隨著勒索軟件和民族國家攻擊的破壞性越來越大，保護(hù)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的舊方法，如邊界防御和防滲透，已不能再保護(hù)組織的資產(chǎn)和數(shù)據(jù)。需要更新的安全方法設(shè)計(jì)，以減輕勒索軟件，國家攻擊風(fēng)險(xiǎn)。近日，NIST SP 800-160卷2發(fā)布征求意見。該出版物將與ISO/IEC/IEEE 15288:2015，系統(tǒng)和軟件工程-系統(tǒng)生命周期過程，NIST特別出版物（SP） 800-160，卷1，系統(tǒng)安全工程-值得信賴的安全系統(tǒng)工程中的多學(xué)科方法的考慮，NIST SP 800-37，信息系統(tǒng)和組織的風(fēng)險(xiǎn)管理框架-安全與隱私的系統(tǒng)生命周期方法一起使用。它可以被視為一份手冊，根據(jù)系統(tǒng)工程的觀點(diǎn)，結(jié)合風(fēng)險(xiǎn)管理過程，實(shí)現(xiàn)確定的網(wǎng)絡(luò)彈性成果，允許組織的經(jīng)驗(yàn)和專業(yè)知識，以幫助確定什么是正確的。組織可以選擇、調(diào)整和使用本出版物中描述的部分或全部網(wǎng)絡(luò)彈性構(gòu)造（即目標(biāo)、技術(shù)、方法和設(shè)計(jì)原則），并將這些構(gòu)造應(yīng)用到需要為其設(shè)計(jì)系統(tǒng)的技術(shù)、操作和威脅環(huán)境中。

　?。_恩·羅斯（Ron Ross）， NIST研究員，最新網(wǎng)絡(luò)彈性指南的作者之一。）

　　背景概述

　　“即使每件事都做得很好，并擁有全部資源來實(shí)施所有的保障措施和反制措施，對手也不是靜態(tài)的——他們在不斷演進(jìn)發(fā)展。美國國家標(biāo)準(zhǔn)與技術(shù)研究所（National Institute of Standards and Technology）研究員羅恩？羅斯（Ron Ross）表示。他是NIST最新出版物草案的作者，該出版物解決了這些問題，并提出了防御網(wǎng)絡(luò)攻擊的新方法。

　　這份文件被稱為NIST特別出版物草案800-160，第二卷，第1版，發(fā)展網(wǎng)絡(luò)彈性系統(tǒng)：系統(tǒng)安全工程方法，提倡摒棄基于邊界的防御，更多地關(guān)注于構(gòu)建彈性IT系統(tǒng)，通過限制攻擊者對網(wǎng)絡(luò)或基礎(chǔ)設(shè)施造成的破壞來抵御現(xiàn)代攻擊。

　　這種方法符合NIST對”網(wǎng)絡(luò)彈性“的定義，該機(jī)構(gòu)將其定義為”對使用網(wǎng)絡(luò)資源或由網(wǎng)絡(luò)資源支持的系統(tǒng)的不利條件、壓力、攻擊或危害進(jìn)行預(yù)測、承受、恢復(fù)和適應(yīng)的能力?！?/p>

　　最壞想定

　　Ross指出，網(wǎng)絡(luò)彈性的概念假設(shè)攻擊者或攻擊者已經(jīng)獲得了對系統(tǒng)的訪問權(quán)（NIST將系統(tǒng)定義為硬件、軟件和固件的集合體），或?qū)⒃谀骋粫r(shí)刻獲得對系統(tǒng)的訪問權(quán)。

　　同樣的網(wǎng)絡(luò)攻防對抗場景想定，早在愛達(dá)荷實(shí)驗(yàn)室就是約定的認(rèn)知。基于這個(gè)基礎(chǔ)的對抗想定，來布局防御措施，則必須強(qiáng)調(diào)并突出”網(wǎng)絡(luò)彈性“的目標(biāo)訴求。

　　”我們想要實(shí)現(xiàn)的是一個(gè)系統(tǒng)，我們稱之為“網(wǎng)絡(luò)彈性”或系統(tǒng)足夠的彈性，它可以繼續(xù)運(yùn)行和支持業(yè)務(wù)運(yùn)行的關(guān)鍵任務(wù)——即使它不是在一個(gè)完美的狀態(tài)，甚至有點(diǎn)退化狀態(tài)，“羅斯說?！边@很難做到，因?yàn)闆]有人喜歡假設(shè)對手已經(jīng)得到了最好的訪問權(quán)，并進(jìn)入了系統(tǒng)。但這就是我們今天面臨的現(xiàn)實(shí)?！?/p>

　　更新后的文件草案還旨在補(bǔ)充其他NIST出版物，包括那些涉及系統(tǒng)和軟件生命周期管理、系統(tǒng)安全工程和風(fēng)險(xiǎn)管理的出版物。

　　NIST目前正在就更新的SP 800-160網(wǎng)絡(luò)彈性文件征求意見和反饋，截止時(shí)間是9月20日。羅斯指出，該文件的最終更新將于今年年底發(fā)布。

　　恰逢其時(shí)

　　前美國空軍軍官，現(xiàn)在是安全公司Vectra AI的首席技術(shù)官團(tuán)隊(duì)主管蒂姆？韋德表示，NIST最新的草案的聲音，類似于新任DHS下屬網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局局長Jen Easterly在黑帽2021大會上的演講。

