Se avete mai trascorso del tempo su un team che stava andando dopo un’autorità di operare (ATO) per eseguire il loro sistema su un Dipartimento della Difesa (DoD) rete negli ultimi anni, probabilmente avete visto (o sentito parlare) il Risk Management Framework (RMF). Questo è messo fuori dal National Institute of Standards and Technologies (NIST)., Si tratta di un quadro di sicurezza comune per migliorare la sicurezza delle informazioni, rafforzare la gestione del rischio dei sistemi e incoraggiare le agenzie a fidarsi degli ATO per abbreviare i tempi dei sistemi in uso.
E se hai fatto parte di uno di questi team anche in piccolo, sai che è un processo molto doloroso e intensivo manualmente di liste di controllo, documentazione e controllo dei fatti per assicurarti di implementare i controlli NIST. E devi convalidarli mostrando la documentazione pertinente e le liste di controllo di sicurezza DISA. Inoltre, è possibile monitorare costantemente queste informazioni nel tempo per garantire la conformità., È molto tempo per fare tutto questo.
In questo articolo spieghiamo il processo di correlare i controlli NIST alle liste di controllo DISA, come molti gruppi lo fanno manualmente e come il nostro strumento 100% open source aiuta ad automatizzare questo processo per abbreviare le scadenze.,
Quando si dispone di un sistema che deve essere autorizzato su DoD reti, è necessario seguire il processo descritto appena sopra indicato nel diagramma a un livello elevato. Per quelli di noi che sono nel settore IT per DoD questo suona fin troppo familiare., Per prima cosa categorizzi il tuo sistema in eMass (Alto, Moderato, Basso, ha PII?) e poi selezioni le famiglie di controllo NIST che devi implementare. Questo è il lato sinistro del diagramma sopra. Ti rimane un elenco di controlli da implementare per il tuo sistema.
Quindi viene avviato un processo separato, che definisce quali stack tecnologici hai nel tuo sistema in modo da sapere quali liste di controllo DISA STIG devi usare insieme ad altra documentazione per mostrare la conformità con tutti i controlli NIST che devi implementare.,
In base alle tecnologie / software nei vostri sistemi si deve andare l’area di download STIG e tirare giù le liste di controllo per il vostro stack software come Windows, Linux, Oracle,. NET, Java, e simili. Questo è il lato destro del diagramma sopra. Decomprimere i file, estrarre i file della lista di controllo pertinenti, caricarli nel visualizzatore STIG basato su Java e quindi iniziare a creare le liste di controllo tramite il visualizzatore STIG.
Poi arriva la parte difficile: devi metterli in relazione. Si collegano i singoli elementi della lista di controllo ai controlli NIST per assicurarsi di implementarli correttamente., Se hai avuto qualche parte nel fare questo per l’autorizzazione DoD sui sistemi conosci troppo bene il dolore e la magia nera coinvolti in questi processi!
Ok, così i controlli e le liste di controllo. Dobbiamo mettere in relazione le due cose. Allora, come fai?, Per collegare le liste di controllo DISA STIG alle famiglie e ai controlli NIST è necessario visitare il sito webhttps://public.cyber.mil e scaricare il file XML CCI. Tale file XML contiene un elenco di tutti gli elementi CCI (Control Correlation Identifier) e i relativi elementi della famiglia di controllo corrispondenti. NIST ha le famiglie di controllo. DISA ha le liste di controllo. Questo file li mette in relazione e vi mostra le relazioni tra di loro.
Ogni lista di controllo DISA STIG ha più elementi e ogni elemento ha uno o più elementi CCI elencati per quella voce della lista di controllo., Vedi lo screenshot qui sotto che mostra un esempio di un’applicazione Security & Development STIG. La voce evidenziata mostra i controlli CCI e NIST coperti dall’elemento checklist. Questo articolo ha un CCI 001453 e punta al controllo AC-17. E questo è per quell’unico elemento in quella lista di controllo! Ripetere questo alcune centinaia di volte o giù di lì e si vede il processo manuale di cui stiamo parlando.,
una Volta che si inizia a mettere insieme tutte le tue liste di controllo per il software e server nel vostro sistema, è necessario per riferire su di loro per il NIST controlli per mostrare che sono soddisfatto e che hanno ancora del lavoro da fare. Come si fa a mostrare un controllo è soddisfatto?, Bene, per ogni controllo (cioè Gestione account AC-2) è necessario mostrare come qualsiasi lista di controllo che abbia un CCI relativo a AC-2 sia “Non un risultato” o “Non applicabile”. Se uno qualsiasi degli elementi della lista di controllo relativi a AC-2 è “Aperto” o “Non rivisto”, il controllo non è ancora soddisfatto. Se deve rimanere aperto, è necessaria la documentazione sul perché e un possibile piano per soddisfare eventualmente il controllo.
Per molti dei team con cui ho lavorato negli ultimi anni (incluso un piccolo team nel 2019), questo è un processo manuale che richiede settimane!, E poi devi tenere il passo con i controlli e gli elementi della lista di controllo mentre aggiorni sistemi, software, patch e processi. <Inserisci emoji del palmo della faccia qui!>
Se non sei esausto nel leggere tutto ciò, prova a farlo! Fai questo per un piccolo sistema con 15 server (o macchine virtuali) e una media di 5 liste di controllo (Windows, Java,. NET, IIS, SQL Server, Webserver, ecc.) per server., Collega i singoli elementi della lista di controllo ai controlli e assicurati che siano tutti validi e contabilizzati poiché l’approvazione del sistema dipende da tali informazioni. Sarai nell’inferno della lista di controllo con alcuni fogli di calcolo Excel, e-mail e un’applicazione personalizzata o due che cercano di dare un senso a tutto questo. Con una scadenza incombente e project manager chiedendo lo stato come la data per la consegna si avvicina.
