小蜜蜂公益译文 -- NISTIR 8011 第4卷 安全控制评估自动化支持:软件漏洞管理(下)
小蜜蜂公益译文 -- NISTIR 8011 第4卷 安全控制评估自动化支持:软件漏洞管理(下)
三. VUL安全评估计划文档模板
3.1计划调整介绍和步骤
本节提供了符合NIST SP 800-37和NIST SP 800-53A的安全评估计划模板。有关文档元素的描述,请参见本NISTIR第1卷第6节。第1卷的第9节专门介绍如何将模板和文档与NIST SP 800-37和NIST SP 800-53A中定义的评估任务和工作产品关联。
要对安全评估计划进行调整使其满足组织的需求并实现自动化监控,可采取图6所示步骤。下文对这些步骤做了详细描述。
图6. 计划模板调整主要步骤
3.1.1 选择自动执行的缺陷检查
本节介绍了选择自动执行的缺陷检查的子步骤。
图7. 选择自动执行的缺陷检查的子步骤
采取图7所示的子步骤选择要自动执行的缺陷检查:
子步骤1.1明确评估范围:明确要覆盖的评估范围(参见本NISTIR第1卷的4.3节)。
子步骤1.2分析系统影响:针对子步骤1.1[FIPS199]中明确的评估范围,识别联邦信息处理标准(FIPS)199所定义的影响级别(高级别)(请参见[SP 800-60-v1]和/或组织的分类记录)。
子步骤1.3 评审安全评估计划文档:
- 评审3.2节介绍的缺陷检查,初步了解要测试的拟议项目。
- 评审3.2节中的安全评估计划说明,了解如何将缺陷检查应用于支持漏洞管理的控制措施。
子步骤1.4选择缺陷检查:
- 根据子步骤1.1、1.2和1.3以及对组织的风险承受能力的理解,请使用3.2.3节的表6确定必要的缺陷检查,从而评估根据系统影响级别和组织风险承受能力实施的控制措施是否有效。
- 标记3.2.2节中选择的必要缺陷检查。组织无需采取自动化,但是控制措施评估自动化可协助实现以下两点:
- 及时生成评估结果,从而更好地防御攻击和/或
- 长期看,可以降低评估成本。
3.1.2 根据组织实际情况调整角色
本节介绍根据组织实际情况调整角色的子步骤。
图8. 根据组织实际情况调整角色
采取图8所示的子步骤根据组织实际情况调整角色:
子步骤2.1审核提议的角色:有关提议的角色,请参见2.7节“VUL角色和职责(说明)”。
子步骤2.2 弥补缺失的角色:确定组织中当前未分配的所有必需角色。明确如何分配未分配的角色。
子步骤2.3 重命名角色:确定每个角色匹配的组织特定角色名称。注意,同一组织角色可能会履行多个提议的角色。
子步骤2.4 调整文档:采取以下两种方法之一将组织特定角色映射到此处提议的角色(两种方法都可接受):
- 在2.7节的表中添加一列,列出组织特有的角色名称。
- 使用全局替换将整个文档中的角色名称从本NISTIR中建议的名称修改为组织特定名称。
3.1.3 自动执行选择的缺陷检查
本节介绍自动执行选择的缺陷检查的子步骤。
图9. 自动执行选择的缺陷检查的子步骤
采取图9所示的子步骤选择要自动执行的缺陷检查:
子步骤3.1选择缺陷检查:查看缺陷检查定义,根据组织的风险承受能力和预期的攻击类型酌情添加检查。【角色:DSM(参见2.7节。)】
子步骤3.2调整数据采集:
- 查看所需的实际状态信息,配置自动化传感器收集所需信息。【角色:ISCM-Sys(参见2.7节。)】
- 查看所匹配的明确规定的期望状态规范,或添加其他规范匹配要检查的新增实际状态。配置采集系统接收和存储期望状态规范,可自动与实际状态数据进行比较。【角色:ISCM-Sys(参见2.7节。)】
子步骤3.3 运行ISCM系统:
- 运行采集系统,识别安全和数据质量缺陷。
- 配置采集系统将安全和数据质量信息发送至缺陷管理仪表盘。
子步骤3.4 基于结果进行风险管理:首先基于结果对发现的较高风险进行响应,评估潜在剩余风险,为总体风险承受决策提供支持。如果确定风险太大而无法承受,可基于结果对进一步缓解措施进行优先级排序[1]。
3.2VUL子能力和缺陷检测表格和模板
本节介绍提议的特定测试模板,我们认为这些模板足以用于评估支持VUL能力的控制项。关于缺陷检查的概要说明,请参见本NISTIR第1卷第5节。关于各缺陷检查的评估标准说明中涉及的实际状态和期望状态规范的概要说明,请参见本NISTIR第1卷4.1节。本文的3.2.1、3.2.2和3.2.3节分别介绍基础检查、数据质量检查和本地缺陷检查。3.2.1节、3.2.2节和3.2.3节中的“支持的控制项”数据明确了哪些控制措施在无效情况下可能导致特定缺陷检查失败。控制项和缺陷检查之间的关联进一步提供了检查(测试)原因的说明。关于如何调整检查(及其中的角色)满足组织的需求,参见3.1节。
本节中发现的数据可用于缺陷检查选择和根因分析。3.2.4节介绍各子能力(通过缺陷检查进行测试)如何通过提供某些示例攻击步骤和/或解决数据质量问题对整体能力提供支持。
附录G也可为根因分析提供支持。缺陷检查模板的内容如下:
- 以“该子能力目的……”开头的部分定义通过缺陷检查测试的子能力,并介绍评估标准。3.2.4节介绍子能力如何拦截或延缓执行某些示例攻击步骤。
- 以“该缺陷检查用以评估……”开头的部分介绍缺陷检查名称以及为实现子能力目的而采取的子能力有效性评估标准。
- 在以“响应示例……”开始的部分,举例说明了检出缺陷时可能作出的响应以及责任角色。可能的响应行动(含有主要职责分配示例)是常见操作,适用于特定子能力中发现缺陷时的情况。主要职责分配示例不影响其他NIST指南中定义的总体管理责任。此外,每个组织都可以自定义响应动作和职责,在最大程度上满足自身需求。
- 最后,在以“支持性控制项……”开始的部分,列明为支持子能力而互相配合的控制项。支持性控制项的识别基于3.3节中缺陷检查到控制项的映射。每个子能力都由一组控制项支持。因此,若列明的任何支持性控制措施都失败,则缺陷检查失败,总体风险可能上升。
如3.1节所述,该资料由组织进行定制和调整,最终纳入安全评估计划。
3.2.1 基础子能力和相关缺陷检查
NISTIR 8011第4卷针对VUL能力提出了一种面向安全的基础缺陷检查。基础检查为VUL-F01。
可针对单项检查(如基础检查、数据质量检查或本地检查)评估缺陷检查,或对整个评估范围之外的各设备分组(如设备管理人,设备负责人和系统)汇总缺陷检查。选择基础缺陷检查旨在将其纳入总结报告。“是否选择”列表示是否执行检查。
3.2.1.1 “减少软件漏洞子”能力和缺陷检查VUL-F01
该子能力目的如下:
子能力名称 | 子能力目的 |
|---|---|
减少软件漏洞 | 减少参考缺陷列表(如美国国家漏洞库【NVD】)列出的软件漏洞数量(CVE) |
该缺陷检查用以评估该子能力是否有效运行,其定义见下表。
缺陷检查ID | 缺陷检查名称 | 评估标准说明 | 是否选择 |
|---|---|---|---|
VUL-F01 | 存在漏洞的软件 | 1) 实际状态为包含设备中所有软件产品、版本、发布版本和补丁级别的列表。2) 期望状态规范旨在将CVE漏洞风险降至最低(即可接受)或同等风险级别。缺陷是指存在参考缺陷列表(即国家漏洞数据库[NVD]或组织接受的其他漏洞数据集)中列出的不可接受的软件漏洞(CVE或同等漏洞)。 | 是 |
