Si vous avez déjà passé du temps dans une équipe qui cherchait une autorité D’exploitation (ATO) pour exécuter leur système sur un réseau du Ministère de la Défense (DoD) ces dernières années, vous avez probablement vu (ou entendu parler) du Ceci est publié par le National Institute of Standards and Technologies (NIST)., Il s’agit d’un cadre de sécurité commun pour améliorer la sécurité de l’information, renforcer la gestion des risques des systèmes et encourager les agences à faire confiance à ATOs pour raccourcir les délais d’utilisation des systèmes.
et si vous avez fait partie de l’une de ces équipes, même dans une petite mesure, vous savez que c’est un processus très douloureux et Manuel de listes de contrôle, de documentation et de vérification des faits pour vous assurer que vous implémentez les contrôles NIST. Et vous devez les valider en montrant la documentation pertinente et les listes de contrôle de sécurité DISA. En outre, vous surveillez en permanence ces informations au fil du temps pour assurer la conformité., Il est très coûteux en temps de faire tout cela.
dans cet article, nous expliquons le processus de mise en relation des contrôles NIST aux listes de contrôle DISA, comment de nombreux groupes le font manuellement et comment notre outil 100% open source aide à automatiser ce processus pour raccourcir vos délais.,
lorsque vous avez un système qui doit être autorisé sur les réseaux dod, vous devez suivre le processus de haut niveau décrit juste ci-dessus dans le diagramme montré à un haut niveau. Pour ceux d’entre nous qui sont dans l’industrie informatique pour DoD cela semble trop familier., Tout d’abord, vous catégorisez votre système dans eMass (élevé, modéré, faible, a-t-il des PII?) et puis vous sélectionnez les familles de contrôle NIST que vous devez implémenter. C’est le côté gauche du diagramme ci-dessus. Il vous reste une liste de contrôles à implémenter pour votre système.
ensuite, un processus distinct est lancé, définissant la pile technologique que vous avez dans votre système afin que vous sachiez quelle liste de contrôle DISA STIG vous devez utiliser avec d’autres documents pour montrer la conformité avec tous les contrôles NIST que vous devez implémenter.,
en fonction des technologies / logiciels de vos systèmes, vous devez accéder à la zone de téléchargement STIG et tirer vers le bas les listes de contrôle de votre pile logicielle telle que Windows, Linux, Oracle,. Net, Java, etc. C’est le côté droit du diagramme ci-dessus. Décompressez ces fichiers, extrayez les fichiers de liste de contrôle pertinents, chargez-les dans la visionneuse Stig basée sur Java, puis commencez à créer vos listes de contrôle via la visionneuse STIG.
vient ensuite la partie difficile: vous devez les relier. Vous liez les éléments individuels de la liste de contrôle aux contrôles NIST pour vous assurer de les implémenter correctement., Si vous avez eu un rôle à jouer pour l’Autorisation du DoD sur les systèmes, vous connaissez trop bien la douleur et la magie noire impliquées dans ces processus!
Ok, donc vous avez votre contrôle et vous avez vos listes de vérification. Nous avons besoin de relier les deux. Alors, comment faites-vous cela?, Pour relier les listes de contrôle DISA STIG aux familles et contrôles NIST, vous devez visiter le site webhttps://public.cyber.mil et télécharger le fichier XML CCI. Ce fichier XML contient une liste de tous les éléments D’Identificateur de corrélation de contrôle (CCI) et de leurs éléments de famille de contrôle correspondants. Le NIST a les familles de contrôle. DISA a les listes de contrôle. Ce fichier les relie et vous montre les relations entre eux.
chaque liste de contrôle Stig DISA comporte plusieurs éléments, et chaque élément comporte un ou plusieurs éléments CCI répertoriés pour cette entrée de liste de contrôle., Voir la capture d’écran ci-dessous montrant un exemple D’une application Security & Development STIG. L’entrée en surbrillance affiche les contrôles CCI et NIST que couvre l’élément de liste de contrôle. Cet article a un CCI 001453 et il pointe vers le contrôle AC-17. Et c’est pour ce seul élément dans cette liste de contrôle! Répétez cela quelques centaines de fois environ et vous voyez le processus manuel dont nous parlons.,
Une fois que vous commencez à mettre en place toutes vos listes de contrôle pour le logiciel et les serveurs dans votre système, vous devez maintenant faire rapport sur eux à vos contrôles NIST pour montrer qui sont satisfaits et qui ont encore du travail à faire. Comment montrez-vous qu’un contrôle est satisfait?, Eh bien, pour chaque contrôle (c.-À-D. gestion de Compte AC-2), vous devez montrer comment toute liste de contrôle qui a un CCI qui se rapporte à AC-2 est soit « pas une conclusion” ou « sans objet”. Si l’un des éléments de la liste de contrôle qui se rapporte à AC-2 est « ouvert” ou « non examiné », le contrôle n’est pas encore satisfait. S’il doit rester ouvert, vous avez besoin de documentation sur les raisons et d’un plan possible pour éventuellement satisfaire le contrôle.
