si alguna vez ha pasado tiempo en un equipo que estaba persiguiendo a una autoridad para operar (ato) para ejecutar su sistema en una red del Departamento de Defensa (DoD) en los últimos años, probablemente haya visto (u oído hablar) del marco de gestión de riesgos (RMF). Esto es publicado por el Instituto Nacional de estándares y tecnologías (NIST)., Es un marco de seguridad común para mejorar la seguridad de la información, fortalecer la gestión de Riesgos de los sistemas y alentar a las agencias a confiar en ATOs para acortar los plazos de los sistemas en uso.
y si ha sido parte de cualquiera de estos equipos, incluso de una manera pequeña, sabe que es un proceso muy doloroso y manual de listas de verificación, documentación y verificación de hechos para asegurarse de implementar los controles del NIST. Y debe validarlos mostrando la documentación relevante y las listas de verificación de seguridad de DISA. Además, usted supervisa continuamente esta información a lo largo del tiempo para garantizar el cumplimiento., Es muy lento para hacer todo esto.
en este artículo explicamos el proceso de relacionar los controles de NIST con las listas de verificación de DISA, cómo muchos grupos lo hacen manualmente y cómo nuestra herramienta 100% de código abierto ayuda a automatizar este proceso para acortar sus plazos.,
Cuando usted tiene un sistema que debe ser autorizado en las redes, tienes que seguir el proceso descrito justo arriba en el diagrama que se muestra en un nivel alto. Para aquellos de nosotros que estamos en la industria de TI para el Departamento de Defensa esto suena demasiado familiar., Primero categoriza tu sistema en eMass (Alto, Moderado, Bajo, ¿tiene PII?) y luego seleccione las familias de control NIST que debe implementar. Este es el lado izquierdo del diagrama anterior. Le queda una lista de controles a implementar para su sistema.
luego se inicia un proceso separado, definiendo qué pila(s) de tecnología tiene en su sistema para que sepa qué Lista(s) de verificación DISA STIG tiene que usar junto con otra documentación para mostrar el cumplimiento con todos los controles NIST que necesita implementar.,
basado en las tecnologías / software en sus sistemas, debe ir al área de descarga de STIG y bajar las listas de verificación para su pila de software como Windows, Linux, Oracle,. Net, Java y similares. Este es el lado derecho del diagrama anterior. Descomprima esos archivos, extraiga los archivos de Lista de verificación relevantes, cárguelos en el visor STIG basado en Java y luego comience a crear sus listas de verificación a través del visor STIG.
luego viene la parte difícil: tienes que relacionarlos. Vincule los elementos individuales de la lista de verificación a los controles del NIST para asegurarse de que los está implementando correctamente., Si usted ha tenido alguna parte en hacer esto para la autorización del Departamento de defensa en los sistemas que conoce el dolor y la magia negra involucrados en estos procesos demasiado bien!
Ok, así que usted tiene los controles y tienes tus listas de verificación. Tenemos que relacionar los dos. Entonces, ¿cómo lo haces?, Para relacionar las listas de verificación de DISA STIG con las familias y controles de NIST, debe visitar el sitio web https://public.cyber.mil y descargar el archivo XML CCI. Ese archivo XML tiene una lista de todos los elementos del identificador de correlación de Control (CCI) y sus correspondientes elementos de la familia de Control. NIST tiene las familias de control. DISA tiene las listas de verificación. Este archivo los relaciona y le muestra las relaciones entre ellos.
cada lista de verificación de DISA STIG tiene varios elementos, y cada elemento tiene uno o más elementos CCI enumerados para esa entrada de Lista de verificación., Vea la siguiente captura de pantalla que muestra un ejemplo de seguridad de una aplicación & desarrollo STIG. La entrada resaltada muestra los controles CCI y NIST que cubre el elemento checklist. Este artículo tiene un CCI 001453 y apunta al Control AC-17. ¡Y eso es para ese elemento en esa lista de verificación! Repita esto unos cientos de veces más o menos y verá el proceso manual del que estamos hablando.,
seguridad de la aplicación & desarrollo stigs y controles de ejemplo CCI y NIST
Una vez que comience a armar todas sus listas de verificación para el software y los servidores en su sistema, ahora debe informar sobre ellos a sus controles NIST para mostrar cuáles están satisfechos y cuáles aún tienen trabajo por hacer. ¿Cómo se demuestra que un control está satisfecho?, Bueno, para cada control (Es decir, administración de cuentas AC-2) debe mostrar cómo cualquier lista de verificación que tenga un CCI relacionado con AC-2 es «no un hallazgo» o «no aplicable». Si alguno de los elementos de la lista de verificación que se relacionan con AC-2 está «abierto» o «no Revisado», entonces el control aún no está satisfecho. Si tiene que permanecer abierto, entonces necesita documentación sobre por qué y un posible plan para finalmente satisfacer el control.
para muchos de los equipos con los que he trabajado en los últimos años (incluido un pequeño equipo en 2019), este es un proceso manual que lleva semanas., Y luego debe mantenerse al día con los controles y los elementos de la lista de verificación a medida que actualiza los sistemas, el software, los parches y los procesos. < insertar cara Palma emoji aquí!>
Si no estás agotado leyendo todo eso, ¡intenta hacerlo! Haga esto para un sistema pequeño que tiene 15 servidores (o máquinas virtuales) y un promedio de 5 listas de verificación (Windows, Java,. NET, IIS, SQL Server, Webserver, etc.) por servidor., Relacione esos elementos individuales de la lista de verificación con los controles y asegúrese de que todos sean válidos y contabilizados, ya que la aprobación del sistema depende de esa información. Usted estará en el infierno lista de verificación con algunas hojas de cálculo de Excel, correos electrónicos, y una aplicación personalizada crecido o dos tratando de dar sentido a todo esto. Con una fecha límite que se avecina y los gerentes de proyecto preguntando el estado a medida que se acerca la fecha de entrega.