响应示例:
缺陷检查ID | 可能的响应行动 | 主要责任人 |
|---|---|---|
VUL-F01 | 安装软件补丁 | PatMan |
VUL-F01 | 卸载软件 | SWMan |
VUL-F01 | 评估为误报 | RskEx |
VUL-F01 | 减少误报 | ISCM-Ops |
VUL-F01 | 采取临时缓解措施 | PatMan |
VUL-F01 | 接受风险 | RskEx |
VUL-F01 | 响应监测和协调 | DSM |
支持性控制项:
缺陷检查ID | 基线 | NIST SP 800-53控制项代号 |
|---|---|---|
VUL-F01 | 低 | RA-5(a) |
VUL-F01 | 低 | RA-5(b) |
VUL-F01 | 低 | RA-5(c) |
VUL-F01 | 低 | RA-5(d) |
VUL-F01 | 低 | RA-5(e) |
VUL-F01 | 低 | SI-2(a) |
VUL-F01 | 低 | SI-2(c) |
VUL-F01 | 低 | SI-2(d) |
VUL-F01 | 中 | SA-11(d) |
VUL-F01 | 高 | SI-2(1) |
3.2.2 数据质量子能力和相关缺陷检查
NISTIR 8011第4卷提出了四种数据质量缺陷检查,以VUL-Q01至VUL-Q04命名。数据质量缺陷检查非常重要,因为它们提供了确定整体评估自动化过程可靠性的必要信息,该信息可用于确定其他缺陷检查数据的可信度(即更好地保证安全控制的有效性)。数据质量缺陷检查与特定控制项无关,根据在总结报告中的重要性进行选择。“是否选择”列显示组织执行了哪些检查。关于数据质量检查的更完整信息,参见NISTIR 8011第1卷“概述”的5.5节“数据质量措施”。
3.2.2.1 “确保设备级报告完整性”子能力和缺陷检查VUL-Q01
该子能力目的如下:
子能力名称 | 子能力目的 |
|---|---|
确保设备级报告的完整性 | 确保向实际状态清单上报VUL信息的设备上报这些信息,确保检出存在的所有CVE和CWE。 |
该缺陷检查用以评估该子能力是否有效运行,其定义见下表。
缺陷检查ID | 缺陷检查名称 | 评估标准说明 | 是否选择 |
|---|---|---|---|
VUL-Q01 | 非上报设备 | 1) 实际状态指上报软件漏洞(CVE或同等漏洞及CWE)的HWAM-F01中的期望状态设备列表。2) 期望状态指HWAM-F01中检测到的实际设备列表,包括已授权和非授权设备。3) 在实际状态所确定的预期最近时间未检测到期望状态设备时,则认为存在缺陷。制定标准,根据HWAM-Q01中列出的同样考虑因素对每个设备或设备类型定义“预期最近时间”阈值。 | 是 |
响应示例:
缺陷检查ID | 可能的响应行动 | 主要责任人 |
|---|---|---|
VUL-Q01 | 恢复设备上报 | ISCM-Ops |
VUL-Q01 | 宣布设备丢失 | DM |
VUL-Q01 | 接受风险 | RskEx |
VUL-Q01 | 监控、协调响应活动 | RskEx |
支持性控制项:
缺陷检查ID | 基线 | NIST SP 800-53控制项代号 |
|---|---|---|
VUL-Q01 | 低 | RA-5(a) |
VUL-Q01 | 低 | RA-5(c) |
VUL-Q01 | 低 | SI-2(a) |
VUL-Q01 | 低 | SI-2(b) |
VUL-Q01 | 高 | SI-2(1) |
3.2.2.2 “确保缺陷检查级报告完整性”子能力和缺陷检查VUL-Q02
该子能力目的如下:
子能力名称 | 子能力目的 |
|---|---|
确保缺陷检查级报告的完整性 | 确保缺陷检查信息正确上报至实际状态清单,避免出现系统无法检测到任何设备缺陷的情况。 |
该缺陷检查用以评估该子能力是否有效运行,其定义见下表。
缺陷检查ID | 缺陷检查名称 | 评估标准说明 | 是否选择 |
|---|---|---|---|
VUL-Q02 | 未上报的适用缺陷检查 | 1) 实际状态指各采集周期内对每个设备测试和采集的一系列漏洞。2) 期望状态指被定义为适用于该设备且应已测试和采集的一系列漏洞。3) 缺陷指期望状态中的设备上在实际状态中未采集和测试的任何漏洞。缺陷有两种类型:a. 采集系统未在任何适用设备上测试和采集缺陷数据;b. 采集系统仅测试和采集一些适用设备上的缺陷数据。 根因说明:· 3a通常为采集系统的系统错误。· 3b可能与设备和采集系统的交互相关;设备或采集系统可能是根本原因。 | 是 |
响应示例:
缺陷检查ID | 可能的响应行动 | 主要责任人 |
|---|---|---|
VUL-Q02 | 恢复缺陷检查上报 | ISCM-Ops |
VUL-Q02 | 接受风险 | RskEx |
VUL-Q02 | 监控、协调响应活动 | RskEx |
支持性控制项:
缺陷检查ID | 基线 | NIST SP 800-53控制项代号 |
|---|---|---|
VUL-Q02 | 低 | RA-5(a) |
VUL-Q02 | 低 | RA-5(b) |
VUL-Q02 | 低 | RA-5(c) |
VUL-Q02 | 低 | SI-2(a) |
VUL-Q02 | 低 | SI-2(b) |
VUL-Q02 | 中 | RA-5(1) |
VUL-Q02 | 中 | RA-5(2) |
VUL-Q02 | 高 | SI-2(1) |
3.2.2.3 “确保整体缺陷检查上报完整”子能力和缺陷检查VUL-Q03
该子能力目的如下:
子能力名称 | 子能力目的 |
|---|---|
确保整体缺陷检查上报完整 | 尽可能向实际状态清单上报正确且全面的缺陷检查数据,确保缺陷被及时发现。 |
该缺陷检查用以评估该子能力是否有效运行,其定义见下表。
缺陷检查ID | 缺陷检查名称 | 评估标准说明 | 是否选择 |
|---|---|---|---|
VUL-Q03 | 完整性低指标 | 完整性指标不是设备级缺陷,但适用于任何设备集合,如授权范围内的设备。完整性指标用于评估收集系统的可信性。 1) 实际状态指收集系统在报告窗口期中提供的指定缺陷检查的数量。说明:特定的检查设备组合只能在要求的最小报告期内计算一次。例如,如果每三天检查一次,若在该时间段内进行两次检查则计为一次。但若上报时间窗口期为30天,则检查设备组合按每三天一周期计算,需计算10个周期的检查次数。2) 期望状态为同一报告窗口期内应提供的特定缺陷检查的数量。说明:不同设备可能对应不同的特定检查集,这主要取决于设备功能/类型。此示例中,在30天的报告窗口期内(上报周期为3天),期望状态包括10个周期内的特定缺陷检查组合的次数。 3) “完整性”指标定义为实际状态数量除以期望状态数量。完整性是在报告窗口期内采集的特定缺陷检查的百分比。完整性衡量长期收集所有必要数据的能力。完整性太低(与定义的阈值相比)即为缺陷。完整性较低时,未发现的缺陷的风险随之增加。可接受的完整性级别指在技术可行性与100%完整性需求之间达到平衡。 | 是 |
响应示例:
缺陷检查ID | 可能的响应行动 | 主要责任人 |
|---|---|---|
VUL-Q03 | 恢复完整性 | ISCM-Ops |
VUL-Q03 | 接受风险 | RskEx |
VUL-Q03 | 监控、协调响应活动 | RskEx |
支持性控制项:
缺陷检查ID | 基线 | NIST SP 800-53控制项代号 |
|---|---|---|
VUL-Q03 | 低 | RA-5(a) |
VUL-Q03 | 低 | RA-5(c) |
VUL-Q03 | 低 | SI-2(a) |
VUL-Q03 | 低 | SI-2(b) |
VUL-Q03 | 中 | SI-2(2) |
VUL-Q03 | 高 | SI-2(1) |
3.2.2.4 “确保总体报告及时性”子能力和缺陷检查VUL-Q04
该子能力目的如下:
子能力名称 | 子能力目的 |
|---|---|
确保总体报告及时性 | 确保实际状态下及时报告尽可能多的缺陷检查数据以降低缺陷检测延迟。为了有效起见,必须在缺陷被利用前尽快发现和缓解缺陷。 |
该缺陷检查用以评估该子能力是否有效运行,其定义见下表。
缺陷检查ID | 缺陷检查名称 | 评估标准说明 | 是否选择 |
|---|---|---|---|
VUL-Q04 | 及时性较差指标 | 及时性指标不是设备级缺陷,但适用于任何设备集合,如授权范围内的设备。该指标用于评估收集系统的准确性。1) 实际状态指收集系统在收集周期内(每个缺陷应检查一次)提供的特定缺陷检查次数。说明:特定检查设备组合在收集周期内只统计一次。 2) 期望状态指收集系统在收集周期内应提供的特定缺陷检查的数量。说明:不同设备可能对应不同的特定检查集,这主要取决于设备功能/类型。3) “及时性”指标定义为实际状态数量除以期望状态数量。及时性是在报告周期中实际收集的特定缺陷检查的百分比。及时性衡量的是按时间要求所收集数据的比例。 4) 及时性太差(与定义的阈值相比较)则为缺陷。若及时性差,未发现缺陷的风险会增加。及时性较差时,未发现的缺陷的风险随之增加。 | 是 |
响应示例:
缺陷检查ID | 可能的响应行动 | 主要责任人 |
|---|---|---|
VUL-Q04 | 恢复频率 | ISCM-Ops |
VUL-Q04 | 接受风险 | RskEx |
VUL-Q04 | 监控、协调响应活动 | RskEx |
支持性控制项:
缺陷检查ID | 基线 | NIST SP 800-53控制项代号 |
|---|---|---|
VUL-Q04 | 低 | RA-5(a) |
VUL-Q04 | 低 | RA-5(b) |
VUL-Q04 | 低 | RA-5(c) |
VUL-Q04 | 低 | SI-2(a) |
VUL-Q04 | 低 | SI-2(b) |
VUL-Q04 | 低 | SI-2(c) |
VUL-Q04 | 中 | SI-2(2) |
VUL-Q04 | 高 | SI-2(1) |
3.2.3 本地子能力和相关缺陷检查
本节以本地缺陷检查VUL-L01为例介绍组织可在基础检查中添加的内容,为具备VUL的NIST SP 800-53控制措施进行更全面自动化评估提供支持。
组织可自行决定实施哪些缺陷检查进行风险管理。通常,选择更多缺陷检查可能会降低风险(如果有能力解决发现的缺陷)并提供更可靠的保障,但也可能会增加检测和缓解成本。组织可对缺陷检查进行取舍,以平衡收益和成本,首先关注会产生最大风险的问题(即管理风险),确定风险响应措施的优先级。
注意:根据组织的风险承受能力和系统的影响级别,可在缺陷检查中增加选项,让检查更为严格或宽松。
“是否选择”列显示组织根据文档记录或依据修改而选择执行的本地缺陷检查。
3.2.3.1 “减少不规范编码实践”子能力和缺陷检查VUL-L01
该子能力目的如下:
子能力名称 | 子能力目的 |
|---|---|
减少不规范编码实践 | 减少不规范软件编码实践(CWE)。关于不规范编码实践,参见https://cwe.mitre.org。 |
该缺陷检查用以评估该子能力是否有效运行,其定义见下表。
缺陷检查ID | 缺陷检查名称 | 评估标准说明 | 是否选择 |
|---|---|---|---|
VUL-L01 | 不规范编码实践 | 不规范编码实践的评估适用于组织的存在不规范编码实践的任何软件。组织负责查找这些软件并开发补丁纠正这些软件中的不规范问题。该评估也适用于COTS和/或GOTS软件,验证从软件提供商获得的成品。1) 实际状态指CWE代码分析对象(设备)中的软件产品及相关版本和补丁级别列表(清单)。说明:软件文件列表来源于SWAM能力。硬件设备列表来源于HWAM能力。 2) 期望状态规范指设备上的软件文件中的CWE实例具备最低(即可接受的)风险。3) 缺陷是指处于实际状态的设备上存在不可接受的编码实践(CWE)。说明:由于代码分析器可能会产生相当数量的误报,所以利用独立的风险评估功能(例如,独立的验证和确认团队、评估团队、系统安全员和组织风险主管)识别误报并从不规范编码实践实例列表中删除误报非常重要。 | 待定 |
响应示例:
缺陷检查ID | 可能的响应行动 | 主要责任人 |
|---|---|---|
VUL-L01 | 评估为误报 | RskEx |
VUL-L01 | 卸载软件 | PatMan |
VUL-L01 | 获取补丁 | SWFM |
VUL-L01 | 安装软件补丁 | PatMan |
VUL-L01 | 采取临时缓解措施 | PatMan |
VUL-L01 | 接受风险 | RskEx |
VUL-L01 | 监控、协调响应活动 | DSM |
支持性控制项:
缺陷检查ID | 基线 | NIST SP 800-53控制项代号 |
|---|---|---|
VUL-L01 | 低 | RA-5(a) |
VUL-L01 | 低 | RA-5(c) |
VUL-L01 | 低 | RA-5(d) |
VUL-L01 | 低 | RA-5(e) |
VUL-L01 | 低 | SI-2(a) |
VUL-L01 | 低 | SI-2(c) |
VUL-L01 | 低 | SI-2(d) |
VUL-L01 | 中 | SA-11(d) |
VUL-L01 | 高 | SI-2(1) |
3.2.4 各子能力对攻击步骤模型的安全影响
表6列明NIST SP 800-53安全控制措施派生的缺陷检查协助阻止攻击/事件的主要方式,如图1所示。说明:表6中的一些单元格内容可能包含其他单元格的重复信息。这一方面是设计原因,另一方面是由于NISTIR 8011是自动化完成编写。
表6. 攻击步骤与安全子能力的对应关系
攻击步骤 | 攻击步骤描述 | 子能力ID和名称 | 子能力目的 | |
|---|---|---|---|---|
(2)发动内部攻击 | 攻击者位于边界内,并在内部对某个评估对象发起攻击。 例如,用户打开鱼叉式网络钓鱼邮件或单击附件;用户安装未授权的软硬件;未授权人员可物理访问受限设施并执行恶意行为。 | VUL-F01:减少软件漏洞 | 减少参考缺陷列表(美国国家漏洞库[NVD])列出的软件漏洞数量(CVE)。 | |
