Dacă ați petrecut vreodată timp într-o echipă care a fost de gând după ce o Autoritate de a acționa (ATO) pentru a rula sistemul lor a Departamentului de Apărare (DoD) rețea în ultimii ani, probabil că au văzut (sau auzit) Cadrul de Gestionare a Riscurilor (RMF). Acest lucru este prezentat de Institutul Național de standarde și tehnologii (NIST)., Este un cadru comun de securitate pentru a îmbunătăți securitatea informațiilor, pentru a consolida gestionarea riscurilor sistemelor și pentru a încuraja agențiile să aibă încredere în ATO pentru a scurta termenele sistemelor utilizate.și dacă ați făcut parte din oricare dintre aceste Echipe chiar și într-un mod mic, știți că este un proces foarte dureros și intensiv manual de liste de verificare, documentare și verificare a faptelor pentru a vă asigura că implementați controalele NIST. Și trebuie să le validați prin afișarea documentației relevante și a listelor de verificare a securității DISA. În plus, monitorizați continuu aceste informații în timp pentru a vă asigura conformitatea., Este foarte consumatoare de timp pentru a face toate acestea.în acest articol vă explicăm procesul de corelare a controalelor NIST cu listele de verificare DISA, modul în care o mulțime de grupuri o fac manual și modul în care instrumentul nostru 100% open source ajută la automatizarea acestui proces pentru a vă scurta termenele.,
atunci Când ai un sistem care are nevoie pentru a fi autorizat pe DoD rețele, trebuie să urmați nivel înalt procesul prezentat mai sus doar în diagrama prezentată la un nivel ridicat. Pentru aceia dintre noi care sunt în industria IT pentru DoD acest lucru sună prea familiar., Mai întâi clasificați sistemul dvs. în eMass (înalt, moderat, scăzut, are PII?) și apoi selectați familiile de control NIST pe care trebuie să le implementați. Aceasta este partea stângă a diagramei de mai sus. Ați rămas cu o listă de controale de implementat pentru sistemul dvs.
apoi, un proces separat este pornit, definind ce stive tehnologice aveți în sistemul dvs., astfel încât să știți ce liste de verificare DISA STIG trebuie să utilizați împreună cu alte documentații pentru a arăta conformitatea cu toate controalele NIST pe care trebuie să le implementați.,
Bazate pe tehnologii/software în sisteme trebuie să te STIG zona de descărcare și trage în jos liste de verificare pentru software-ul, cum ar fi Windows, Linux, Oracle, .NET, Java, și ca. Aceasta este partea dreaptă a diagramei de mai sus. Dezarhivați acele fișiere, scoateți fișierele relevante din lista de verificare, încărcați-le în Stig viewer bazat pe Java și apoi începeți să vă creați listele de verificare prin Stig viewer.
apoi vine partea cea mai grea: trebuie să le legați. Conectați elementele individuale ale listei de verificare la controalele NIST pentru a vă asigura că le implementați corect., Dacă ați avut nici o parte în a face acest lucru pentru autorizarea DoD pe sisteme știi durerea și magia neagră implicate în aceste procese prea bine!
Ok, deci tu ești în control și aveți liste de verificare. Trebuie să relatăm cele două. Deci, cum faci asta?, Pentru a conecta listele de verificare DISA Stig la familiile și controalele NIST, trebuie să vizitați site-ul https://public.cyber.mil și să descărcați fișierul XML CCI. Acel fișier XML are o listă cu toate elementele Control Correlation Identifier (CCI) și elementele corespunzătoare ale familiei de Control. NIST are familiile de control. DISA are listele de verificare. Acest fișier le raportează și vă arată relațiile dintre ele.
fiecare listă de verificare DISA Stig are mai multe elemente și fiecare element are unul sau mai multe elemente CCI listate pentru acea intrare pe lista de verificare., Vedeți imaginea de mai jos care prezintă un exemplu de securitate a aplicației & dezvoltare STIG. Intrarea evidențiată arată controalele CCI și NIST care acoperă elementul lista de verificare. Acest articol are un CCI 001453 și indică controlul AC-17. Și asta este pentru acel element din acea listă de verificare! Repetați acest lucru de câteva sute de ori și vedeți procesul manual despre care vorbim.,
Odată ce ați începe pentru a pune împreună toate liste de verificare pentru software-ul și serverele în sistemul dvs., acum trebuie să raporteze cu privire la acestea la NIST controale pentru a arăta care sunt multumit si care mai au încă de lucru de făcut. Cum arată un control este îndeplinită?, Ei bine, pentru fiecare control (adică AC-2 Account Management) trebuie să arătați cum orice listă de verificare care are o CCI care se referă la AC-2 este fie „nu o constatare”, fie „nu se aplică”. Dacă oricare dintre elementele listei de verificare care se referă la AC-2 este fie „deschis”, fie „nu este revizuit”, atunci controlul nu este încă satisfăcut. Dacă trebuie să rămână deschisă, atunci aveți nevoie de documentație cu privire la motivul și un posibil plan privind satisfacerea în cele din urmă a controlului.pentru multe dintre echipele cu care am lucrat în ultimii ani (inclusiv o echipă mică în 2019), acesta este un proces manual care durează săptămâni!, Și apoi trebuie să țineți pasul cu controalele și elementele din lista de verificare pe măsură ce actualizați sistemele, software-ul, patch-urile și procesele. < introduceți emoji față de palmier aici!>
dacă nu sunteți epuizat doar citind toate acestea, încercați să o faceți! Faceți acest lucru pentru un sistem mic care are 15 servere (sau mașini virtuale) și o medie de 5 liste de verificare (Windows, Java,. net, IIS, SQL Server, Webserver etc.) pe server., Corelați acele elemente individuale ale listei de verificare cu controalele și asigurați-vă că toate sunt valide și contabilizate, deoarece aprobarea sistemului dvs. depinde de aceste informații. Veți fi în lista de verificare iad cu unele foi de calcul Excel, e-mailuri, și o aplicație personalizat crescut sau două încercarea de a face sens de toate acestea. Cu un termen limită și managerii de proiect care solicită statutul, deoarece data livrării se apropie.trebuie să existe o cale mai bună! Acest lucru este prea lent. Sunt prea multe lucruri pentru a relaționa manual. Nu există un singur loc pentru a gestiona toate informațiile., Iar conducerea nu poate vedea starea fără să ne deranjeze. De aceea am făcut și continuăm să îmbunătățim instrumentul OpenRMF complet open source.
