美国网络安全 | 网络卫生与CIS控制框架

网络安全观

发布于 2021-02-24 10:22:05

1.9K0

发布于 2021-02-24 10:22:05

文章被收录于专栏：网络安全观网络安全观

全文约7000字 16图阅读约20分钟

网络安全归根结底是做安全控制。关于安全控制选择的因素，除了常见的业务驱动、IT驱动、风险驱动、合规驱动等因素，本文将介绍另一个重要因素——基本网络卫生。这个词在国内似乎不常见，却是美国网络安全的常见词汇。

从某种程度上讲，基本网络卫生是安全控制的最小集合，是安全工作的基础之基础，具有最易入门、见效最快、通用性最强等特点，是安全需求极其迫切但资源极其短缺的组织的不二之选。

如果想到各种高级威胁攻击，难免会怀疑基本网络卫生的效果。的确，基本网络卫生主要用于解决威胁和漏洞带来的“低级别风险”。但事实证明，多年以来直到现在，绝大多数重大违规和攻击行为，都是由于组织未能遵循最基本的网络卫生实践（如补丁管理）而导致的。

CIS 20作为最易使用、最受欢迎的安全控制框架，正好提供了这样的“基本网络卫生”控制集合。这也是在介绍基本网络卫生时不得不讲CIS的原因。在仔细分解CIS基本网络卫生的控制集合（即CIS的前6项控制）时，可以发现，系统安全的四大流程（即资产/配置/漏洞/补丁管理）在其中均有充分体现。再一次印证：系统安全是网络卫生的重中之重。

如果准备将基本网络卫生作为安全第一步，那么绝不应该让它成为最后一步。因为成熟的网络安全工作，必须与风险管理结合起来。所以，笔者的建议是采取双管齐下的安全方法论，即将基本网络卫生与风险管理方法相结合。

注：需要CIS控制指南《CIS Controls v7.1》英文报告原文的读者，请关注“网络安全观”公众号，并在公众号后台输入文字“CIS控制”。

关键词：网络卫生（Cyber hygiene）、安全卫生（Security hygiene）、基线（Baseline）、基准（Benchmark）、CIS（互联网安全中心，Center for Internet Security）、实施组（IG，Implementation Group）

本文目录

一、网络卫生的重要性

二、卫生、基线、基准

1）网络卫生

2）控制基线

3）基准

三、CIS：最易实施的网络卫生框架

1）CIS控制框架的优点和不足

2）CIS控制和子控制

3）CIS控制之分类

4）CIS控制之实施组（IG）

5）CIS网络卫生之基本控制

6）CIS网络卫生之实施组1（IG1）

7）CIS基准

8）CIS强化镜像

四、NIST SP 800-53低影响基线

1）SP 800-53新版简介

2）SP 800-53控制基线

3）SP 800-53低影响基线

五、自定义的网络卫生

一、网络卫生的重要性

网络安全归根结底是做安全控制。安全控制的驱动因素主要包括业务驱动、IT驱动、风险驱动、合规驱动等类型。但实际上，除了这些常见的驱动因素之外，还有一种重要因素——基本网络卫生。而这真是本文的主题。

将上述各种驱动因素汇总成下图：

图1-安全控制的驱动因素

基本网络卫生的定位是基本的网络安全工作，其重要性不难理解。例如资产管理的弱点，会严重限制安全工作的有效性；而反病毒软件，无论何时都应该是任何组织的基本安全防护的一部分。

对于网络安全工作，有短期和长期两种视角：

从长期看，风险管理方法通常是最有效的；
从短期看，基本网络卫生通常是最有效的。

大家都知道，笔者一直强调安全架构设计的思想。但是对于完全没有安全基础又急于快速见效的客户，或者对于安全预算和资源极其有效的中小企业，可能最有效的方式就是基本网络卫生。

但另一方面，我们并不能因为短期目光而忽视长远考虑。由于组织的具体控制要求，通常会随着IT架构、法规、风险评估而变化。从长期看，通过风险管理方法选择安全控制措施，肯定是最优的，因为它提供了一种有针对性且与业务相关的控制措施选择方法。