(2)发动内部攻击 | 攻击者位于边界内,并在内部对某个评估对象发起攻击。例如,用户打开鱼叉式网络钓鱼邮件或单击附件;用户安装未授权的软件或硬件;未授权人员可物理访问受限设施并执行恶意行为。 | VUL-L01:减少不规范编码实践 | 减少CWE网站(https://cwe.mitre.org)列出的不规范软件编码实践数量。 | |
(5)扩大控制–升级或传播 | 攻击者对对象获得持久性,并试图通过对对象提权或传播到其他对象来扩大控制。 例如,管理人权限被劫持和/或被盗、管理人密码被未授权方使用、安全配置被更改和/或审计功能被禁用、授权用户访问与本业务无关的资源、以root权限运行的进程或程序被入侵和/或被劫持、级联故障导致整个通信基础设施崩溃。 | VUL-F01:减少软件漏洞 | 减少参考缺陷列表(如[NVD])列出的软件漏洞(CVE)数量。 | |
(5)扩大控制–升级或传播 | 攻击者对对象获得持久性,并试图通过对对象提权或传播到其他对象来扩大控制。 例如,管理人权限被劫持和/或被盗、管理人密码被未授权方使用、安全配置被更改和/或审计功能被禁用、授权用户访问与本业务无关的资源、以root权限运行的进程或程序被入侵和/或被劫持、级联故障导致整个通信基础设施崩溃。 | VUL-L01:减少不规范编码实践 | 减少CWE网站(https://cwe.mitre.org)列出的不规范软件编码实践数量。 | |
3.3VUL控制(项)安全评估计划说明表和模板
本节对安全评估计划进行介绍,是本NISTIR第1卷第6节描述的自动化评估计划的核心内容。另外,提供了缺陷检查表等信息作为补充。该计划说明在3.4节中进行了总结。
本节中引用的角色与NIST在相关特刊(如NIST SP 800-37)中定义的角色和/或2.7节中定义的VUL特定角色一致。这些角色可针对组织进行调整和/或定制,具体介绍请参见第3.1节。
此处列明的判断语句源自相关控制项语言,具体进行了以下三项调整:
- 针对同时适用于VUL以及其他能力域的控制项,必要时在其判断语句中插入限制性或范围界定短语{……软件…….}(可视情况与括号内的补充信息结合使用)。由于同一控制项可能出现在具有相同范围的其他能力中,限制性短语会对控制项进行约束,使其仅适用于VUL。例如,若控制措施同时适用于软硬件漏洞修复,即可使用限制短语{……软件……}。
- 如果控制项涉及多个本质上存在差异的动作,而且这些动作最好通过不同的缺陷检查进行评估(通常基于不同的评估标准),则可将控制项划分为多个VUL相关判断语句。
- 控制项仅部分适用于VUL。例如,控制项RA-5(b):控制文本列明了不一定适用于VUL能力的动作,例如确保扫描工具使用标准枚举平台(适用于HWAM和SWAM能力)和评估与漏洞无关的错误配置(适用于CSM能力)。
RA-5漏洞扫描:……使用多种漏洞扫描工具和工具互通技术,基于标准,对漏洞管理流程的部分环节进行自动化,实现如下目的:1)列明平台、软件缺陷和错误配置;2)制定检查单和测试过程;以及3)评估漏洞影响……【着重点由作者所加。】
为避免跨能力控制项问题,本卷中的判断语句仅涉及控制项中适用于VUL能力的部分。
3.3.1 控制项的内容框架
在标题控制项描述下为控制项的文字介绍。
一个控制项可能有一个或多个判断语句。每个判断语句单独成表,包含以下几项:
- 判断语句ID(控制项ID+判断语句编号(置于大括号中));
- 判断语句描述;
- 实施者(责任);
- 评估范围;
- 评估责任;
- 评估方法;
- 是否选择(组织自行填写);
- 接受风险(阈值)的理由(组织自行填写);
- 评估频率[2];和
- 不进行缺陷检查的影响(组织自行填写)。
每个判断语句详情后面都有表格,列明控制测试失败可能导致哪些缺陷检查(和相关子能力)执行失败。
这些文本提供了模板供组织编辑,如第3.1节所述。
3.3.2 控制项的基线含义
本节介绍NIST SP 800-53的低、中、高基线中选择的支持VUL能力的安全控制项。为方便起见,控制项按这三个级别分成三节描述:
- 低基线控制项(3.3.3节)。所有系统均应执行该级别安全控制。
- 中基线控制项(3.3.4节)。这些控制项在高基线安全控制中同样需要。
- 高基线控制项(3.3.5节)。仅适用于高基线安全控制。
表7列明安全控制项对每类基线的适用性。
表7 控制项的适用性
FIPS-199a (NIST SP 800-60)b系统影响级别 | 低基线控制项(3.3.3节) | 中基线控制项(3.3.4节) | 高基线控制项(3.3.5节) |
|---|---|---|---|
低 | 适用 | ||
中 | 适用 | 适用 | |
高 | 适用 | 适用 | 适用 |
a. FIPS-199定义了低、中、高三种潜在的总体影响。
b.请参见[SP800-60-v1]中的3.2节。
3.3.3 低基线安全控制项
3.3.3.1 控制项RA-5(a):漏洞扫描
控制项描述
控制:组织:
a. 在【赋值:组织定义的频率和/或根据组织定义的流程随机确定】时以及在可能影响系统/应用程序的新漏洞发现和上报时,扫描信息系统和托管应用程序中的漏洞。
判断语句1
判断语句ID | 判断语句文字 |
|---|---|
RA-5(a){1} | 确定组织是否:扫描系统和托管应用程序中的{软件}漏洞【赋值:组织定义的频率和/或根据组织定义的流程随机确定】。 |
角色和评估方法
判断语句ID | 实施者 | 评估范围 | 评估责任 | 评估方法 | 是否选择 | 接受风险的理由 | 评估频率 | 不实施会带来何种影响 |
|---|---|---|---|---|---|---|---|---|
RA-5(a){1} | ISCM-Ops | ISCM-TN | ISCM-Sys | 测试 |
缺陷检查说明表
若该控制项未有效执行,可导致下列一项或多项缺陷检查中存在缺陷:
判断语句ID | 缺陷检查ID | 缺陷检查名称 | 说明若此缺陷检查的【组织定义的指标】高于【组织定义的阈值】,则该控制项相关的信息系统和托管应用程序的{软件}漏洞扫描【赋值:组织定义的频率和/或根据组织定义的流程(以适当的频率)随机确定】问题可能是导致该缺陷的原因;即...... |
|---|---|---|---|
RA-5(a){1} | VUL-Q04 | 时效性差指标 | ……ISCM总体报告的时效性差 |
3.3.3.2 控制项RA-5(a):漏洞扫描
控制项描述
控制:组织:
a. 在【赋值:组织定义的频率和/或根据组织定义的流程随机确定】时以及在可能影响系统/应用程序的新漏洞发现和上报时,扫描信息系统和托管应用程序中的漏洞。
判断语句1
判断语句ID | 判断语句描述 |
|---|---|
RA-5(a){2} | 确定组织是否:【确保】在发现可能影响系统/应用程序的新漏洞时将其【添加至扫描流程】。 |
角色和评估方法
判断语句1 | 实施者 | 评估范围 | 评估责任 | 评估方法 | 是否选择 | 接受风险的理由 | 评估频率 | 不实施会带来何种影响 |
|---|---|---|---|---|---|---|---|---|
RA-5(a){2} | DSM | ISCM-TN | ISCM-Sys | 测试 |
缺陷检查说明表
若该控制项未有效执行,可导致下列一项或多项缺陷检查中存在缺陷:
判断语句ID | 缺陷检查ID | 缺陷检查名称 | 说明若此缺陷检查的【组织定义的指标】高于【组织定义的阈值】,则该控制项相关的未能确保发现可能影响系统/应用程序的新漏洞时将其添加至【扫描流程】可能是该缺陷的原因;即…… |
|---|---|---|---|
RA-5(a){2} | VUL-Q02 | 未上报适用的缺陷检查 | …未上报适用的缺陷检查。 |
3.3.3.3 控制项RA-5(b):漏洞扫描
控制项描述
控制:组织:
b. 使用多种漏洞扫描工具和工具互通技术,基于标准,对漏洞管理流程的部分环节进行自动化,实现如下目的:
- 列明平台、软件缺陷和错误配置;
- 制定检查单和测试过程;以及
- 评估漏洞影响。
判断语句1
判断语句ID | 判断语句说明 |
|---|---|
RA-5(b){1} | 确定组织是否:使用多种漏洞扫描工具和工具互通技术,并利用软件缺陷【识别】标准实现漏洞管理过程中某些环节自动化。 |
角色和评估方法
判断语句1 | 实施者 | 评估范围 | 评估责任 | 评估方法 | 是否选择 | 接受风险的理由 | 评估频率 | 不实施会带来何种影响 |
|---|---|---|---|---|---|---|---|---|
RA-5(b){1} | DSM | ISCM-TN | ISCM-Sys | 测试 |
缺陷检查说明表
若该控制项未有效执行,可导致下列一项或多项缺陷检查中存在缺陷:
判断语句ID | 缺陷检查ID | 缺陷检查名称 | 说明若此缺陷检查的【组织定义的指标】高于【组织定义的阈值】,则该控制项相关的软件缺陷【识别】标准使用问题可能是导致该缺陷的原因;即…… |
|---|---|---|---|
RA-5(b){1} | VUL-Q02 | 未上报适用的缺陷检查 | ……未上报适用的缺陷检查。 |
判断语句2
判断语句ID | 判断语句描述 |
|---|---|
RA-5(b){2} | 确定组织是否:使用多种漏洞扫描工具和工具互通技术,利用相关标准制定检查单和测试过程,实现漏洞管理流程中某些环节自动化,从而最大限度降低误报。 |
角色和评估方法
判断语句1 | 实施者 | 评估范围 | 评估责任 | 评估方法 | 是否选择 | 接受风险的理由 | 评估频率 | 不实施会带来何种影响 |
|---|---|---|---|---|---|---|---|---|
RA-5(b){2} | ISCM-Ops | ISCM-TN | ISCM-Sys | 测试 |
缺陷检查说明表
若该控制项未有效执行,可导致下列一项或多项缺陷检查中存在缺陷:
判断语句ID | 缺陷检查ID | 缺陷检查名称 | 说明若此缺陷检查的【组织定义的指标】高于【组织定义的阈值】,则该控制项的利用相关标准制定检查单和测试过程将误报降至最低过程中出现的问题可能是导致该缺陷的原因;即…… |
|---|---|---|---|
RA-5(b){2} | VUL-F01 | 漏洞软件 | ……存在软件漏洞(CVE等漏洞) |
判断语句3
判断语句ID | 判断语句描述 |
|---|---|
RA-5(b){3} | 确定组织是否:使用多种漏洞扫描工具和工具互通技术,利用相关标准制定检查单和测试过程实现漏洞管理流程中某些环节自动化,从而最大限度减少漏报。 |
角色和评估方法
判断语句1 | 实施者 | 评估范围 | 评估责任 | 评估方法 | 是否选择 | 接受风险的理由 | 评估频率 | 不实施会带来何种影响 |
|---|---|---|---|---|---|---|---|---|
RA-5(b){3} | MAN | ISCM-TN | MAN | 待定 |
缺陷检查说明表
若该控制项未有效执行,可导致下列一项或多项缺陷检查中存在缺陷:
由于手动进行测试,因此缺陷检查说明表不适用。
3.3.3.4 控制项RA-5(c):漏洞扫描
控制项描述
控制:组织:
c. 分析漏洞扫描报告和安全控制评估结果。
判断语句1
判断语句ID | 判断语句描述 |
|---|---|
RA-5(c){1} | 确定组织是否:分析漏洞扫描报告和安全控制评估结果。 |
角色和评估方法
判断语句1 | 实施者 | 评估范围 | 评估责任 | 评估方法 | 是否选择 | 接受风险的理由 | 评估频率 | 不实施会带来何种影响 |
|---|---|---|---|---|---|---|---|---|
RA-5(c){1} | RskEx | ISCM-TN | ISCM-Sys | 测试 |
缺陷检查说明表
若该控制项未有效执行,可导致下列一项或多项缺陷检查中存在缺陷:
判断语句ID | 缺陷检查ID | 缺陷检查名称 | 说明若此缺陷检查的【组织定义的指标】高于【组织定义的阈值】,则该控制项相关的漏洞扫描报告和安全控制评估结果的分析过程中存在的问题可能是导致该缺陷的原因;即…… |
|---|---|---|---|
RA-5(c){1} | VUL-F01 | 漏洞软件 | ……存在软件漏洞(CVE等漏洞) |
RA-5(c){1} | VUL-L01 | 不规范编码实践 | ……软件存在不规范的编码实践(CWE等缺陷) |
RA-5(c){1} | VUL-Q01 | 设备未上报(漏洞) | ……设备未在规定时间内上报软件漏洞。 |
判断语句ID | 缺陷检查ID | 缺陷检查名称 | 说明若此缺陷检查的【组织定义的指标】高于【组织定义的阈值】,则该控制项相关的漏洞扫描报告和安全控制评估结果的分析过程中存在的问题可能是导致该缺陷的原因;即…… |
|---|---|---|---|
RA-5(c){1} | VUL-Q02 | 未上报适用的缺陷检查 | ……未上报适用的缺陷检查。 |
RA-5(c){1} | VUL-Q03 | 完整性差指标 | ……ISCM总体报告的完整性未达到阈值。 |
RA-5(c){1} | VUL-Q04 | 时效性差指标 | ……ISCM总体报告的时效性差 |
3.3.3.5 控制项RA-5(d):漏洞扫描
控制项描述
控制:组织:
d. 根据组织对风险的评估修复合法漏洞【赋值:组织定义的响应时间】。
判断语句1
判断语句ID | 判断语句描述 |
|---|---|
RA-5(d){1} | 确定组织是否:根据对风险的评估修复合法漏洞【赋值:组织定义的响应时间】。 |
角色和评估方法
判断语句1 | 实施者 | 评估范围 | 评估责任 | 评估方法 | 是否选择 | 接受风险的理由 | 评估频率 | 不实施会带来何种影响 |
|---|---|---|---|---|---|---|---|---|
RA-5(d){1} | PatMan | ISCM-TN | ISCM-Sys | 测试 |
缺陷检查说明表
若该控制项未有效执行,可导致下列一项或多项缺陷检查中存在缺陷:
判断语句ID | 缺陷检查ID | 缺陷检查名称 | 说明若此缺陷检查的【组织定义的指标】高于【组织定义的阈值】,则该控制项相关的合法漏洞修复时存在的问题可能是导致该缺陷的原因;即…… |
