趋势与观点 | 利用COBIT和NIST网络安全框架提高企业关键IT系统的网络弹性
网络弹性一词被定义为“系统在不利条件或压力下继续运行的能力,即使处于降级或过载状态,同时保持基本的操作能力,并在符合任务需求的时间框架内恢复到有效的操作状态。”该术语也经常被用来指代整体的组织能力,“......保护电子数据和系统免受网络攻击,以及在攻击成功的情况下迅速恢复业务运营。”了解美国国家标准与技术研究所(NIST)网络安全框架(CSF)和COBIT®中概述的加强网络弹性的最佳实践,使组织能够更好地保护关键企业应用程序,并帮助限制网络入侵的潜在损害。
NIST CSF将网络安全流程和活动分为5个高级类别(功能),可以帮助组织创建一个结构化的方法来保护IT系统的安全。NIST进一步定义了这些类别向下的8个网络弹性目标。这些目标可以通过各种技术来实现,包括相关的COBIT管理实践和活动。
了解背景、IT系统的关键性和风险因素(识别)
组织、架构、运营和威胁背景推动了网络弹性要求,并有助于揭示潜在的攻击向量和网络安全风险暴露。COBIT治理实践评估(Evaluate)-指导(Direct)-监督(Monitor)(EDM) EDM03.01评估风险管理建议组织确定其风险偏好(组织为实现其目标愿意承担的风险水平)和风险容忍度(暂时可接受的对风险偏好的偏差)。有几个因素会增加组织及其IT系统的风险水平,包括处理数据的敏感性和数量、所提供服务的关键性、用户数量、与公共网络的连接以及对第三方的依赖。总的来说,IT系统的关键性取决于其对所支持的业务流程或服务的连续性的重要性。系统越关键,为保护它而考虑的弹性措施就越多。系统的关键性可以通过预测因系统中断而可能产生的财务损失来实际评估。在评估系统的关键性时,了解其故障对位于相应业务工作流程上游或下游的邻近应用的影响也很重要。
防止实施网络安全攻击(保护)
COBIT定义了一系列侧重于阻止和预防网络攻击的常规措施,例如,防止恶意软件(Deliver, Service and Support [DSS] 05.01),管理网络和连接安全(DSS05.02),管理终端安全(DSS05.03),管理用户身份和逻辑访问(DSS05.04),管理对IT资产的物理访问(DSS05.05),管理敏感文档和输出设备(DSS05.06)以及管理安全相关事件的漏洞和监控基础设施(DSS05.07)。然而,现代系统的复杂性增加了动机强烈的攻击者发现和利用弱点的机会,如未修补的漏洞或错误配置。有了这个假设,弹性设计开始在限制攻击的传播和减少所造成的损失方面发挥重要作用。例如,对于物联网(IoT)系统,网络弹性的特征可能包括对被攻击的终端设备进行自适应隔离,以便核心控制系统能够继续安全运行,而忽略在外围下线的设备。
防止网络攻击传播的有效网络复原措施包括:
-
减少攻击面,例如删除或禁用不使用或对支持的业务活动不重要的系统功能(如:限制关键服务器上的默认系统服务数量)。
-
使用完整性检查来防止执行被破坏的二进制文件。
-
分析和消除单点故障和脆弱性的来源。使用混沌工程工具,如Gremlin,可以帮助自动识别IT系统的薄弱点。
限制安全漏洞的影响(保护)
当攻击者在被攻击的计算机环境中获得立足点后,他们会试图获得完全的管理权限,或至少控制其他易受攻击的系统和服务器。IT系统的安全模块化设计(微服务、容器和离散组件)和精心设计的企业子网络隔离等弹性特征,包括使用网络缓冲区,将攻击者锁定在孤立的网段中,在许多情况下,迫使他们从头开始。其他重要的措施包括限制跨系统组件使用管理账户,例如将有限的权限分配给IT运营团队,或者避免使用嵌入源代码中的管理账户。此外,COBIT实践DSS05.04管理用户身份和逻辑访问规定,所有用户必须根据业务要求分配信息访问权限。对静态和动态的数据进行加密有助于保护机密性。
检测异常行为和发现的损害(检测)
有效的日志记录和检测措施为响应网络安全团队和管理层提供了态势感知,从而促进了有效的响应策略。安全信息和事件管理(SIEM)系统、入侵检测系统(IDS)和入侵防御系统(IPS)工具集中、保护和关联安全事件,防止攻击者隐藏他们的活动,同时为以后的事后调查和取证分析保留审计线索。COBIT管理实践DSS05.07管理漏洞和监控安全相关事件的基础设施中强调,安全工具、技术和检测与一般事件监控和事件管理相结合是非常重要的。