关于基本网络卫生和风险管理方法的关系，笔者认同：采取风险管理方法的想法的确是好的，但不是第一步。相反，组织应该以一种检查表（Checklist）的方式，先实现一些基本网络卫生的控制项。可以设想，如果没有一个可靠的控制基线，组织将无法提供有效执行风险评估所需的上下文信息，因此也难以开展有效的风险管理。

下图展示了笔者如何看待基本网络卫生与风险管理方法之间的关系，即风险管理方法必须建立在基本网络卫生工作之上。同时，基本网络卫生决不能是一成不变的，而是必须随着时间推移，不断成熟和发展，根据风险管理方法分析确定的其它安全需求而扩大。

图2-网络卫生和风险管理的关系

该图表明，加强网络安全的真正最优的方法，其实是双管齐下的安全方法论，即将基本网络卫生与风险管理方法相结合。

当然，在现实中，可以采取急用先行的方式，先实施基本网络卫生以快速见效，然后再着手风险管理方法以实现长期最优。

二、卫生、基线、基准

网络卫生、控制基线、基准是比较容易混淆的词汇，也确实存在混用的情况。

网络卫生

网络卫生（Cyber hygiene）是在美国网络安全资料中的常见词汇，但在国内用得较少。笔者尚未找到对它的权威解释。笔者为什么要专门讲这个概念，原因有几个：

网络卫生确实在美国网络安全资料太常见，不可不知；
网络卫生是网络安全的基础之基础，不可不察；
网络卫士是所有企业应该遵循的“安全最小集”，具有最大的通用性；
网络卫生是最容易见效的（但并不是最优的）。

在CIS控制指南《CIS Controls Microsoft Windows 10 Cyber Hygiene Guide》中提到：从历史上看，CIS控制利用控制项的顺序作为一种手段，集中了组织的网络安全活动，从而导致CIS控制的前6项的集合，称为网络卫生。（Historically, the CIS Controls utilized the order of the Controls as a means of focusing an organization’s cybersecurity activities, resulting in a subset of the first six CIS Controls referred to as cyber hygiene.）

控制基线

在CNSSI-4009 （国家安全系统委员会术语）中的定义如下：

基线（baseline）：信息系统在给定时间点的硬件、软件和相关文档记录（documentation）。
基线配置（baseline configuration）：是指信息系统或系统内配置项的一套有文档记录的规范（specifications），该规范在一个给定时间点已经被正式地审查和同意，并且只能通过变更控制过程进行更改。

在NIST.SP.800-53r5-draft（草案）中的定义如下：

基线=控制基线（control baseline）：为低影响（low-impact）、中影响（moderate-impact）、高影响（high-impact）的系统所定义的，或基于隐私选择标准所选择的安全和隐私控制的集合，它为剪裁过程（tailoring process）提供了一个起点。
安全控制基线（security control baseline）：为低影响、中影响、高影响的信息系统定义的最低限度的安全控制的集合。
基线配置（baseline configuration）：同CNSSI-4009中的定义。

对于上述定义中的低影响（low-impact）、中影响（moderate-impact）、高影响（high-impact）的系统，其中的影响（impact），是指系统的安全目标（即机密性、完整性、可用性），被指定为FIPS出版物199中定义的潜在影响值（取值为低、中、高）。

NIST SP800-53中规定的低、中、高影响的系统的控制基线，是为了帮助美国联邦机构履行其在《联邦信息安全现代化法案》（FISMA）和其他联邦政策下的义务。

从上述定义中可知，基线/控制基线/安全控制基线在本质上确实含有“最低限度”的含义。当然，针对不同影响级别（低影响、中影响、高影响）的信息系统，可以有各自对应的基线。

基准

笔者尚未找到美国关于安全领域中“基准”（Benchmark）的权威定义。在CNSSI-4009可以发现，基准与检查表（Checklist）有类似之处。

CIS提供了“CIS基准”指南。CIS基准是目标系统的安全配置的最佳实践。CIS基准是可用于各个技术组的100多个配置指南，用于保护系统免受当今不断变化的网络威胁。

