組織的企業中逐步實施eVRF流程。利用現有的架構信息,以及對最關鍵的系統進行優先排序,可以更容易地對可視性表面的生成進行定制,并可根據組織的資源情況進行調整。

同樣,當一個組織希望擁有比現有可視性面更全面的范圍時,他們可以首先繼承預先定義的可視性面,然后根據需要擴大范圍。

覆蓋圖

覆蓋圖的使用也是eVRF過程的組成部分。如同可見度表面,組織可以利用外部各方已經生成的覆蓋圖。這可以節省一個組織的時間,并確保與其他eVRF利益相關者保持一致(促進組織間的分析和比較)。覆蓋圖可以由供應商、類似組織或行業領導機構編寫。當一個組織考慮是否利用另一方編寫的覆蓋圖時,他們應該考慮多種因素,包括地圖的準確性、可靠性、與他們選定的可視面范圍的一致性,以及他們使用地圖的具體意圖。

與其為可視面定義自定義配置,組織可能會發現利用既定的可視面定義及其相關的通用供應商覆蓋圖是有幫助的。然后他們可以只考慮與他們的用例相關的質量或屬性。這種方法可能會被證明比重新定義可視性表面的范圍,然后研究所有候選產品并為每個產品生成供應商覆蓋圖更有效。

3.3 eVRF的組織整合

識別可見性差距

eVRF過程為組織提供了一種機制,以密切了解他們的架構中目前存在哪些可見性。通過使用eVRF可見性覆蓋率的比較,組織可以確定可見性差距,突出目前可能沒有在系統中捕獲的遙測。可能有這樣的情況:系統和/或應用功能可以簡單地打開,或者可能需要補充應用或服務來實現所需的洞察力。有了對現有可見性的清晰了解,企業可以全面考慮如何改善整個企業架構的整體網絡安全態勢。

提高資源使用效率

用有限的資源確定安全需求的優先次序是一個持續的挑戰。從eVRF過程和其他綜合努力中得到的產出可以幫助確定這些資源的優先次序。這可以讓企業將可視性的見解與其他基礎設施設計元素結合起來,以提高效率,減少重復生成的遙測數據,并盡量減少冗余的日志收集。這種更深入的知識還可以幫助推動架構設計決策,以確保可見性與組織目標和預期威脅相一致。

支持零信任

企業正在從基于靜態網絡的周邊防御轉向更動態和整體的安全架構。這些零信任架構包括對用戶、資產、數據和應用程序的網絡安全保護。為了支持向零信任架構的過渡,CISA開發了一個零信任成熟度模型。在這個成熟度模型中,"可見性和分析"被確定為每個網絡安全支柱(身份、網絡、應用、數據和設備)的交叉組成部分,這意味著組織有責任確保這些支柱的可見性覆蓋。組織對可見性覆蓋的評估應導致在缺乏覆蓋的地方進行架構改進。這將普遍存在于企業范圍內的可視性表面重疊的情況下。組織可以將eVRF工作簿的覆蓋圖分層,并將其他數據納入其分析中。

CISA對eVRF的使用

CISA在本節中的使用案例描述了CISA將如何與FCEB機構一起使用eVRF,并提供了一個CISA、供應商或服務提供商以及各機構之間的活動和互動的例子,因為他們通過本指南中的一般工作流程進行工作。本節重點討論各機構應如何為CISA提供政府系統的可見性。

理想情況下,每一方都會在各組織之間發展一個迭代過程,以提供富有成效的對話和共享成熟度。這將加強合作,以便隨著時間的推移改進反饋和完善需求、產品和系統。

4.1 機構和CISA對eVRF的好處

FCEB機構在采用該框架時,將獲得第1.2 節中提到的eVRF 的好處。此外,各機構將從使用eVRF 來滿足CISA 的可視性要求中受益,具體方式如下:

  • 通過加強可視性的風險分析,各機構將對其整體安全狀況有更好的了解。
  • 各機構將能夠更好地分析在其企業環境中存在的可見性差距。
  • 機構將對覆蓋范圍內的差距和潛在的風險有更多的了解,為資源分配的決策過程提供信息。由于一個機構的可見性得到更好的理解,他們將有更好的條件來識別和減輕潛在的威脅。
  • 所有機構和CISA都從擴展的可見性中受益。跨域的額外遙測功能的加入,增強了事件響應和持續獵殺能力。
  • 使用這種模式有助于CISA聚集和關聯威脅數據,幫助及時發現聯邦企業系統面臨的攻擊活動,使所有機構受益。
  • 妥協指標的頻率和可用性是由更多的威脅信息和可用數據集驅動的。因此,與eVRF可見性要求覆蓋圖保持一致,將使CISA更好地了解情況和提供破壞指標。
  • 各機構可以利用 eVRF來幫助滿足 OMB
  • M-21-31 的記錄要求。