　　”一段時(shí)間以來，重點(diǎn)從預(yù)防轉(zhuǎn)向彈性，一直都很重要，而且就在上周，Easterly局長在Black Hat 2021主題演講呼吁聯(lián)邦和網(wǎng)絡(luò)安全社區(qū)面臨著預(yù)防以及對檢測、響應(yīng)和恢復(fù)能力的需求，“韋德說。

　　Easterly局長在聯(lián)邦政府一直在應(yīng)對一系列網(wǎng)絡(luò)威脅之際接任該機(jī)構(gòu)一把手。這些攻擊包括民族國家攻擊，如SolarWinds供應(yīng)鏈攻擊和Microsoft Exchange服務(wù)器漏洞利用，以及網(wǎng)絡(luò)罪犯的勒索軟件活動。

　　CISA新局長三把火：組建網(wǎng)絡(luò)防御協(xié)作中心、推出打擊勒索攻擊沖刺計(jì)劃、發(fā)布新版聯(lián)邦雇員網(wǎng)絡(luò)安全培訓(xùn)指南

　　建立彈性

　　NIST SP 800-160的更新草案是由Ross和其他NIST工作人員，以及非營利組織MITRE Corp的專家共同撰寫的，它的工作假設(shè)是攻擊者——無論它是一個(gè)網(wǎng)絡(luò)犯罪團(tuán)伙，一個(gè)民族國家組織，甚至是一個(gè)惡意的內(nèi)部人員，已經(jīng)破壞了一個(gè)網(wǎng)絡(luò)或一個(gè)應(yīng)用程序，并且已經(jīng)進(jìn)入了目標(biāo)組織的基礎(chǔ)設(shè)施。

　　”我們想要實(shí)現(xiàn)的是一個(gè)我們稱為‘網(wǎng)絡(luò)彈性’的系統(tǒng)，或者一個(gè)足夠彈性的系統(tǒng)，它可以繼續(xù)運(yùn)行并支持商業(yè)運(yùn)營中的關(guān)鍵任務(wù)——即使它不是處于完美狀態(tài)，甚至是在某種程度上退化的狀態(tài)?！?/p>

　　-羅恩·羅斯，NIST研究員

　　這種類型的攻擊可能以多種方式發(fā)生，包括由打開的釣魚郵件造成的破壞，或更復(fù)雜的供應(yīng)鏈攻擊，例如與俄羅斯有關(guān)的攻擊者入侵了SolarWinds。

　　NIST SP 800-160草案提供了一系列工具、技術(shù)和方法，安全團(tuán)隊(duì)和ciso可以通過在網(wǎng)絡(luò)中構(gòu)建更強(qiáng)的彈性來應(yīng)對攻擊，包括已經(jīng)部署的舊系統(tǒng)或從零開始構(gòu)建的新系統(tǒng)。該文件包括三項(xiàng)主要建議：

　　更新那些支持網(wǎng)絡(luò)彈性的控制，并將其與NIST另一份文件SP 800-53, Revision 5保持一致，該文件是該機(jī)構(gòu)的信息系統(tǒng)和組織安全與隱私控制目錄；

　　創(chuàng)建一個(gè)組織可以使用的單一威脅分類法，該分類法基于MITRE對抗戰(zhàn)術(shù)、技術(shù)和程序框架，又名ATT&CK;

　　提供實(shí)施這些網(wǎng)絡(luò)彈性技術(shù)的方法，支持SP 800-53、修訂5和MITRE ATT&CK框架。

　　Ross指出，NIST決定將其網(wǎng)絡(luò)彈性腳本與MITRE ATT&CK框架結(jié)合起來，以幫助簡化方法，因?yàn)樵S多組織正在更廣泛地采用這個(gè)框架。

　　Ross說：”整個(gè)社區(qū)似乎越來越傾向于使用MITRE ATT&CK框架，將其作為觀察對手行為的標(biāo)準(zhǔn)化方式，因此對我們的客戶來說，它更容易簡化?！?/p>

　　該文件還演示了網(wǎng)絡(luò)彈性如何與”零信任“架構(gòu)一起工作，以限制攻擊并防止攻擊者在整個(gè)網(wǎng)絡(luò)中橫向移動，特別是通過部署網(wǎng)絡(luò)分割等技術(shù)。

　　”如果你有分割在不同的領(lǐng)域，你把這些分解成越來越小的部分，你可以現(xiàn)在應(yīng)用虛擬化技術(shù)，你可以刷新軟件非常迅速——你可以清除所有的惡意代碼以極快的速度，“羅斯說。

　　獨(dú)特方法

　　今年早些時(shí)候，CISA發(fā)出信號稱，它開始采用NIST在NIST SP 800-160出版物草案中概述的方法，特別是當(dāng)涉及到放棄邊界防御思維時(shí)。

　　在今年6月寫給俄勒岡州民主黨參議員羅恩·懷登（Ron Wyden）的信中，布蘭登。威爾士，時(shí)任CISA的代理局長，寫道，該機(jī)構(gòu)把聯(lián)邦網(wǎng)絡(luò)入侵檢測系統(tǒng)深入到供應(yīng)鏈更好地檢測前些年的間諜活動，如針對SolarWind公司及其客戶，這些客戶就包括聯(lián)邦政府機(jī)構(gòu)。

　　威爾士在信中寫道，將愛因斯坦入侵檢測系統(tǒng)深入聯(lián)邦網(wǎng)絡(luò)，而不是僅僅讓它在邊界處運(yùn)行，將允許它從服務(wù)器和工作站等端點(diǎn)獲取數(shù)據(jù)。