經過多年網絡安全工作,一直缺乏網絡安全的整體視角,網絡安全的全貌到底是什么,一直挺迷惑的。目前網絡安全的分類和廠家非常多,而且每年還會冒出來不少新的產品。但這些產品感覺還是像盲人摸象,只看到網絡安全的一個點,而不是一個整體。最近無意看到了網絡安全能力成熟度模型(C2M2),有種相見恨晚的感覺。它是一套自成體系的模型,內容比較全面,更貼近企業落地。它的目的是幫助所有一定規模的組織評估和改進其網絡安全,并加強其運營彈性。
二、模型介紹網絡安全能力成熟度模型(C2M2)由美國能源部(DOE)、電力部門協調委員會(ESCC)和石油和天然氣部門協調委員會(ONG SCC)資助共同開發出版發行。它解決與信息技術(IT)和運營技術(OT)資產及其運營環境相關的網絡安全實踐的實施和管理問題。可以作為全面的企業網絡安全建設的參考和補充。
C2M2 包括領域、目標、實踐和 MIL(成熟度指標級別)。以下各節將討論每個組件。
【資料圖】
域:域是網絡安全的一類主題。該模型有10個域,每個域都包含一組網絡安全實踐。每組實踐都表示組織可以執行的活動,以域為單位建立成熟度模型。
目標:每個域內的實踐被組織設定成目標,這些目標代表了可以通過在該領域實施實踐來實現的網絡安全成果。例如,風險管理領域包括五個目標:
建立和維護網絡風險管理戰略和計劃識別網絡風險分析網絡風險應對網絡風險經營活動實踐:實踐是 C2M2 最基本的組成部分。每個實踐都是一個簡短的聲明,描述了組織可能執行的網絡安全活動。這些活動的目的是實現和維持與關鍵基礎設施和組織目標的風險相符合的適當網絡安全水平。每個域中的實踐都按照成熟度等級進行排序和組織的。
該模型由 10 個域組成。每個域由多個目標組成,每個目標有多個實踐組成。在每個目標中,實踐按照成熟度指標級別排序。目前最新的是2.1版本,該2.1版本有356個實踐。
1687747352_6498fb187e81cc44b74d5.png!small?1687747356195
成熟度指標級別(MIL):模型定義了四個成熟度級別(maturity indicator level,MIL),從 MIL0 到 MIL3,獨立應用于模型中的各個領域。每個級別表示成熟度能力,MIL 定義了成熟度包括兩方面:方法和管理。
1687747358_6498fb1eb6155512a5997.png!small?1687747362022
以下的四個方面非常重要:
成熟度級別獨立于每個域。因此,使用該模型的組織可能在不同的領域用不同的級別評級運行。MIL在每個域內是累積的。要在實施指定的級別,組織必須執行該級別及其以下級別的所有實踐。為每個域建立目標級別是利用該模型指導網絡安全方案改進的有效策略。實踐效果和級別目標需要與業務目標和組織網絡安全戰略計劃相一致。所有公司都應該在全領域實現1級別。三、資產就C2M2模型而言,資產包括組織業務相關功能內的所有IT、OT和信息資產,包括業務和系統以及它們所運行的環境。可能還包括虛擬化資產、受監管資產、云資產和移動資產。可能包括由第三方管理的資產、軟件服務、平臺服務和基礎設施服務,以及公共、私有或混合云資產。
IT資產:用于收集、處理、維護、使用、共享、分發或處置信息的獨立信息資源。包括業務和系統以及它們所運行的環境§
OT資產:OT資產是指對于服務交付或生產活動所必需的資產。大多數現代控制系統包括傳統上被稱為IT的資產,例如使用標準操作系統、數據庫服務器或域控制器的工作站,也包括工業控制系統,攝像頭,門禁等。
信息資產:對組織有價值的任何知識描述,如業務數據,財務數據,合同,客戶資料等。信息資產可以是任何媒體或形式,包括數字的或非數字的。
1687747386_6498fb3ab26fd2da336c9.png!small?1687747390030
整個目標資產被分成三大類:
對功能的交付很重要的資產:保證業務功能正常運行必需的資產,當這些資產不可用時,可能導致業務無法正常使用或者影響業務使用。容易受到威脅的資產:比如暴露在公網的資產,容易橫向移動的資產,有可能提升管理權限的資產,保存重要信息的資產等。其他所有資產:這些資產可能被認為對功能的交付不重要,也不太可能受到威脅的資產(例如,打印機、收音機、閱讀器或電話)。1687747392_6498fb40c448e12dff21e.png!small?1687747396149
四、如何使用C2M2是一個組織用于持續評估其網絡安全能力的模型,下圖總結了使用該模型的一種潛在方法。組織對模型進行自我評估,使用該自我評估來識別能力上的差距,對這些差距進行優先排序,并制定解決它們的計劃,并最終實施解決差距的計劃。隨著計劃的實施,業務目標不斷變化,風險環境的演變,過程不斷重復。
1687747402_6498fb4a406d8efb61765.png!small?1687747405563
下面的部分將描述這種方法中的每個步驟。
步驟1:執行自我評估自我評估提供了對組織內網絡安全活動情況的度量。在開始準備工作前,組織首先確定模型應用程序的范圍。接下來,組織確定對功能交付很重要的IT、OT和信息資產。組織應選擇適當的人員,根據模型實踐來評估。應確定一個熟悉模型內容的咨詢人員,以指導自我評價。選擇參與自我評估的人員應包括運營人員、管理人員和利益相關者,以及任何能夠提供關于模型中組織網絡安全實踐有用的信息人員。通過最佳實踐說明,確定了每個領域的實踐水平。評估結果有四種:未實現、部分實現、大部分實現或完全實現。在完成自我評估后,將生成一個評分報告,提供總結及描述,以及完成的實現狀態。必須注意的是,自我評價報告可能包括敏感信息,并應得到相應的保護。
步驟2:分析已識別的差距來自自我評估的評分報告將確定模型實踐和實際的差距。組織的第一個分析步驟是確定這些差距對組織是否有意義和重要。一個組織努力在所有領域中實現最高的等級通常不是最佳的。相反,組織應該確定每個領域的合理級別水平,以使其最能實現其業務目標和網絡安全戰略。對于首次使用該模型的組織,通常在初始自我評估后確定目標輪廓。在模型方面有更多經驗的組織通常在進行自我評估之前確定目標概況。在目標概況的選擇中應包括利益相關者的集合。然后,可以根據自我評估研討會的結果來檢查目標概況,以確定對組織很重要的實踐要求的差距。
步驟3:確定優先級和計劃在差距分析完成后,組織應該優先考慮充分實施實踐所需的行動,以便在特定領域實現所需的能力。優先級應該使用以下標準,如差距如何影響組織目標、該域支持的業務目標的重要性、實施必要實踐的成本以及實施實踐資源的可用性。對差距和活動進行成本效益分析確定優先順序,接下來制定一個計劃來解決選定的差距。規劃應遵循標準的組織規劃流程,并與組織和網絡安全計劃的戰略目標保持一致。這些計劃可以跨越數周、月或年,這取決于縮小所選差距和實現所需能力的改進程度。負責人應有足夠的權力執行計劃。組織領導層定期進行審查,以評估狀況,清除障礙,糾正偏離目標的內容。
步驟4:實施計劃,并定期重新評估執行在上一步中制定的計劃,以解決已確定的差距。模型自我評價在跟蹤實施情況方面特別有用,應定期進行,以確保取得預期的進展。當業務、技術、市場或威脅環境中有重大變化后還應重新評估,以確保當前的配置符合組織的期望狀態。
1687747411_6498fb530875f69dda0d1.png!small?1687747414510
五、十大領域下面介紹模型的十大領域。
一、資產、變更和配置管理(Asset)目的:管理組織的IT和OT資產,包括硬件和軟件,以及與關鍵基礎設施和組織目標風險相關的信息資產。一個資產對一個組織來說是非常有價值的東西。就該模型而言,要考慮的資產是IT和OT的硬件和軟件資產,以及操作該功能所必需的信息。
該領域包括五個目標:1. 管理 IT 和 OT 資產庫2. 管理信息資產清單3. 管理資產配置4. 管理對資產的更改
5. 經營活動
資產清單是管理網絡風險的一個重要內容。它記錄了很多重要的信息,比如軟件版本、物理位置、資產所有者和優先級等,它是許多其他網絡安全管理活動的基礎。例如,一個完善的資產庫可以確定需要打補丁的軟件的部署位置。