可以认为，CIS基准就是安全配置的设置和指南。

关于CIS基准的更多内容，可参见本文第三章第7节（CIS基准）。

三、CIS：最易实施的网络卫生框架

CIS控制框架的优点和不足

1）最受欢迎的安全控制框架

通过安全控制框架（SCF）来选择安全控制，是最简单易行的想法。安全控制框架（SCF）主要由一系列控制组成，这些控制在不同程度上通过各种选择、操控、管理方法打包在一起。

美国最受欢迎的3种安全控制框架（SCF）是CIS 20、NIST SP 800-53、ISO 27002。而其中最简单的是CIS 20。本文主要通过CIS 20来介绍网络卫生的控制项。

CIS 20在历史上被称为SANS 20，但在2015年被CIS（互联网安全中心）接管。CIS以其确保各种系统和设备安全的全面的技术基准清单而闻名。顾名思义，CIS框架列出了20个区域（称为控制），每个区域包含10个左右更详细的控制要求（称为子控制）。不少人以为CIS仅包含20个控制列表，但实际上它至少包含150个以上的详细控制项（子控制）。

2）CIS 20的优点

对于一无所有或开始起步的组织来说，CIS 20是一个很好的起点。它提出了大多数组织都应该使用的通用最佳实践控制。CIS 20中规定的基线控制，是根据广泛的行业经验选择的，也是基于对共同风险的理解而选择的。正是这个原因，使得CIS 20具有广泛的通用性。

CIS 20的控制主要集中在基本安全控制上，即所有组织都应该在某个级别上使用的控制，不管它们作为安全实践的成熟程如何。这也是笔者认为CIS控制最适合用于网络卫生的原因。

2）CIS 20的不足

CIS 20虽然非常流行，但不足以实现持续性的“良好”安全效果。最主要的原因是：CIS 20缺乏风险管理方法，来选择控制和进行治理。在决定使用CIS 20作为起点之后，还应该使用风险管理为安全过程带来成熟度。对于构建控制框架的长期成熟方法，NIST和ISO方法更为合适。

CIS控制和子控制

对CIS 20的每一个控制，都有更详细的子控制。子控制的内容包含子控制编号、资产类型、安全功能、控制标题、控制描述、实施组（IG）。如下图所示：

图3-CIS子控制示例：控制1（硬件资产的清单和控制）

在CIS控制文档（《CIS Controls v7.1》）中，对20个控制的每一个，都给出了系统实体关系图，如下图所示：

图4-CIS系统实体关系图示例：控制1（硬件资产的清单和控制）

CIS控制之分类

在CIS控制7.1版中，列出了20项安全控制。分为三类：

基本级（Basic）安全控制：前6项；
基础级（Foundational）安全控制：中10项；
组织级（Organizational）安全控制：后4项。

图5-CIS 20控制的分类

注：关于Basic和Foundational这两个词，确实经常同时出现且含义不同。依笔者理解，Basic偏向于入门性质；Foundational偏向于奠基性质，比Basic更高阶。

从上图可以看出，Control 1~16都是技术性控制；而Control 17~20更多是管理和流程方面的控制。

CIS控制之实施组（IG）

对于资源非常有限的组织来说，即便是CIS网络卫生控制集合（即前6项CIS控制的集合）中的许多实践，可能也难以实施。于是需要一套侧重于平衡资源限制和有效缓解风险的最佳实践。因此，CIS使用CIS实施组（IG），来确定CIS控制使用的优先级。

实施组（IG，Implementation Group）是基于网络安全属性对组织进行自我评估的类别。CIS通过实施组（IG）的维度，给出了针对不同规模组织的实施建议。