4.2 角色和責任

在FCEB機構領域內的可見性有助于確保CISA能夠識別威脅;防止潛在的攻擊;以及執行追捕、事件響應和分析活動。此外,這種可見性使CISA能夠在FCEB機構領域內發展和分享有價值的見解,這為各個機構提供了寶貴的網絡安全利益。雖然本指南沒有指導或要求具體的行動(特別是供應商),但本節大致描述了CISA、各機構和供應商/服務提供者為成功實施eVRF所能承擔的角色和責任。

CISA的作用

首先,CISA負責制定eVRF并向其他機構傳達指導意見,包括遙測需求確定過程的規范和FCEB機構領域的遙測數據要求。CISA分析FCEB安全事件和遙測數據。這項責任指導eVRF可見性要求覆蓋圖定義的發展;CISA提供eVRF可視性面定義,供FCEB機構在解決方案開發和所需的遙測共享方面考慮。這可以確保FCEB機構能夠理解CISA的eVRF可視性目標和限制。CISA還負責更新可見性要求,以反映威脅形勢的變化、解決方案的演變、FCEB機構對技術能力的反饋,以及其他方面,以適應當前和未來的遙測需求。圖18顯示了CISA在eVRF工作流程中的作用。

圖17:eVRF工作流程中的CISA角色

機構的作用

FCEB機構負責使用基于eVRF的指導,以告知其內部政策,并酌情提供與機構網絡安全需求和/或風險管理規劃的一致性。FCEB機構負責采用CISA制定的可視性面定義,并確保在需要時提供可見性數據以支持CISA。為了支持CISA未來潛在的調查需要,各機構將需要持續保留和報告遙測數據。FCEB機構有責任評估其收集相關能見度數據的能力,并制定一個計劃來滿足CISA的能見度要求。FCEB機構有責任確保按照CISA提供的eVRF指南在每個領域內配置遙測生成;這將確保FCEB機構的安全事件和遙測報告符合CISA的要求。FCEB機構有責任更新其建成后的可視性覆蓋圖,以反映其環境的變化。圖19顯示了eVRF工作流程中的機構角色。

圖18:機構在eVRF工作流程中的作用

供應商和/或服務提供商角色

供應商和/或服務提供商可選擇為其產品和服務制作可見度覆蓋圖,并更新其可見度圖以反映其產品隨時間的變化。圖20顯示了eVRF工作流程中的供應商角色。

圖19:eVRF工作流程中的供應商角色

4.3 FCEB工作流程示例

圖21顯示了CISA工作流程周期所需的三個實體。當每個實體通過流程工作并產生數據時,每個實體與其他實體互動,以完善和改進數據。隨著時間的推移,可能會有更多的遙測數據出現或發生變化,隨著技術、實施和目標需求的變化,所有各方都應更新其數據。

CISA在每個工作簿中提供了其對可視性面定義的要求。各機構可以與他們的供應商合作,為每個環境中存在的可見性遙測提供輸入。各機構將這些信息提供給CISA進行審查和反饋。為了向機構提供更多的信息,供應商(或服務提供商)可能希望為他們的產品填充相關數據,以確定可用的遙測。在采購范圍之外,供應商可以選擇向CISA提供這些數據,以使CISA能夠根據CISA的要求評估產品的遙測技術。

FCEB機構使用該工作簿來獲取現有遙測系統的現狀,并向CISA 提供所需的遙測數據。各機構可與CISA和供應商合作,確定可視性的差距,并確定如何改進可視性有限的領域。當一種產品不能完全提供所需的可視性時,分層的另一種產品可以幫助填補這一空白。各機構可能會使用多個供應商的產品和服務來協助了解潛在的解決方案。

工作流程

CISA的工作流程遵循圖22中所示的任務。這個工作流程代表了CISA、供應商和FCEB機構在之前描述的eVRF和具體部分與eVRF工作流程相一致的特定任務。

圖21:CISA工作流程的任務

CISA將酌情公布能見度面。對于CISA發布的每個可見度表面,CISA將首先定義可見度表面的范圍,并完成對規定的詳細程度的描述。當CISA決定下一步定義哪個能見度面時,它將考慮許多因素,包括M-21-31附錄C表5中定義的日志類別。

CISA確定每個事件和類別所需的元數據。表2顯示了在一個通用商業應用套件的工作簿或工具中捕獲的一部分可視性表面數據的例子。

表2:可視性面示例

有了可見性數據的定義,CISA就可以為給定的應用選擇所需的與MITRE

ATT&CK技術集的映射。一個MITRE

ATT&CK矩陣可能已經存在于給定的產品中。CISA可以選擇使用MITRE的現有矩陣,自己制作,或者選擇一套不同的標準來映射。表3提供了一個戰術、技術和子技術的樣本。

表3:ATT&CK的戰術、技術和次級技術的例子

CISA確定給定產品與ATT&CK技術的可見性映射。對于每個事件,CISA確定每個事件和相關數據是否會對ATT&CK技術的每個元素和每個戰術中的子技術提供可見性。如果元數據提供了可見性,"是"就被輸入到本例的相關字段中。表4的右邊顯示了映射情況。

表4:可見性數據與ATT&CK技術的疊加示例

CISA將確定可見性數據的可見性要求例如,CISA將為每個事件的每組元數據確定周期和優先級;提供給CISA的遙測數據將符合這些規定的要素。

例子中的數值是作為占位符輸入的,并不打算代表對這組信息的任何分析。

周期性選項是持續的或應要求的。"持續"定義了各機構應定期向CISA提供元數據;CISA將與各機構協商細節。這種遙測數據將是自動提供的,或者根據數據以固定的頻率提供。CISA將對這些信息進行持續的分析,用先進的分析方法來幫助識別機構實施的架構內的惡意活動。各機構將保持"應要求"的遙測;如果情況需要,(例如,根據分析結果或其他指標),CISA可以向該機構提出要求,提供額外信息。這將使CISA能夠幫助該機構進行更深入的分析,尋找其系統被破壞的其他指標。

為了幫助分配資源以滿足數據請求,CISA將為每個能見度元素分配一個優先級別(級別為0、1、2;0為最高,2為最低)。CISA在確定每個事件的優先級時,可以考慮能見度目標與能見度面的映射。根據OMB的記錄要求文件,優先級的確定應該集中在高影響的系統和高價值的資產。根據一個機構的具體架構,可能需要進行額外的優先排序。應將工作重點放在滿足優先級為0的請求上。如果不能提供一套特定的元數據,該機構應與CISA協調,實施一個工作解決方案。

表5的右側顯示了工作簿中的能見度要求以及相關的能見度表面信息。在向各機構提供工作手冊之前,CISA將用CISA的要求預先填入工作手冊的這一部分。這構成了一個特殊用途的覆蓋圖,專門用于CISA對主體能見度表面的要求。

表5:CISA能見度要求示例

供應商可以確定哪些服務或應用程序支持可視性面。

隨著可見性映射的完成和CISA可見性要求的確定,CISA向供應商提供工作手冊(CISA-階段1,步驟5)以確定其產品對ATT&CK技術的可見性映射。對于每個事件,供應商可以通過在工作手冊的相關字段中寫上"是"來表明是否存在元數據,以提供ATT&CK技術的每個元素和每個戰術中的子技術的可見性。隨著eVRF流程和工具的成熟,供應商可能會提供更多的信息,如可見度的級別完成后,供應商可以向CISA提供完整的工作簿以進行裁決。CISA將審查所提供的信息,尋求對任何問題的澄清,并更新其流程以納入供應商的意見。表6提供了一個產品可見性映射的例子。

CISA可以使用供應商提交的信息,如果有的話,以更新和改進CISA的可見性要求。然后,CISA為第二階段創建模板,各機構將使用這些模板來描述他們的環境特征,并確定可用的可見度數據。

機構確定哪些服務或應用程序支持可視性面。

機構將使用工作簿來確定其系統架構中的可用可視性。這將是對所有機構的系統和與每個可視面相關的供應商產品的審查。在每個領域內,該機構將確定部署了哪些觀測點和傳感器,它們有哪些遙測數據,以及目前是如何采集數據的。如果該機構目前沒有收集遙測數據,該機構應考慮努力完善架構,以獲取遙測數據或提供CISA批準的替代方案。在機構無法提供遙測數據的情況下,機構人員應與CISA合作,商定前進的道路。

根據機構的結構和能見度的確定,機構將確定與能見度表面和要求相關的適當遙測數據,以發送至CISA。FCEB機構可能要參考CISA能見度要求覆蓋圖,以便機構提供能見度數據。對于每一項能見度數據,該表包括一個優先級排名,并說明該數據是否應持續提供,或是否應根據要求向CISA提供。各機構也可以參考NCPS云界面參考架構第1和第2卷,了解有關遙測生成、處理和向CISA報告的細節。