TIENE QUE haber una manera mejor! Esto es demasiado lento. Hay demasiadas cosas para relacionarlas manualmente. No hay un solo lugar para administrar toda la información., Y la gerencia no puede ver el estado sin molestarnos. Es por eso que creamos y seguimos mejorando la herramienta OpenRMF de código totalmente abierto.
la solución: Cómo automatizar partes del proceso NIST Control to STIG — OpenRMF
Cuando mi amigo Dave Gould (hacker de sombrero blanco, gurú de la ciberseguridad, administrador de sistemas y redes) en Tutela y yo (ingeniero de software, geek de computadoras) comenzamos a hablar sobre este proceso horriblemente manual hace aproximadamente una década (2004) sabíamos que alguien tenía que automatizarlo para hacerlo más manejable. Cuando nadie se puso de pie para hacer eso, decidimos dejar de quejarnos y hacerlo nosotros mismos., Ahí es donde entra en juego la herramienta OpenRMF.
el impacto de OpenRMF se muestra en el siguiente diagrama. Influimos mucho en las áreas resaltadas en el color púrpura. Ya sabes, las partes altamente manuales del proceso aquí! Puede importar sus listas de verificación, administrarlas por Sistema, ver el número de elementos abiertos v. N / A v. No revisado v. no es un hallazgo por categoría STIG (1, 2, 3). Además, puede generar un informe de cumplimiento que correlacione automáticamente la información de alta / moderada / baja e PII con los controles relevantes que necesita satisfacer de forma predeterminada., Estamos trabajando en una mayor automatización de los procesos involucrados (ver más adelante en este artículo) para ayudar a sacar el trabajo mundano de esto. Y trabaje en mantener los pasos de valor agregado donde relaciona los elementos abiertos, el informe de evaluación de riesgos (RAR), el plan de acciones e hitos (POA&M) e información similar para proteger sus sistemas.,
penrmf para ayudar a automatizar este gran proceso manual para familias NIST y controles a Disa stigs
con esta herramienta tiene una solución 100% de código abierto para ayudarlo a administrar toda esta información en un solo lugar. Una única fuente de verdad que no es una mezcla de correo electrónico, Archivos de Lista de verificación, excel, carpetas compartidas e informes., Puede relacionar automáticamente Disa STIGs con familias de Control de RMF NIST y organizar automáticamente listas de verificación por sistema. Todo desde un navegador web con control de acceso basado en roles.
esta herramienta se puede instalar localmente en una computadora portátil (utilizando Docker), en las instalaciones o en cualquiera de los principales proveedores de nube que admiten contenedores. Esta herramienta ayuda a eliminar el misterio de IA y encontrar fácilmente errores y deltas en las listas de verificación en minutos. Hemos hecho esto mismo en Tutela, mostrando que un sistema autónomo tenía nombres de servidor duplicados en su configuración de grupo de trabajo.,
Aquí hay un gran ejemplo sobre el uso de OpenRMF: un usuario de esta herramienta pasó más de 2 1/2 semanas alineando manualmente los elementos CCI y los estados de la lista de verificación de DISA STIG para crear su documentación final. Como prueba, pasamos 5 minutos cargando sus 75 listas de verificación, ejecutamos el generador de cumplimiento de OpenRMF (agregamos 1 minuto más allí) y encontramos un error en una de las entradas de estado de control que estaba incorrectamente marcada como «satisfecho». Todavía tenían un problema abierto en el área de gestión de acceso de una parte de su software.
¡ambos estaban frustrados y felices al mismo tiempo!, Y corrigieron su problema y avanzaron con más confianza en su sistema. Eso es algo importante. Y un gran ahorro de tiempo. Y da valor y confianza entre los creadores del sistema y los evaluadores del sistema.
próximos pasos hacia una mayor automatización de este Proceso
entonces, ¿dónde más vamos a exprimir más automatización?,pero un proceso demasiado manual en la década actual:
- importar SCAP scans para crear o actualizar listas de verificación
- almacenar los SCAP scans en una sola fuente de verdad
- cargas de ACAS (administración de parches) para mostrar resultados
- Registro y Auditoría en todo el sistema para el cumplimiento y el historial
- informes más detallados
- exportar un informe de Evaluación de riesgos (RAR) automáticamente
- Generar un POA&m en correcciones y fechas propuestas para el cumplimiento en elementos «abiertos»
- mucho más a medida que se desarrolla este proceso
¡pruébelo usted mismo!,
Si desea ver cómo funciona esta herramienta, puede visitar el sitio web para obtener más información o ir directamente a los repositorios de GitHub para esta herramienta. O puede ir al sitio de demostración, crear una cuenta y obtener una prueba de solo lectura del software.
todavía está en beta ahora y lo estamos actualizando a medida que avanzamos. Si desea una demostración más completa de la herramienta, no dude en comunicarse con Twitter para preguntar. O poner en problemas de GitHub para una mejor documentación. Estamos trabajando en la documentación de la herramienta, el logotipo, la funcionalidad y los puntos finales de API para la integración con otras herramientas.,
esperamos que esto le ayude a reducir su cronograma y automatizar algunos de los dolores de cabeza en la gestión de sus listas de verificación y documentación de STIG hacia una ato exitosa del Departamento de Defensa utilizando el proceso de RMF. ¡Puse todas esas siglas allí a propósito!