遵循预定义的事件响应计划(响应)
一旦发生事故,重要的是要有一个可行的应对计划。该计划应考虑可能发生的情况(例如,部分失去对IT基础设施的控制)和可接受的响应策略(例如,断开IT网段以防止攻击的进一步蔓延)。主要利益相关者应验证响应计划、其启动标准和通信协议,还应向响应团队提供足够的授权。与主要利益相关者进行桌面演练可以帮助识别响应策略中的潜在差距。DSS02.05解决和恢复事件的COBIT活动包括选择和应用最合适的事件解决方案,记录事件解决方案是否使用了可以变通的方法,执行恢复操作,记录事件解决方案并评估该解决方案是否可作为未来的知识来源。
保证及时恢复基本组件和服务(恢复)
在发生安全事件时,确保完整恢复的主要措施是定期备份应用程序、数据库和IT基础设施的组件(包括目录服务、虚拟基础设施和网络设备的配置),并定期进行测试演练,以重建关键的IT系统和数据。许多类型的勒索软件都有内置功能,可以检测到备份的位置,并将其加密。将关键的备份放在只读存档中可以防止这种情况的发生。另一个保持重要组织信息安全的措施是将副本存储在一个隔离的非现场位置(数据存储库),同样重要的是,不要忘记依赖于外部第三方的恢复方案。COBIT管理实践 "调整、计划和组织"(APO)10.04管理供应商风险建议识别和管理与供应商持续提供安全、高效和有效服务能力的相关风险。这也包括与直接供应商的服务交付有关的分包商或上游供应商。
调整系统架构以防止漏洞的再次发生(响应)
根据COBIT管理实践APO12. 02分析风险,重要的是要评估与网络入侵情景相关的重复发生的可能性和损失的规模,将相关的损失风险与风险偏好和容忍度进行比较,以确定不可接受的或升级的风险,为超过风险容忍度的情景提出对策。对风险缓解措施的适当关键控制措施规定高层次的要求和期望,确认分析与企业要求相一致,并验证评估是否经过适当的校准和仔细检查偏差,分析潜在风险应对方案的成本/效益,如避免、减少/缓解、转移/分担和接受。例如,在实践中,事故后的分析可以推动系统架构的调整,如避免使用导致漏洞的技术。措施可能包括更换软件组件(如脆弱的数据库,中间件技术),增加额外的节点以提高性能或创建冗余,改变通信协议,或简化总体设计(如使用集中的消息传递系统而不是系统间的网状连接)。
调整操作流程,防止违规事件再次发生(响应)
在某些情况下,改变IT系统架构可能是不够的,或者成本太高。相反,组织可能会选择部分改变或暂停一个业务流程以避免相应的风险。例如,在过去,一些社交网络决定限制其公共应用程序接口(API),因为它们经常被其合法的最终用户滥用。其解决方案是在允许第三方访问其API之前实施严格的审查程序。
结论
当IT系统的复杂性成倍增长时,网络安全入侵的成功概率也在增长。在组织的IT基础设施和业务运营完全或部分受损的情况下,恢复能力可以成为一些组织的整体生存能力的问题。构建系统时考虑到网络弹性,有助于降低保护措施的成本,限制入侵发生时的影响,并能更快地重建IT系统和服务。使用NIST CSF可以实现一种结构化的方法,简化对企业网络弹性的评估。换句话说,相关的COBIT管理实践和活动有助于确定最佳的应对措施,并能有效地用于加强一个组织的整体网络弹性的态势。
编者注:本文首次发表于2022年1月19日ISACA官网News and Trends /Newsletter/@ISACA。尾注略。文章内容仅代表作者本人观点。
作者:Alexander Obraztsov,CISA,CCAK,CISSP,PMP,是一家位于美国纽约的投资银行机构的IT审计总监。Obraztsov是一位经验丰富的IT风险和鉴证以及信息安全专业人士,在金融行业拥有超过12年的经验。
翻译:王岩 (Liam Wong),CISA、CDPSE、CISSP、PMP、OCM 11g/12c、PGCA、MCDBA、MCSE,ISACA微信公众号特邀通讯员。
校对:谭辰菲(William Tan),CISSP,CISA,CDPSE,CRISC, ISACA微信公众号特邀通讯员,德国商业银行信息安全经理。