Pour de nombreuses équipes avec lesquelles j’ai travaillé au cours des dernières années (dont une petite équipe en 2019), il s’agit d’un processus manuel qui prend des semaines!, Ensuite, vous devez suivre les contrôles et les éléments de la liste de contrôle lorsque vous mettez à jour les systèmes, les logiciels, les correctifs et les processus. <insérer le visage palm emoji ici!>
Si vous n’êtes pas épuisé en lisant tout cela, essayez de le faire! Faites-le pour un petit système qui a 15 serveurs (ou machines virtuelles) et une moyenne de 5 listes de contrôle (Windows, Java,. net, IIS, SQL Server, Webserver, etc.) par serveur., Reliez ces éléments individuels de la liste de contrôle aux contrôles et assurez-vous qu’ils sont tous valides et pris en compte, car l’approbation de votre système dépend de ces informations. Vous serez dans l’enfer de la liste de contrôle avec des feuilles de calcul Excel, des e-mails et une application personnalisée ou deux essayant de donner un sens à tout cela. Avec une échéance imminente et des chefs de projet demandant le statut à mesure que la date de livraison se rapproche.
il doit y avoir un meilleur moyen! C’est trop lent. Il y a trop de choses à relier manuellement. Il n’y a pas d’endroit unique pour gérer toutes les informations., Et la direction ne peut pas voir le statut sans nous déranger. C’est pourquoi nous avons créé et continuons à améliorer L’outil OpenRMF entièrement open source.
la Solution: Comment automatiser des parties du contrôle NIST au processus STIG — OpenRMF
quand mon copain Dave Gould (hacker White hat, gourou de la cybersécurité, administrateur système et Réseau) chez Tutela et moi (ingénieur logiciel, geek informatique) avons commencé à parler de ce processus horriblement manuel il y a une décennie (2004), nous savions que quelqu’un devait l’automatiser pour le rendre plus gérable. Quand personne n’est intervenu pour le faire, nous avons décidé d’arrêter de nous plaindre et de le faire nous-mêmes., C’est là que L’outil OpenRMF entre en jeu.
L’impact D’OpenRMF est illustré dans le diagramme ci-dessous. Nous influencons grandement les zones mises en évidence dans la couleur Pourpre. Vous savez, les parties très manuelles du processus ici! Vous pouvez importer vos listes de contrôle, les gérer par système, voir le nombre d’éléments ouverts v. N/A v. Non examiné v. non trouvé par catégorie STIG (1, 2, 3). Et vous pouvez générer un rapport de conformité qui met automatiquement en corrélation les informations élevées/modérées/faibles et PII avec les contrôles pertinents que vous devez satisfaire par défaut., Nous travaillons sur plus d’automatisation des processus impliqués (voir plus loin dans cet article) pour aider à éliminer le travail banal de cela. Et travaillez à conserver les étapes à valeur ajoutée où vous reliez les éléments ouverts, le rapport d’évaluation des risques (RAR), le plan d’actions et les jalons (POA&M), et des informations similaires pour sécuriser vos systèmes.,
Avec cet outil vous avez un 100% solution open source pour vous aider à gérer toutes ces informations en un seul endroit. Une source unique de vérité qui n’est pas un mélange de courrier électronique, de fichiers de liste de contrôle, d’excel, de dossiers partagés et de rapports., Il peut automatiquement relier les STIGs DISA aux familles de contrôle NIST RMF et organiser automatiquement les listes de contrôle par système. Le tout à partir d’un navigateur Web avec un contrôle d’accès basé sur les rôles.
Cet outil peut être installé localement sur un ordinateur portable (à L’aide de Docker), sur site ou dans l’un des principaux fournisseurs de cloud prenant en charge les conteneurs. Cet outil permet de supprimer le mystère IA et de trouver facilement les erreurs et les deltas dans les listes de contrôle en quelques minutes. Nous avons fait cette chose même à Tutela, montrant un système autonome avait des noms de serveur en double dans leur configuration de groupe de travail.,
Voici un excellent exemple d’utilisation D’OpenRMF: un utilisateur de cet outil a passé plus de 2 1/2 semaines à aligner manuellement ces éléments CCI et les Statuts de la liste de contrôle DISA STIG pour créer sa documentation finale. À titre de test, nous leur avons fait passer 5 minutes à charger leurs 75 listes de contrôle, exécuter le Générateur de conformité OpenRMF (ajoutez 1 minute de plus) et il a trouvé une erreur dans l’une des entrées d’état de contrôle qui était incorrectement marquée « satisfait”. Ils avaient encore un problème ouvert dans la zone de gestion des accès d’une partie de leur logiciel.
ils étaient tous deux frustrés et heureux en même temps!, Et ils ont corrigé leur problème et ont avancé plus confiants dans leur système. C’est une grosse affaire. Et un énorme gain de temps. Et apporte de la valeur et de la confiance entre les créateurs du système et les évaluateurs du système.
prochaines étapes vers plus D’automatisation de ce processus
alors, où allons-nous faire sortir plus d’automatisation?,mais un processus beaucoup trop manuel dans la décennie actuelle:
- importer des scans SCAP pour créer ou mettre à jour des listes de contrôle
- stocker les scans SCAP dans une seule source de vérité
- ACAS (patch management) télécharge pour afficher les résultats
- journalisation et Audit à travers le système pour la conformité et div id= »44dccaa2b5″>
m sur les correctifs et les dates proposées pour la conformité sur les éléments « ouverts”
testez-le vous-même!,
Si vous voulez voir comment cet outil fonctionne, vous pouvez certainement visiter le site web pour plus d’informations ou aller directement au dépôt GitHub pour cet outil. Ou vous pouvez aller sur le site de démonstration, créer un compte et obtenir un test en lecture seule du logiciel.
Il est toujours en version bêta maintenant et nous le mettons à jour au fur et à mesure. Si vous souhaitez une démonstration plus approfondie de l’outil, n’hésitez pas à contacter Twitter pour demander. Ou mettez des problèmes GitHub pour une bien meilleure documentation. Nous travaillons sur la documentation de l’outil, le logo, les fonctionnalités ainsi que les points de terminaison de L’API pour l’intégration avec d’autres outils.,
Nous espérons que cela vous aidera à réduire votre calendrier et à automatiser certains des maux de tête dans la gestion de vos listes de contrôle STIG et de la documentation vers un DoD ATO réussi en utilisant le processus RMF. Oui, j’ai mis tous ces acronymes là-dedans exprès!