Soluție: Cum de a Automatiza Părți ale NIST Control pentru a STIG Proces — OpenRMF
atunci Când prietenul meu Dave Gould (white hat hacker, securitatea cibernetică guru, de sistem și de rețea de admin) la Tutela si eu (inginer de software, computere) a început să vorbească pe acest oribil proces manual acum circa un deceniu (2004), am știut că cineva a avut de a automatiza pentru a face mai ușor de gestionat. Când nimeni nu a făcut acest lucru, am decis să nu ne mai plângem și să o facem noi înșine., Aceasta este în cazul în care instrumentul OpenRMF vine.
impactul OpenRMF este prezentat în diagrama de mai jos. Influențăm foarte mult zonele evidențiate în culoarea purpurie. Știi, părțile extrem de manuale ale procesului de aici! Puteți importa listele de verificare, le gestiona de sistem, a se vedea numărul de elemente deschise v.N/a V. nu este revizuit V. nu o constatare pe categorie STIG (1, 2, 3). Și puteți genera un raport de conformitate care corelează automat informațiile ridicate/moderate/scăzute și PII cu controalele relevante pe care trebuie să le satisfaceți în mod implicit., Lucrăm la mai multă automatizare a proceselor implicate (a se vedea mai târziu în acest articol) pentru a ajuta la eliminarea muncii lumești. Și lucrați la păstrarea pașilor cu valoare adăugată în care corelați elementele deschise, raportul de evaluare a riscurilor (RAR), planul de acțiuni și repere (POA&M) și informații similare pentru a vă securiza sistemele.,
Cu acest instrument, veți avea un 100% open source soluție pentru a vă ajuta să gestionați toate aceste informații într-un singur loc. O singură sursă de adevăr, care nu este un amestec de e-mail, fișiere listă de verificare, excel, foldere partajate, și rapoarte., Se poate referi în mod automat DISA STIGs la NIST RMF familii de Control, și de a organiza automat liste de verificare de sistem. Toate dintr-un browser web cu control de acces bazat pe roluri.acest instrument poate fi instalat local pe un laptop (folosind Docker), pe premisă sau în oricare dintre principalii furnizori de cloud care acceptă containere. Acest instrument vă ajută să eliminați misterul IA și să găsiți cu ușurință erori și delte în listele de verificare în câteva minute. Am făcut acest lucru la Tutela, arătând că un sistem autonom avea nume de servere duplicate în configurarea grupului de lucru.,
Iată un exemplu excelent privind utilizarea OpenRMF: un utilizator al acestui instrument a petrecut peste 2 săptămâni 1/2 aliniind manual acele elemente CCI și Stig stările listei de verificare DISA pentru a obține documentația finală creată. Ca un test, le-am avut petrece 5 minute de încărcare de 75 liste de verificare, executați OpenRMF Conformitate Generator (adăugați 1 minut) și a găsit o eroare într-una din statutul de control intrări care a fost marcat incorect „satisfăcut”. Ei au avut încă o problemă deschisă în zona de gestionare a accesului unei părți a software-ului lor.
ei au fost atât frustrat și fericit toate în același timp!, Și și-au corectat problema și au avansat mai încrezători în sistemul lor. Aceasta este o afacere mare. Și un economizor de timp imens. Și dă valoare și încredere între creatorii sistemului și evaluatorii sistemului.
pașii următori către mai multă automatizare a acestui proces
deci, unde altundeva vom stoarce mai multă automatizare?,dar-mult-prea-proces manual în deceniul actual:
- Importul SCAP de scanări, pentru a crea sau actualiza listele de verificare
- păstrarea SCAP scanează într-o singură sursă de adevăr
- ACAS (patch management) încărcări de a arăta rezultate
- Logare și de Audit în cadrul sistemului de conformitate și istorie
- rapoarte Mai detaliate
- Exportul unui Raport de Evaluare a Riscurilor (RAR) automat
- Generarea unui POA&M pe remedieri și datele propuse pentru respectarea pe „Open” articole
- mai mult ca acest proces se desfasoara…
Testați-l singur!,
dacă doriți să vedeți cum funcționează acest instrument, puteți vizita cu siguranță site-ul web pentru mai multe informații sau puteți sări direct la repo-urile GitHub pentru acest instrument. Sau puteți merge la site-ul demo, face un cont, și a obține un test numai în citire a software-ului.
este încă în versiune beta acum și îl actualizăm pe măsură ce mergem. Dacă doriți o demonstrație mai amănunțită a instrumentului, vă rugăm să nu ezitați să contactați pe Twitter pentru a întreba. Sau puneți probleme GitHub pentru o documentare mult mai bună. Lucrăm la documentația instrumentului, logo-ul, funcționalitatea, precum și la punctele finale API pentru integrarea cu alte instrumente.,sperăm că acest lucru vă ajută să vă micșorați cronologia și să automatizați unele dintre durerile de cap în gestionarea listelor de verificare și a documentației STIG către un ATO DoD de succes folosind procesul RMF. Da, am pus toate acele acronime acolo intenționat!