图6-实施组（IG）的定义

实施组（IG）的更多解释：

IG1（实施组1）：雇员人数在10人左右的家族企业，归类于IG1。只具备有限的IT人员和网络安全人员（也可能没有专职安全管理人员）。这类组织主要关注业务运行，对停机时间的容忍度有限；其数据敏感度数据很低，主要是围绕员工身份和财务信息。为IG1部署的控制项，可以挫败一般性的、非针对性的攻击。
IG2（实施组2）：对外提供服务的区域性的单位，归类于IG2。有专业团队和部门负责管理和保护企业的基础设施，有明确的职责划分。这类组织可能具有一定的法律合规性负担。IG2的组织会存储和处理敏感数据，也能够承受短时间的服务中断。为IG2选择的控制项，较IG1更加复杂，一些控制项需要依赖于企业级技术支持和专业知识。
IG3（实施组3）：雇员超过千人的大型企业，归类于IG3。该类组织会聘请安全专家，专门研究网络安全不同方面的问题。IG3的系统和数据，包含了受监管和合规监督的敏感信息或功能。IG3组织必须处理服务的可用性以及敏感数据的机密性和完整性。IG3控制项的主要目的，是减少恶意攻击的广度和深度。

实施组（IG）的分类反映了组织资源的充裕度，如下图所示：

图7-实施组（IG）的分类

IG代表了为不同类型的企业量身定制的CIS安全控制项。每个IG都建立在前一个IG的基础上，IG2包含IG1的所有子控制，IG3包含了IG1和IG2中所有的子控制。

在前面的图3中，通过最右侧的IG标记，说明了子控制所隶属的实施组（IG）。

CIS网络卫生之基本控制

CIS前6项CIS控制的集合（即基本级控制），称为网络卫生。如下表所示：

表8-CIS基本级控制

可见，CIS基本级控制总共有47个控制项。

值得强调的是，CIS基本级控制几乎完整包含了在《JIE（联合信息环境）启示和综述》和《新一代企业网络安全框架》之十大工程中提到的系统安全。系统安全的四大流程，即资产/配置/漏洞/补丁管理，在第1、2、3、5项控制中均有充分的体现。而第4、6项控制主要针对管理权限（特权管理）和日志审计，也是对于基本网络卫生而言非常重要的控制项。

可见，即便在CIS所指的网络卫生中，系统安全仍是重中之重。

CIS网络卫生之实施组1（IG1）

CIS建议组织实施控制项的顺序是：先实施IG1中的控制项，然后是IG2，最后是IG3。由于IG1中的控制项至关重要，IG1的实施应该作为网络安全计划的首要任务之一。

表9-CIS最小实施组（IG1）的控制项

可见，CIS实施组（IG1）总共有43个控制项。

单纯从数量上看，IG1的43个控制项与CIS基本级控制的47个控制项相比，并没有少多少。那么笔者推测，原因有二：

实现难度：IG1的实现难度，要比CIS基本级控制小；
领域覆盖度：IG1的领域覆盖度，要比CIS基本级控制大。从上面两个表格可以看出，CIS基本级控制只覆盖了CIS 20的前6项控制（但子控制比较全），而IG1的控制项则覆盖CIS 20中的18项控制（但子控制不全）。

CIS基准

CIS基准是目标系统的安全配置的最佳实践。CIS基准涵盖了超过14个技术组的100多个CIS基准。

图10-CIS基准的官方下载页面的截图

由上图可见，CIS基准覆盖的目标对象类别包括：操作系统、服务器软件、云提供商、移动设备、网络设备、桌面软件、多功能打印设备等。其中每一类又有细分，比如服务器软件又分为Web服务器、虚拟化、协作服务器、数据库服务器、DNS服务器、认证服务器。而每一类服务器又细分为不同的厂商型号。

CIS基准中有两个级别的轮廓（Profiles）：

1级（Level 1）轮廓：被视为基本建议，可被相当迅速地实施，并被设计为不会对性能产生广泛影响。1级概要文件基准的目的，是降低组织的攻击面，同时保持机器可用并且不妨碍业务功能。
2级（Level 2）轮廓：被认为是“纵深防御”，适用于安全性至关重要的环境。如果实施不当或不谨慎，则与2级概要文件相关的建议，可能会对您的组织产生不利影响。