|---|---|---|---|
RA-5(d){1} | VUL-F01 | 漏洞软件 | ……存在软件漏洞(CVE等漏洞) |
RA-5(d){1} | VUL-L01 | 不规范编码实践 | ……软件存在不规范的编码实践(CWE等缺陷) |
3.3.3.6 控制项RA-5(e):漏洞扫描
控制项描述
控制:组织:
e. 分享漏洞扫描过程和安全控制评估过程中获取的信息【赋值:组织定义的人员或角色】,协助消除其他信息系统(即系统的缺点或缺陷)中的类似漏洞。
判断语句1
判断语句ID | 判断语句描述 |
|---|---|
RA-5(e){1} | 确定组织是否:分享漏洞扫描过程中获取的信息【赋值:组织定义的人员或角色】,协助消除其他系统(即系统的缺点或缺陷)中的类似漏洞。 |
角色和评估方法
判断语句1 | 实施者 | 评估范围 | 评估责任 | 评估方法 | 是否选择 | 接受风险的理由 | 评估频率 | 不实施会带来何种影响 |
|---|---|---|---|---|---|---|---|---|
RA-5(e){1} | RskEx | ISCM-TN | ISCM-Sys | 测试 |
缺陷检查说明表
若该控制项未有效执行,可导致下列一项或多项缺陷检查中存在缺陷:
判断语句ID | 缺陷检查ID[3] | 缺陷检查名称 | 说明若此缺陷检查的【组织定义的指标】高于[组织定义的阈值],则该控制项相关的分享漏洞扫描过程中获取的信息【赋值:组织定义的人员或角色】协助修复其他信息系统中的类似漏洞的过程中存在的问题可能是导致该缺陷的原因;即...... |
|---|---|---|---|
RA-5(e){1} | VUL-F01 | 漏洞软件 | ......存在软件漏洞(CVE等漏洞) |
RA-5(e){1} | VUL-L01 | 不规范编码实践 | ......软件存在不规范的编码实践(CWE等缺陷) |
3.3.3.7 控制项SI-2(a):纠正缺陷
控制项描述
控制:组织:
a. 识别、上报和纠正信息系统中的缺陷。
判断语句1
判断语句ID | 判断语句描述 |
|---|---|
SI-2(a){1} | 确定组织是否:识别和上报系统缺陷。 |
角色和评估方法
判断语句1 | 实施者 | 评估范围 | 评估责任 | 评估方法 | 是否选择 | 接受风险的理由 | 评估频率 | 不实施会带来何种影响 |
|---|---|---|---|---|---|---|---|---|
SI-2(a){1} | SWFM | ISCM-TN | ISCM-Ops | 测试 |
缺陷检查说明表
若该控制项未有效执行,可导致下列一项或多项缺陷检查中存在缺陷:
判断语句ID | 缺陷检查ID | 缺陷检查名称 | 说明若此缺陷检查的【组织定义的指标】高于【组织定义的阈值】,则该控制项相关的信息系统缺陷识别和上报过程存在的问题可能是导致该缺陷的原因;即…… |
|---|---|---|---|
SI-2(a){1} | VUL-Q01 | 设备未上报(漏洞) | ……设备未能在规定时间内上报软件漏洞。 |
SI-2(a){1} | VUL-Q02 | 未上报适用的缺陷检查 | ……未上报适用的缺陷检查。 |
SI-2(a){1} | VUL-Q03 | 完整性差指标 | ……ISCM总体报告的完整性未达到阈值。 |
SI-2(a){1} | VUL-Q04 | 时效性差指标 | ……ISCM总体报告的时效性差 |
判断语句2
判断语句ID | 判断语句描述 |
|---|---|
SI-2(a){2} | 确定组织是否:纠正系统缺陷。 |
角色和评估方法
判断语句1 | 实施者 | 评估范围 | 评估责任 | 评估方法 | 是否选择 | 接受风险的理由 | 评估频率 | 不实施会带来何种影响 |
|---|---|---|---|---|---|---|---|---|
SI-2(a){2} | PatMan | ISCM-TN | ISCM-Sys | 测试 |
缺陷检查说明表
若该控制项未有效执行,可导致下列一项或多项缺陷检查中存在缺陷:
判断语句ID | 缺陷检查ID | 缺陷检查名称 | 说明若此缺陷检查的【组织定义的指标】高于【组织定义的阈值】,则该控制项相关的信息系统缺陷纠正过程存在的问题可能是导致该缺陷的原因;即…… |
|---|---|---|---|
SI-2(a){2} | VUL-F01 | 漏洞软件 | ……存在软件漏洞(CVE等漏洞) |
SI-2(a){2} | VUL-L01 | 不规范编码实践 | ……软件存在不规范的编码实践(CWE等缺陷) |
3.3.3.8 控制项SI-2(b):纠正缺陷
控制项描述
控制:组织:
b. 安装软件和固件更新修复缺陷前,先对这些更新进行测试,检查其有效性和负面影响。
判断语句1
判断语句ID | 判断语句描述 |
|---|---|
SI-2(b){1} | 确定组织是否:安装软件和固件更新修复缺陷前,先对这些更新进行测试,检查其有效性和负面影响。 |
角色和评估方法
判断语句1 | 实施者 | 评估范围 | 评估责任 | 评估方法 | 是否选择 | 接受风险的理由 | 评估频率 | 不实施会带来何种影响 |
|---|---|---|---|---|---|---|---|---|
SI-2(b){1} | MAN | ISCM-TN | MAN | 待定 |
缺陷检查说明表
若该控制项未有效执行,可导致下列一项或多项缺陷检查中存在缺陷:
由于手动进行测试,因此缺陷检查说明表不适用。
3.3.3.9 控制项SI-2(c):纠正缺陷
控制项描述
控制:组织:
c. 在更新发布的【赋值:组织定义的时间段】内,安装安全相关的软件和固件更新。
判断语句1
判断语句ID | 判断语句描述 |
|---|---|
SI-2(c){1} | 确定组织是否:在更新发布的【赋值:组织定义的时间段】内,安装安全相关的软件和固件更新。 |
角色和评估方法
判断语句1 | 实施者 | 评估范围 | 评估责任 | 评估方法 | 是否选择 | 接受风险的理由 | 评估频率 | 不实施会带来何种影响 |
|---|---|---|---|---|---|---|---|---|
SI-2(c){1} | PatMan | ISCM-TN | ISCM-Sys | 测试 |
缺陷检查说明表
若该控制项未有效执行,可导致下列一项或多项缺陷检查中存在缺陷:
判断语句ID | 缺陷检查ID | 缺陷检查名称 | 说明若此缺陷检查的【组织定义的指标】高于【组织定义的阈值】,则该控制项相关的更新发布的【赋值:组织定义的时间段】内安装安全相关软件和固件更新过程中存在的问题可能是导致该缺陷的原因;即…… |
|---|---|---|---|
SI-2(c){1} | VUL-F01 | 漏洞软件 | ……存在软件漏洞(CVE等漏洞) |
SI-2(c){1} | VUL-L01 | 不规范编码实践 | ……软件存在不规范的编码实践(CWE等缺陷) |
SI-2(c){1} | VUL-Q04 | 时效性差指标 | ……ISCM总体报告的时效性差 |
3.3.3.10 控制项SI-2(d):纠正缺陷
控制项描述
控制:组织:
d. 将修复缺陷纳入组织的配置管理流程。
判断语句1
判断语句ID | 判断语句描述 |
|---|---|
SI-2(d){1} | 确定组织是否:将修复缺陷纳入组织的配置管理流程。 |
角色和评估方法
判断语句1 | 实施者 | 评估范围 | 评估责任 | 评估方法 | 是否选择 | 接受风险的理由 | 评估频率 | 不实施会带来何种影响 |
|---|---|---|---|---|---|---|---|---|
SI-2(d){1} | SWFM | ISCM-TN | ISCM-Sys | 测试 |
缺陷检查说明表
若该控制项未有效执行,可导致下列一项或多项缺陷检查中存在缺陷:
判断语句ID | 缺陷检查ID | 缺陷检查名称 | 说明若此缺陷检查的【组织定义的指标】高于【组织定义的阈值】,则该控制项相关的纠正缺陷纳入组织配置管理流程存在的问题可能是导致该缺陷的原因;即…… |
|---|---|---|---|
SI-2(d){1} | VUL-F01 | 漏洞软件 | ……存在软件漏洞(CVE等漏洞) |
SI-2(d){1} | VUL-L01 | 不规范编码实践 | ……软件存在不规范的编码实践(CWE等缺陷) |
3.3.4 中基线安全控制项
3.3.4.1. 控制项RA-5(1):漏洞扫描|更新工具能力
控制项描述
组织采用的漏洞扫描工具能够根据扫描结果即时更新信息系统漏洞。
判断语句1
判断语句ID | 判断语句描述 |
|---|---|
RA-5(1){1} | 确定组织是否:采用了能够根据扫描结果即时更新信息系统漏洞的漏洞扫描工具。 |
角色和评估方法
判断语句1 | 实施者 | 评估范围 | 评估责任 | 评估方法 | 是否选择 | 接受风险的理由 | 评估频率 | 不实施会带来何种影响 |
|---|---|---|---|---|---|---|---|---|
RA-5(1){1} | DSM | ISCM-TN | ISCM-Sys | 测试 |
缺陷检查说明表
若该控制项未有效执行,可导致下列一项或多项缺陷检查中存在缺陷:
判断语句ID | 缺陷检查ID | 缺陷检查名称 | 说明若此缺陷检查的【组织定义的指标】高于【组织定义的阈值】,则该控制项相关的修复发现的信息系统漏洞过程存在的问题可能是导致该缺陷的原因;即…… |
|---|---|---|---|
RA-5(1){1} | VUL-F01 | 漏洞软件 | ……存在软件漏洞(CVE等漏洞) |
RA-5(1){1} | VUL-L01 | 不规范编码实践 | ……软件存在不规范的编码实践(CWE等缺陷) |
RA-5(1){1} | VUL-Q02 | 未上报适用的缺陷检查 | ……未上报适用的缺陷检查。 |
3.3.4.2. 控制项RA-5(2):漏洞扫描|按频率/扫描开始前/发现漏洞时进行更新
控制项描述
组织根据扫描结果修复信息系统漏洞【选择(一个或多个):【赋值:组织定义的频率】;新扫描任务开始前;发现和上报新漏洞时】。
判断语句1
判断语句ID | 判断语句描述 |
|---|---|
RA-5(2){1} | 确定组织是否:修复系统中发现的漏洞【选择(一个或多个):【赋值:组织定义的频率】;新扫描任务开始前;发现和上报新漏洞时】。 |
角色和评估方法
判断语句1 | 实施者 | 评估范围 | 评估责任 | 评估方法 | 是否选择 | 接受风险的理由 | 评估频率 | 不实施会带来何种影响 |
|---|---|---|---|---|---|---|---|---|
RA-5(2){1} | ISCM-Ops | ISCM-TN | ISCM-Sys | 测试 |
缺陷检查说明表
若该控制项未有效执行,可导致下列一项或多项缺陷检查中存在缺陷:
判断语句ID | 缺陷检查ID | 缺陷检查名称 | 说明若此缺陷检查的【组织定义的指标】高于【组织定义的阈值】,则该控制项相关的新漏洞发现和上报时修复信息系统漏洞过程存在的问题可能是导致该缺陷的原因;即…… |
|---|---|---|---|
RA-5(2){1} | VUL-F01 | 漏洞软件 | ……存在软件漏洞(CVE等漏洞) |
RA-5(2){1} | VUL-L01 | 不规范编码实践 | ……软件存在不规范的编码实践(CWE等缺陷) |
RA-5(2){1} | VUL-Q02 | 未上报适用的缺陷检查 | ……未上报适用的缺陷检查。 |
3.3.4.3. 控制项SA-11(d):开发者安全测试和评估
控制项描述
控制:组织要求信息系统、系统组件或信息系统服务的开发者:
d. 实现可验证的缺陷修复流程
判断语句1
判断语句ID | 判断语句描述 |
|---|---|
SA-11(d){1} | 确定组织是否:要求系统、系统组件或系统服务的开发者实现可验证的缺陷修复流程。 |
角色和评估方法
判断语句1 | 实施者 | 评估范围 | 评估责任 | 评估方法 | 是否选择 | 接受风险的理由 | 评估频率 | 不实施会带来何种影响 |
|---|---|---|---|---|---|---|---|---|
SA-11(d){1} | SWFM | ISCM-TN | ISCM-Sys | 测试 |
缺陷检查说明表
若该控制项未有效执行,可导致下列一项或多项缺陷检查中存在缺陷:
判断语句ID | 缺陷检查ID | 缺陷检查名称 | 说明若此缺陷检查的【组织定义的指标】高于【组织定义的阈值】,则该控制项相关的要求信息系统、系统组件或信息系统服务的开发者实现可验证的缺陷修复流程存在的问题可能是导致该缺陷的原因;即…… |
|---|---|---|---|
SA-11(d){1} | VUL-F01 | 漏洞软件 | ……存在软件漏洞(CVE等漏洞) |
SA-11(d){1} | VUL-L01 | 不规范编码实践 | ……软件存在不规范的编码实践(CWE等缺陷) |
3.3.4.4. 控制项SI-2(2):缺陷修复|自动化缺陷修复状态
控制项描述
组织采取自动化机制【赋值:组织定义的频率】确定信息系统组件的缺陷修复状态。
判断语句1
判断语句ID | 判断语句描述 |
|---|---|
SI-2(2){1} | 确定组织是否:采取自动化机制【赋值:组织定义的频率】确定信息系统组件的缺陷修复状态。 |
角色和评估方法
判断语句1 | 实施者 | 评估范围 | 评估责任 | 评估方法 | 是否选择 | 接受风险的理由 | 评估频率 | 不实施会带来何种影响 |
|---|---|---|---|---|---|---|---|---|
SI-2(2){1} | ISCM-Ops | ISCM-TN | ISCM-Sys | 测试 |
缺陷检查说明表
若该控制项未有效执行,可导致下列一项或多项缺陷检查中存在缺陷:
判断语句ID | 缺陷检查ID | 缺陷检查名称 | 说明若此缺陷检查的【组织定义的指标】高于【组织定义的阈值】,则该控制项相关的采取自动化机制【赋值:组织定义的频率】确定信息系统组件的缺陷修复状态过程中存在的问题可能是导致该缺陷的原因;即…… |
|---|---|---|---|