作為第二階段的一部分,各機構可以生成針對本機構的覆蓋圖。實施的遙測可用性是基于產品軟件的選擇,并映射到ATT&CK的覆蓋圖上。這將代表由于未使用或未完全實施的應用而存在的任何差距。在圖23所示的示例地圖中,當CISA指定與事件相關時,實施的覆蓋范圍不存在的技術,該技術的元數據將用黃色陰影表示與定義的可見度表面的偏差。

圖22:覆蓋面比較-環境到產品

CISA將檢查其收到的遙測數據,以確保與該機構指定的信息一致。CISA將與該機構合作,解決傳輸中的任何問題。這將是一個持續的核查,以確保遙測信息與規格一致。然后,CISA將審查該機構提供的遙測輸入,以確定差異,并與該機構合作解決遙測方面的差距,以確保CISA收到所需的可見度遙測。這將是一個經常性的過程,因為該機構會更新可提供給CISA的信息,并對其結構進行修改。

第2階段生成的覆蓋圖將有助于建立更廣泛的能見度覆蓋比較,以確定與其他產品彌補這些差距的機會。

4.4 FCEB對能見度覆蓋率比較的使用

每個利益相關者將以不同的方式使用能見度覆蓋比較。從根本上說,每個能見度覆蓋率比較顯示的是覆蓋圖的總和,代表多個產品或服務的遙測。

能見度覆蓋比較的多功能性允許對機構的遙測以及供應商提供的遙測來源進行評估。能見度覆蓋率比較可以用來比較兩個不同的服務集合或兩個不同機構的相對實力。最終,能見度比較的廣泛使用將提供更明智的決策,使整個FCEB的遙測覆蓋的廣度和深度最大化。

機構

一個機構可以通過多種方式使用可見性覆蓋率比較來分析和改善其防御態勢。一個機構應在內部保持一個單一或多個可視性覆蓋比較的綜合版本,以評估其作為一個組織或一個部門的網絡安全態勢。對機構可見性覆蓋率比較的簡單分析可以迅速傳達出遙測方面的差距和重疊。每個機構都將向CISA提供可視性覆蓋率比較,至少要有ATT&CK框架覆蓋率的最低要求的細節。

一個機構可以自行或與CISA協調,將其目前的能見度覆蓋比較與CISA建議的遙測覆蓋進行比較。一個機構的可見度覆蓋率比較中的差距反映了實施機構的應用中的差距。有些可能在CISA支持的服務產品中被覆蓋。CISA建議利用其eVRF對可見性的洞察力來確定哪些產品最能加強該機構的整體態勢。即使CISA的聯邦服務產品與一個機構目前的覆蓋范圍重疊,使用CISA的服務仍然可以提供好處,如聯合威脅共享或與其他CISA支持的產品更無縫的整合。各機構不會將所有可用的數據輸出到CISA,但通過這一過程,將幫助機構確定在哪些地方有遙測數據可用,以提供對其網絡上潛在惡意活動的洞察力。

這個過程也將有助于通過工作簿中生成的覆蓋圖來確定可能存在的差距,以及確定機構可能想要集中力量加強其架構的潛在領域。可見性覆蓋率的比較代表了產品套件中可用的東西和已經實施的東西之間的差異。當產品套件提供遙測選項時,實施的覆蓋范圍不存在的技術將以紅色陰影顯示,表明該機構可能有一個機制來填補這些差距。

CISA

CISA將使用可視性比較來為其要求各機構持續或按需提供給CISA的遙測清單提供經驗信息。CISA內部的組織將使用可見度覆蓋率比較,以告知在分析工具集或事件響應參與活動中應優先考慮哪些遙測技術。隨著時間的推移,CISA將根據某些產品或服務組合的概況,建立推薦的可見性覆蓋比較。CISA將能夠顯示理想的可見度覆蓋率比較和機構當前的可見度覆蓋率比較之間的差異,并提出具體的緩解建議。供應商

企業商業應用或云安全軟件的供應商將從其產品的明確安全評估標準中受益。利用采購范圍之外的方法,供應商可以完成eVRF工作簿,以描述其產品和服務提供的遙測。作為迭代和持續改進過程的一部分,供應商可以與CISA合作,確定在元數據不可用的情況下如何滿足信息需求。

結論

eVRF為CISA、FCEB機構和其他合作伙伴定義了概念、要求和機制,以確定、描述、收集和應用可見性數據,以減輕威脅。eVRF使用多種工作產品來定義和描述關鍵概念、角色和責任以及工作流程;確定了定義可見度表面的機制;并使各組織能夠制作自己的可見度覆蓋圖和可見度覆蓋比較。

組織環境 傳感器 cisa
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接