資產配置包括定義配置基線,并確保根據基線配置資產。管理基線可以確保用相同的方式配置類似的資產。對資產的變更管理包括分析配置變化,以確保它們不會在操作過程中引入不可接受的風險,確保所有更改都遵循變更管理流程,以及識別未經授權的更改。變更控制適用于整個資產生命周期,包括需求定義、測試、部署和維護,以及退出操作。
二、威脅和漏洞管理(THREAT)目的:通過技術來檢測、識別、分析、管理和應對網絡安全威脅和漏洞,與組織的基礎設施和組織目標的風險相匹配。網絡安全威脅被定義為通過未經授權的訪問、破壞、披露、修改信息或拒絕服務而可能對組織運營(包括任務、功能、圖像或聲譽)、資源、對其他組織或通信基礎設施等產生不利影響的任何事件。網絡安全漏洞是指IT、OT、通信系統或設備、程序或內部控制中可能被威脅利用的弱點或缺陷。
該模型包括三個目標:1. 減少網絡安全漏洞2. 響應威脅并共享威脅信息3. 經營活動
首先要從可靠的來源收集有用的威脅信息,并對具有影響服務的威脅作出反應。威脅概況包括威脅的可能意圖、能力和目標的描述。威脅概況可用于指導威脅的識別、風險管理領域中描述的風險分析過程,以及在態勢感知領域中描述的運營和網絡狀態的構建。
減少網絡安全漏洞,從收集和分析漏洞開始。漏洞發現可以使用自動掃描工具來執行,網絡滲透測試、網絡安全演習和網絡審計等。脆弱性分析應考慮漏洞的影響以及資產對功能交付的重要性。漏洞可以通過監控威脅狀態、應用安全補丁、替換過時的設備或執行其他活動來解決。
三、風險管理(RISK)目的:建立、運營和維護企業網絡安全風險管理計劃,以識別、分析和減輕組織(包括其業務部門、子公司、相關互連基礎設施和利益相關者)的網絡安全風險。網絡風險被定義為由于未經授權訪問、使用、披露、中斷、修改或破壞信息、對組織運營(包括使命、職能、形象和聲譽)、資源和其他組織構成的風險。網絡風險是整體業務風險環境的一個組成部分,并納入組織的企業風險管理戰略和計劃。網絡風險無法完全消除,但可以通過明智的決策過程進行管理。
風險管理(RISK)領域包括五個目標:1. 建立和維護網絡風險管理戰略和計劃2. 識別網絡風險3. 分析網絡風險4. 應對網絡風險
5. 經營活動
管理網絡風險涉及構建、識別和評估、響應(接受、避免、緩解、轉移)和監控風險。通過定義風險標準,組織可以一致地響應和監控已識別的風險。網絡風險管理策略是一種高級策略,為分析和確定網絡風險的優先級提供方向,并定義風險容忍度。網絡風險管理策略包括風險評估方法、風險監控策略和網絡安全治理計劃。包括定義企業風險標準(例如,影響閾值和風險響應方法),這些標準指導本模型后面的網絡安全項目管理域中討論的網絡安全計劃。網絡風險管理策略應與企業風險管理策略保持一致,以確保以符合組織使命和業務目標的管理網絡風險。
四、身份和訪問管理 (ACCESS)用途:對組織資產的邏輯或物理訪問權限的實體創建和管理標識。控制對組織資產的訪問,與關鍵基礎設施和組織目標的風險相稱。訪問控制適用于對資產的邏輯訪問、對與功能相關的網絡資產的物理訪問以及與功能相關的訪問控制系統(邏輯或物理)。不當的訪問管理實踐可能導致未經授權的使用、披露、破壞或修改,以及不必要的網絡安全風險暴露。
身份和訪問管理 (ACCESS) 領域包括四個目標:1. 建立和維護身份2. 控制邏輯訪問3. 控制物理訪問
4. 經營活動
建立和維護標識首先向實體預配和取消預配標識(在不再需要可用標識時刪除可用標識)。實體可能包括個人(組織內部或外部)以及需要訪問資產的設備、系統或流程。在某些情況下,組織可能需要使用共享標識。共享身份的管理可能需要采取額外補償方案,以確保適當的安全級別。身份維護包括可跟蹤性(確保所有已知身份都有效)以及取消預配。
控制邏輯和物理訪問包括確定訪問要求、根據這些要求授予對資產的訪問權限,以及在不再需要時撤銷訪問權限。邏輯和物理訪問要求與給定區域內的一個或多個資產相關聯,并為允許訪問資產的實體或個人類型、允許訪問的限制以及邏輯訪問的身份驗證參數提供指導。例如,特定資產的邏輯訪問要求可能僅允許供應商在指定和計劃的維護間隔期間進行遠程訪問,并且可能還需要多重身份驗證才能進行此類訪問。基于物理訪問要求的訪問限制通過可見方式(例如標牌)進行認證。在較高的成熟度指標水平上,對所授予的訪問權進行審查。只有在考慮功能風險后,才會授予邏輯和物理訪問,并定期審查訪問。