大多数CIS基准包括多个配置轮廓文件。每个CIS基准中的每个建议，都至少与一个轮廓相关联。

下面给出了《CIS Microsoft Windows 10 Enterprise (Release 1909) Benchmark》中的控制总结的示例：

图11-CIS基准中的控制示例

上图中的每一条控制项的最前面，都用L1或L2轮廓进行了标记，表明了其适用的环境等级。

CIS强化镜像

前面讲到了CIS控制（CIS Controls）、CIS 基准（CIS Benchmarks），它们都是CIS的网络安全工具。除此之外，还包括其它的网络安全工具，如强化镜像（Hardened Images）。CIS的各种工具如下图所示：

图12-CIS网络安全工具

CIS强化镜像（Hardened Virtual Image）是根据适用的CIS基准进行安全配置的虚拟机镜像，基于级别1或级别2轮廓的CIS基准进行了配置。“强化”表明了安全性的增强。由上图可知，使用CIS强化镜像，是需要收费的。

图13-CIS强化镜像的产生原理

从上图可见，通过将CIS基准建议应用到云（AWS、Azure、Google、Oracle云）中的虚拟机上，就可以生成满足CIS基准要求的CIS强化镜像。

从CIS控制，到CIS基准，再到CIS强化镜像，表明CIS的行动并未停留在书面的安全控制指南和基准的层面，而是更进一步，将这些安全控制应用到实际的系统中，产生了最佳实践。

四、NIST SP 800-53低影响基线

SP 800-53新版简介

2020年3月，NIST发布SP 800-53（修订版5）草案。这是自2013年发布修订版4以来的首次更新，反映了过去7年来安全领域的重大变化。当然，修订版5目前还是草案。

SP 800-53（修订版5）的名称是《信息系统和组织的安全和隐私控制》（Security and Privacy Controls for Information Systems and Organizations）。对于美国联邦信息系统，要求遵循SP 800-53。而对于私营企业和系统开发人员来说，SP 800-53也极具参考价值。

SP 800-53（修订版5）的重要更新和优点包括：

将隐私控制集成到主目录中，而之前是放在附录中。从而强调隐私不再是“附加组件”，强调安全和隐私是一个整体。
增加了新的供应链控制系列。说明供应链安全成为企业和代理商的重要关注点。
从声明式语言转换为命令式语言，使控制更易于阅读。
通过使用OSCAL（开放安全控制评估语言）提供控制，通过从专有框架转向标准化的机器可读格式，支持了向自动化的迫切转变。
之前包含在NIST SP 800-53（修订版4）中的控制基线，已重新定位到NIST SP 800-53B中，但NIST SP 800-53B目前尚未发布。

使用方法：企业组织将首先使用NIST的风险管理框架、网络安全框架、隐私框架等工具评估其风险；然后使用SP 800-53查找特定的解决方案。企业组织可以将此目录与任何风险管理方法一起使用。

SP 800-53控制基线

之前包含在NIST SP 800-53（修订版4）中的控制基线，已重新定位到NIST SP 800-53B中，并未在NIST SP 800-53（修订版5）中出现。

NIST SP 800-53B（联邦信息系统和组织的控制基线和裁剪指南，Control Baselines and Tailoring Guidance for Federal Information Systems and Organizations）包含了联邦信息系统和组织的控制基线。NIST SP 800-53B计划发布于2020年，但目前尚未发布。

因此，对于控制基线，目前还是只能通过SP 800-53（修订版4）来了解。

在SP 800-53（修订版4）中，与基线相对的概念是覆盖（Overlay）。覆盖是在裁剪过程中使用的安全控制、控制增强、补充指南和其他支持信息的规范，旨在补充（并进一步完善）安全控制基线。

也就是说，控制基线提供了标准化的控制集合，而定制化的需求则可以通过覆盖来进行。

SP 800-53低影响基线

我们继续通过SP 800-53（修订版4），来了解SP 800-53 低影响基线（Low Baseline）。