Ci DEVE essere un modo migliore! E ‘ troppo lento. Ci sono troppe cose da mettere in relazione manualmente. Non esiste un unico posto per gestire tutte le informazioni., E la direzione non può vedere lo stato senza disturbarci. Questo è il motivo per cui abbiamo creato e continuiamo a migliorare lo strumento OpenRMF completamente open source.
La soluzione: Come automatizzare parti del controllo NIST al processo STIG — OpenRMF
Quando il mio amico Dave Gould (white hat hacker, cybersecurity guru, system and network admin) a Tutela e io (software engineer, computer geek) ha iniziato a parlare di questo processo orribilmente manuale circa un decennio fa (2004) sapevamo che qualcuno doveva automatizzarlo per renderlo più gestibile. Quando nessuno si è fatto avanti per farlo, abbiamo deciso di smettere di lamentarci e farlo da soli., È qui che entra in gioco lo strumento OpenRMF.
L’impatto di OpenRMF è mostrato nello schema seguente. Influenziamo notevolmente le aree evidenziate nel colore viola. Sai, le parti altamente manuali del processo qui! È possibile importare le liste di controllo, gestirli per sistema, vedere il numero di elementi aperti v. N/Un v. Non rivisto v. Non una constatazione per categoria STIG (1, 2, 3). È inoltre possibile generare un report di conformità che correla automaticamente le informazioni alto/moderato/basso e PII ai controlli pertinenti che è necessario soddisfare per impostazione predefinita., Stiamo lavorando su più automazione dei processi coinvolti (vedi più avanti in questo articolo) per aiutare a prendere il lavoro banale fuori di questo. E lavorare per mantenere i passaggi a valore aggiunto in cui si mettono in relazione le voci aperte, il rapporto di valutazione del rischio (RAR), il piano di azioni e pietre miliari (POA&M) e informazioni simili per proteggere i sistemi.,
Con questo strumento si dispone di un 100% soluzione open source per la gestione di tutte queste informazioni in un unico luogo. Un’unica fonte di verità che non è un mix di e-mail, file di lista di controllo, Excel, cartelle condivise e report., Può riguardare automaticamente gli STIG DISA alle famiglie di controllo NIST RMF e organizzare automaticamente le liste di controllo per sistema. Tutto da un browser web con controllo di accesso basato sul ruolo.
Questo strumento può essere installato localmente su un laptop (utilizzando Docker), on premise o in uno dei principali provider cloud che supportano i contenitori. Questo strumento aiuta a rimuovere il mistero IA e facilmente trovare errori e delta attraverso liste di controllo in pochi minuti. Abbiamo fatto questa cosa a Tutela, mostrando un sistema autonomo aveva nomi di server duplicati nella loro configurazione del gruppo di lavoro.,
Ecco un ottimo esempio sull’uso di OpenRMF: un utente di questo strumento ha trascorso oltre 2 1/2 settimane allineando manualmente gli elementi CCI e gli stati della lista di controllo DISA STIG per ottenere la loro documentazione finale creata. Come test, li abbiamo fatti passare 5 minuti a caricare le loro liste di controllo 75, eseguire il generatore di conformità OpenRMF (aggiungere 1 altro minuto in là) e ha trovato un errore in una delle voci di stato del controllo che è stato erroneamente contrassegnato “soddisfatto”. Avevano ancora un problema aperto nell’area di gestione degli accessi di una parte del loro software.
Erano entrambi frustrati e felici tutti allo stesso tempo!, E hanno corretto il loro problema e sono andati avanti più fiduciosi nel loro sistema. Questo è un grosso problema. E un enorme risparmio di tempo. E conferisce valore e fiducia tra i creatori del sistema e i valutatori del sistema.
Prossimi passi verso una maggiore automazione di questo processo
Quindi dove altro stiamo andando a spremere più automazione?,ma-non-troppo-manuale di processo nel decennio in corso:
- Importazione di SCAP scansioni per creare o aggiornare le liste di controllo
- Memorizzazione SCAP scansioni in un’unica fonte di verità
- ACAS (patch management) upload per mostrare i risultati.
- la Registrazione e il Controllo di tutto il sistema per la conformità e la storia
- notizie Più dettagliate
- l’Esportazione di un Rapporto di Valutazione del Rischio (RAR) automaticamente
- la Generazione di un POA&M correzioni e le date proposte per la conformità su “Apri” elementi
- molto di più come questo processo si svolge…
Test it out di te!,
Se vuoi vedere come funziona questo strumento puoi sicuramente visitare il sito Web per ulteriori informazioni o saltare direttamente ai repository GitHub per questo strumento. Oppure puoi andare al sito demo, creare un account e ottenere un test di sola lettura del software.
È ancora in beta ora e lo stiamo aggiornando mentre andiamo. Se si desidera una demo più approfondita dello strumento non esitate a contattare su Twitter per chiedere. O inserire problemi GitHub per una documentazione molto migliore. Stiamo lavorando sulla documentazione dello strumento, il logo, la funzionalità e gli endpoint API per l’integrazione con altri strumenti.,
Speriamo che questo ti aiuti a ridurre la tua timeline e ad automatizzare alcuni dei mal di testa nella gestione delle liste di controllo e della documentazione STIG verso un ATO DoD di successo utilizzando il processo RMF. Sì ho messo tutte quelle sigle lì di proposito!