五、態勢感知(SITUATION)目的:建立和維護技術手段,以收集、分析、報警、呈現和使用網絡安全信息,包括來自其他 C2M2 域的狀態和摘要信息,以形成通用運營圖景。態勢感知涉及開發對動態操作環境的知識。在某種程度上,這是通過記錄和監控對功能交付至關重要的IT、OT和通信基礎設施資產來實現的。一旦組織建設了態勢感知,它就可以使預定義的操作狀態與操作環境中的變化保持一致。從一個預定義狀態切換到另一個預定義狀態的能力可以更快、更有效地響應網絡安全事件或威脅環境的變化。
態勢感知(SITUATION)領域包括四個目標:1. 執行日志記錄2. 執行監控3. 建立并保持態勢感知
4. 經營活動
應根據資產對業務的潛在影響啟用日志記錄。例如,受損資產的潛在影響越大,組織收集的有關該資產的數據就越多。監控和分析日志中收集的數據以及通過其他方式收集的數據,使組織能夠了解職能的運營和網絡安全狀態。有效地向相關決策者傳達運營和網絡安全狀態是態勢感知(有時稱為通用運營圖)的目標。
六、事件和事件響應,運營連續性(RESPONSE)目的:系統或網絡中的網絡安全事件是與網絡安全要求(資產的機密性、完整性或可用性)相關的任何可觀察事件。網絡安全事件是重大影響或可能顯著影響關鍵基礎設施或組織資產和服務的事件或一系列事件,并要求組織(可能還有其他利益相關者)以某種方式做出響應以防止或限制不利影響。
“事件和事件響應,運營連續性”領域包括五個目標:1. 檢測網絡安全事件2. 分析網絡安全事件并聲明事件3. 應對網絡安全事件4. 解決運營連續性中的網絡安全問題
5. 經營活動
檢測網絡安全事件包括指定一個平臺來報告事件和建立事件優先級標準。這些標準應與風險管理領域指定的網絡風險管理策略保持一致,確保對事件的一致理解,并提供一種方法來確定網絡安全事件的構成,何時升級網絡安全事件,以及發布網絡安全事件的條件。
網絡安全事件都應根據響應計劃進行管理。網絡安全事件和已宣布的事件可能會觸發外部操作,包括向監管機構報告或通知客戶。將多個網絡安全事件以及其他記錄關聯起來可能會發現環境中的系統性問題。
響應網絡安全事件要求組織有一個流程來限制網絡安全事件對其職能和組織單位的影響。該過程應描述組織如何管理事件生命周期的所有階段,例如會審、處理、通信、協調和關閉。
連續性規劃涉及在發生中斷(例如嚴重的網絡安全事件或災難)時維持功能的必要活動。確保連續性計劃解決潛在的網絡安全事件需要考慮已知的網絡威脅和已確定的網絡風險類別。
七、第三方風險管理 (THIRD-PARTIES)目的:建立和維護控制措施,以管理與依賴于外部實體的服務和資產相關的網絡安全風險,與關鍵基礎設施和組織目標的風險相匹配。隨著基礎設施、運營合作伙伴、供應商、服務提供商和客戶之間的相互依賴性增加,建立并保持對關鍵關系的全面了解并管理其相關的網絡安全風險對于安全、可靠和彈性地交付至關重要。
此模型將外部依賴關系分類為供應商或客戶。供應商依賴關系是功能交付所依賴的外部各方,包括運營合作伙伴。客戶依賴關系是依賴于功能交付的外部各方,包括運營合作伙伴。
供應鏈風險是非常容易忽視的。如果沒有適當的風險管理,它們將構成嚴重威脅,包括來源不明的軟件和假冒(可能是惡意)硬件。組織的選型大多只關注功能要求,可能缺乏對安全和質量保證的要求。
第三方風險管理(第三方)領域包括三個目標:1. 識別第三方并確定其優先級2. 管理第三方風險
3. 經營活動
識別依賴關系涉及建立和維護對交付所需的關鍵外部依賴,管理依賴關系風險包括獨立測試、代碼審查、漏洞掃描以及審查供應商提供的可證明證據(表明已遵循安全的軟件開發過程)等。對組織的產品或服務的合作伙伴或供應商的安全要求寫入合同,以緩解網絡安全風險。