SI-2(2){1} | VUL-F01 | 漏洞软件 | ……存在软件漏洞(CVE等漏洞) |
SI-2(2){1} | VUL-L01 | 不规范编码实践 | ……软件存在不规范的编码实践(CWE等缺陷) |
SI-2(2){1} | VUL-Q03 | 完整性差指标 | ……ISCM总体报告的完整性未达到阈值。 |
SI-2(2){1} | VUL-Q04 | 时效性差指标 | ……ISCM总体报告的时效性差 |
3.3.5 高基线安全控制项
3.3.5.1 控制项SI-2(2):缺陷修复|自动化缺陷修复状态
控制项描述
组织集中管理缺陷修复流程。
判断语句1
判断语句ID | 判断语句描述 |
|---|---|
SI-2(1){1} | 确定组织是否:集中管理缺陷修复流程。 |
角色和评估方法
判断语句1 | 实施者 | 评估范围 | 评估责任 | 评估方法 | 是否选择 | 接受风险的理由 | 评估频率 | 不实施会带来何种影响 |
|---|---|---|---|---|---|---|---|---|
SI-2(1){1} | SWFM | ISCM-TN | ISCM-Sys | 测试 |
缺陷检查说明表
若该控制项未有效执行,可导致下列一项或多项缺陷检查中存在缺陷:
判断语句ID | 缺陷检查ID | 缺陷检查名称 | 说明若此缺陷检查的【组织定义的指标】高于【组织定义的阈值】,则该控制项相关的集中管理缺陷修复流程存在的问题可能是导致该缺陷的原因;即…… |
|---|---|---|---|
SI-2(1){1} | VUL-F01 | 漏洞软件 | ……存在软件漏洞(CVE等漏洞)。 |
SI-2(1){1} | VUL-L01 | 不规范编码实践 | ……软件存在不规范的编码实践(CWE等缺陷)。 |
SI-2(1){1} | VUL-Q01 | 设备未上报(漏洞) | ……设备未在规定时间内上报软件漏洞。 |
SI-2(1){1} | VUL-Q02 | 未上报适用的缺陷检查 | ……未上报适用的缺陷检查。 |
SI-2(1){1} | VUL-Q03 | 完整性差指标 | ……ISCM总体报告的完整性未达到阈值。 |
SI-2(1){1} | VUL-Q04 | 时效性差指标 | ……ISCM总体报告的时效性差 |
3.4控制分配表(CAT)
表8“低基线控制(项目)分配表”、表9“中等基线控制(项目)分配表”和表10“高基线控制(项目)分配表”分别列举了低、中、高三档基线控制措施,总结了3.3节中安全计划评估说明中的各判断语句相关信息,是对评估计划的简明概述。
3.4.1 低基线控制分配表
表8:低基线控制(项目)分配表
判断语句ID | 实施者 | 评估范围 | 评估责任 | 评估方法 | 是否选择 | 接受风险的理由 | 评估频率 | 不实施会带来何种影响 |
|---|---|---|---|---|---|---|---|---|
RA-5(a){1} | ISCM-Ops | ISCM-TN | ISCM-Sys | 测试 | ||||
RA-5(a){2} | DSM | ISCM-TN | ISCM-Sys | 测试 | ||||
RA-5(b){1} | DSM | ISCM-TN | ISCM-Sys | 测试 | ||||
RA-5(b){2} | ISCM-Ops | ISCM-TN | ISCM-Sys | 测试 | ||||
RA-5(b){3} | MAN | ISCM-TN | MAN | 待定 | ||||
RA-5(c){1} | RskEx | ISCM-TN | ISCM-Sys | 测试 | ||||
RA-5(d){1} | PatMan | ISCM-TN | ISCM-Sys | 测试 | ||||
RA-5(e){1} | RskEx | ISCM-TN | ISCM-Sys | 测试 | ||||
SI-2(a){1} | SWFM | ISCM-TN | ISCM-Ops | 测试 | ||||
SI-2(a){2} | PatMan | ISCM-TN | ISCM-Sys | 测试 | ||||
SI-2(b){1} | MAN | ISCM-TN | MAN | 待定 | ||||
SI-2(c){1} | PatMan | ISCM-TN | ISCM-Sys | 测试 | ||||
SI-2(d){1} | SWFM | ISCM-TN | ISCM-Sys | 测试 |
3.4.2 中基线控制分配表
表9:中基线控制(项目)分配表
判断语句ID | 实施者 | 评估范围 | 评估责任 | 评估方法 | 是否选择 | 接受风险的理由 | 评估频率 | 不实施会带来何种影响 |
|---|---|---|---|---|---|---|---|---|
RA-5(1){1} | DSM | ISCM-TN | ISCM-Sys | 测试 | ||||
RA-5(2){1} | ISCM-Ops | ISCM-TN | ISCM-Sys | 测试 | ||||
SA-11(d){1} | SWFM | ISCM-TN | ISCM-Sys | 测试 | ||||
SI-2(2){1} | ISCM-Ops | ISCM-TN | ISCM-Sys | 测试 |
3.4.3 高基线控制分配表
表10:高基线控制(项目)分配表
判断语句ID | 实施者 | 评估范围 | 评估责任 | 评估方法 | 是否选择 | 接受风险的理由 | 评估频率 | 不实施会带来何种影响 |
|---|---|---|---|---|---|---|---|---|
SI-2(1){1} | SWFM | ISCM-TN | ISCM-Sys | 测试 |
参考文献
[1]风险可根据威胁,漏洞,可能性和影响确定。关于风险管理、评估和优先级排序的更多信息,请参见NIST SP 800-30 [SP800-30]和NIST SP 800-39 [SP800-39]。并且,自动化漏洞扫描工具还提供关于已发现的软件漏洞的风险信息和风险优先级排序信息。
[2] 虽然自动化工具可能每3-4天进行一次评估,但各组织可根据ISCM策略确定合理的评估频率。
[3] 如前所述,缺陷检查VUL-F01和VUL-L01假设存在一个自动仪表盘,分享漏洞扫描信息的指定人员或角色可访问该仪表盘。为实现更全面的检查,组织可以验证:1)仪表板是否显示扫描结果,2)组织定义的人员或角色是否具有访问权限,和/或3)组织定义的人员或角色是否正在使用访问权限。这种验证可手动或自动执行,对各种情形下的预期情况(与组织定义的人员或角色分享漏洞扫描结果)与监控结果(该信息实际上是否由组织定义的人员或角色分享和审查)进行比较。
原文链接:https://csrc.nist.gov/publications/detail/nistir/8011/vol-4/final
关于小蜜蜂翻译组公益译文项目
小蜜蜂翻译组公益译文项目,旨在分享国外先进网络安全理念、规划、框架、技术标准与实践,将网络安全战略性文档翻译为中文,为网络安全从业人员提供参考,促进国内安全组织在相关方面的思考和交流。
内容编辑:翻译组郝秀文 责任编辑:高深
腾讯云开发者