八、勞動力管理(WORKFORCE )目的:創建網絡安全文化,并確保人員的持續適用性和能力,與關鍵基礎設施和組織目標的風險相匹配。隨著組織越來越多地采用先進的數字技術,提高現有員工的技能并雇用具有適當網絡安全經驗的人員是一項挑戰。組織對數字通信和先進技術的依賴持續增長,勞動力問題是成功解決這些系統的網絡安全和風險管理的關鍵方面。
勞動力管理(WORKFORCE )領域包括五個目標:1. 分配網絡安全責任2. 培養網絡安全勞動力3. 實施勞動力控制4. 提高網絡安全意識
5. 經營活動
為關鍵網絡安全角色(如系統管理員)制定計劃至關重要,以提供適當的培訓、測試、冗余和績效評估。網絡安全責任不僅限于傳統的IT角色也包括別的角色;例如,一些運營工程師可能負有網絡安全責任。
發展網絡安全勞動力包括培訓和招聘,以解決已確定的技能差距。例如,招聘實踐應確保招聘人員和面試官了解網絡安全勞動力的需求。此外,人員(和承包商)應定期接受安全意識培訓,以減少他們對社會工程和其他的威脅。應評估培訓和提高認識活動的有效性,并應根據需要進行改進。
實施勞動力控制包括人員審查,例如背景調查,并對有權訪問提供基本服務所需資產的職位進行額外審查。例如,系統管理員通常能夠更改關鍵系統上的配置設置、修改或刪除日志文件、創建新帳戶以及更改密碼,并采取特定措施來保護這些系統免受此類人員的意外或惡意行為。
提高員工的網絡安全意識與改善組織網絡安全的技術方法一樣重要。網絡攻擊對組織的威脅通常在公司的IT或OT系統中進行突破,例如,通過獲得粗心的員工或承包商的信任,然后將設備或者木馬引入組織的網絡。組織應與其員工提供知識庫,比如識別可疑行為、避免垃圾郵件和魚叉式網絡釣魚以及識別社會工程學攻擊的方法和技術的信息,以避免向潛在對手提供有關組織的信息。例如,內部網站可以提供有關行業中新威脅和漏洞的信息。
九、網絡安全架構(ARCHITECTURE)目的:建立網絡安全架構涉及識別組織的關鍵資產并設計一組適當的控制措施來保護它們。這些控制的有效性是通過它們單獨和集體實現該功能的網絡安全目標的程度來衡量的。通過網絡安全架構來實現網絡安全目標。
網絡安全架構(ARCHITECTURE)領域包括六個目標:1. 建立和維護網絡安全架構戰略和計劃2. 將網絡保護作為網絡安全架構的一個要素實施3. 將 IT 和 OT 資產安全作為網絡安全架構的一個要素實施4. 將應用程序安全性作為網絡安全架構的一個要素實施5. 將數據安全作為網絡安全架構的一個要素實施
6. 管理活動
網絡安全架構為如何以超越單個資產(如身份管理或訪問控制)的單點解決方案的方式為企業提供了一個總體計劃。它能夠根據已知的體系結構策略對關鍵應用程序和數據的安全性進行處理,例如,檢測、抵抗、響應攻擊和從攻擊中恢復。
這些策略包括分區域、密碼控制、監控和冗余。此外,由于網絡安全架構是一種前瞻性的規劃,因此不僅應考慮當前的技術趨勢,還應考慮潛在的未來發展,例如量子計算及其可能對現有加密系統構成的相關風險。為了使網絡安全架構有效,在考慮對組織、IT 系統或 OT 系統進行更改時,必須將負責它的人員納入規劃和決策過程。
十、網絡安全項目管理(PROGRAM)目的:建立和維護企業網絡安全計劃,該計劃為組織的網絡安全活動提供治理、戰略規劃和贊助,使網絡安全目標與組織的戰略目標和關鍵基礎設施的風險保持一致。網絡安全計劃是一組集成的活動,旨在實現組織和職能部門的網絡安全目標。網絡安全計劃可以在組織或業務級別上實施,但更高級別的實施和大多數觀點是可以通過整合活動并利用整個企業的資源整合使組織受益。
網絡安全項目管理(PROGRAM)領域包括三個目標:
1.制定網絡安全計劃戰略
2. 贊助網絡安全計劃
3. 經營活動
在最簡單的形式中,計劃戰略應包括網絡安全目標列表和實現這些目標的計劃。在更高的成熟度下,計劃戰略將更加完整,包括優先事項、治理方法、計劃的結構和組織,以及高級管理層更多地參與計劃的設計。制定計劃需要公司領導及其相關負責人的支持。
C2M2模型內容很豐富,牽扯到的面很多,在實施的過程中不能一蹴而就,需要根據公司情況逐步來開展,也可也作為現有安全建設的參考和查漏補缺。后續有對此模型有興趣的人可以共同討論。
本文作者:,轉載請注明來自
標簽:
