![安全工程风险分析 (SERA) 威胁原型]( "安全工程风险分析 (SERA) 威胁原型")
安全工程风险分析(SERA)威胁原型
克里斯托弗·阿尔贝茨卡罗尔·伍迪博士
2020年12月CERT部门
分发声明A:已批准公开发布;分发是无限的
http://www.sei.cmu.edu
本材料基于国防部根据合同号资助和支持的工作。FA8702-15-D-0002与卡内基梅隆大学合作运营软件工程研究所,这是一个联邦政府资助的研发中心。
本材料中包含的观点,意见和/或发现是作者的观点,意见和/或发现,除非由其他文件指定,否则不应被解释为政府的官方立场,政策或决定。
无担保。这本卡内基梅隆大学和软件工程学院的材料按“原样”提供。卡内基梅隆大学对任何事项不作任何明示或暗示的保证,包括但不限于对用途适用性或适销性、排他性或使用材料所获得的结果的保证。卡内基梅隆大学对不侵犯专利、商标或版权不作任何形式的保证。
[分发声明 A]本材料已被批准公开发布和无限制分发。请参阅版权声明,了解非美国政府的使用和分发。
内部使用:*授予复制此材料并从此材料制备衍生作品以供内部使用的许可,前提是所有复制品和衍生作品都包含版权和“无保证”声明。
外部使用:*本材料可以完整复制,未经修改,并以书面或电子形式自由分发,无需请求正式许可。任何其他外部和/或商业用途都需要许可。许可请求应直接向 [email protected] 的软件工程研究所 提出。
卡内基梅隆®大学和CERT®由卡内基梅隆大学在美国专利商标局注册。
在当今的运营环境中,多个组织通常需要协同工作以追求单一任务,从而产生难以有效控制的管理复杂性。成功执行多组织任务需要管理层能够有效地协调所有团队之间的任务执行和风险管理活动。政府和行业的组织开始实施错误保证计划,以协调任务执行并帮助确保任务成功。
国防部(DoD)指令3020.40,标题为任务保证(MA),将任务保证定义为“保护或确保能力和资产(包括人员、设备、设施、网络、信息和信息系统、基础设施和供应链)的持续功能和弹性的过程,这些功能和资产对于任何操作环境或条件下执行DoD任务基本功能至关重要”[DoD2018]。
该指令要求国防部各部门优先考虑任务保证工作,以支持国防部的战略任务。虽然武器系统获取不属于国防部任务保证指令的直接范围,但该指令确实概述了与系统获取相关的重要行动:
1.在整个生命周期中获取信息技术时,必须尽早解决风险管理问题。
2.采购计划必须将任务保证目标和活动与采购指导相结合。
因此,在获取国防部软件密集型系统(如武器系统)时,必须考虑任务保证。从网络角度来看,收购计划应该在系统收购生命周期的早期开始管理网络安全风险。一个复杂的因素是,大多数软件密集型系统都是联网的。虽然网络为系统的利益相关者提供了许多运营效率,但它也扩展了系统的网络风险状况。
独立管理的软件密集型系统网络,称为系统系统(SoS)系统,提供对成功执行任务至关重要的信息和服务。具有潜在任务影响的网络攻击可以针对SoS环境中的任何系统,从而创建复杂的攻击媒介,在网络风险分析过程中必须加以考虑。
网络攻击旨在利用系统软件组件中的弱点和漏洞,这使得软件成为早期生命周期网络风险分析的焦点。软件的架构和设计必须考虑到,它必须在充满争议、具有挑战性和相互关联的网络环境中按预期运行。因此,软件即保证对于实现任务保证至关重要。
软件保障被定义为一种置信度,即软件按预期运行,并且在整个生命周期中,无论是有意还是无意地设计或作为软件的一部分插入的漏洞[NIA2010]。软件保障对各行各业的组织越来越重要,因为软件在业务和任务关键型系统中的影响力越来越大。
例如,考虑一下飞行软件1的大小多年来是如何增加的。在1960年至2000年间,软件为军用飞机飞行员提供的功能程度从8%增加到80%。与此同时,军用飞机上的软件规模从F-4A的1000行代码增加到F-22的170万行代码。随着时间的推移,这种增长趋势将持续下去[NASA2009]。随着软件对复杂的系统(如军用飞机)施加更多控制,网络安全漏洞带来的潜在风险将会增加。
2005年,来自卡内基梅隆大学软件工程研究所(SEI)CERT部门的研究人员开始研究如何在SoS环境中实现任务保证[Alberts 2005]。这项研究的一个主要结论是,面向系统的网络风险方法不容易扩展到SoS环境。需要新的分析方法来补充传统的面向系统的分析活动。
2013年,CERT研究人员开始研究如何在收购生命周期的早期(即在需求、架构和设计期间)进行网络风险分析。这种解决方案的产物是安全工程风险分析(SERA)方法,这是一种基于场景的方法,用于分析SoS环境中的复杂网络安全风险。
SERA方法旨在将系统和软件工程与整个生命周期和供应链的运营连续性相结合。从 SERA 方法生成的信息为项目的采购和工程活动提供了几个好处,例如使分析人员能够执行以下操作:
4.分析当前基于合规性的网络风险方法无法处理的复杂网络攻击。
在过去的五年中,我们在SEI使用SERA方法对国防部和联邦系统采购计划进行了多次SoS网络风险分析。根据我们的试点经验,我们将网络风险情景的发展确定为成功评估的关键。同时,我们观察到,场景开发可能是一项耗时且困难的任务,因为分析师必须具备足够的知识,技能和能力来开发和评估网络风险场景。当分析师不了解软件、硬件和公司设备可能受到损害的方式时,重要的场景可能会被构建得很糟糕,甚至被忽视。
我们研究的首要目标是教其他人应用SERA方法。为了促进SERA方法向整个网络安全社区的采用者过渡,我们提出了更系统地开发场景的方法。因此,我们指定了一项研究任务,以探索使用威胁模式(称为威胁原型)来促进场景开发过程的概念。
本报告探讨了威胁原型的概念,以及分析师在方案开发过程中如何使用它们。在深入研究威胁原型的详细信息之前,我们首先简要概述了SERA方法和网络风险场景。
1.SERA方法概述
SERA方法定义了一种基于场景的方法,用于分析整个生命周期和供应链中网络物理系统中复杂的网络安全风险[Alberts 2016]。SERA方法包含各种图表或模型,可以在评估和开发生命周期的任何阶段进行分析,以(1)识别安全威胁和漏洞,以及(2)构建安全风险场景。然后,组织可以使用这些方案将其资源集中用于控制其最重要的安全 风险。
负责获取和开发依赖于软件的系统的个人或团体可以应用SERA方法,或者外部各方可以代表责任人或团体促进应用该方法。无论哪种方式,一个大约三到五人的小团队,称为 分析团队,负责实施该方法并向利益相关者报告结果。
分析团队是一个跨学科团队,需要具有不同技能组合的成员。组建团队时应考虑的技能和经验示例包括:安全工程风险分析,系统工程,软件工程,运营网络安全和物理/设施安全。分析团队的确切组成取决于应用SERA方法的生命周期中的点以及所从事的工程活动的性质。表1 突出显示了团队在执行该方法时执行的四项任务[Alberts 2016]。
|
|
|
|
任务 1 定义分析的操作上下文。分析小组汇编/开发操作视图,这些视图(1)定义任务,(2)记录系统和软件如何支持任务执行。
任务1设置后续风险分析活动的上下文和范围。这项任务很重要,因为它为每个选定的特派团确定了业绩基线。这一基线确定了在执行任务期间被视为正常的业务业绩以及支持特派团执行的系统和软件组件。
分析小组确定选择哪个任务作为分析的基础。然后,团队确定支持该任务的 SoS。在对 SoS 进行进一步分析后,分析团队选择一个或多个感兴趣的实体。感兴趣的实体是将成为网络风险分析重点的系统、子系统、组件或软件应用程序。然后,该团队分析每个相关实体的网络风险。
|
|
|
|
|
|
|
|
|
|
任务2定义了SERA方法的网络风险识别活动。在此任务中,分析团队将安全问题转换为可以描述和衡量的独特、有形的网络风险场景。分析小组审查任务1中记录的操作环境以及每个相关实体的相关数据。然后,该团队为每个选定的感兴趣实体开发一组网络风险场景。
|
|
|
|
|
|
|
|
任务3侧重于网络风险分析。分析团队根据预定义的标准评估每个网络风险场景,以确定其概率、影响和风险敞口。
|
|
|
网络风险场景的风险度量(例如,概率、影响、风险敞口)
|
|
|
|
|
任务4建立一个计划来控制一组选定的网络风险场景,团队根据其风险度量确定优先级。然后,团队根据预定义的标准和当前约束(例如,可用于控制活动的资源和资金)确定控制每种风险的基本方法(即接受或计划)。最后,分析团队为不接受的每个风险制定控制计划。
|
|
|
|
|
|
|
|
SERA方法结合了自上而下的分析方法,该方法建立了从任务到支持它的硬件,软件和固件的视线。鉴于当今网络物理系统的规模、规模和复杂性,分析团队在进行评估时必须关注系统最关键的组件。因此,为评估设置可管理的范围对于成功进行SERA至关重要。
1.分析团队必须确定要在分析中包括哪些任务线程。错误线程设置了评估的总体范围。如果分析团队选择多个任务线程进行分析,则团队需要为每个任务线程执行SERA。
2.分析小组选择感兴趣的实体。团队选择对任务线程的执行至关重要的系统、子系统、组件或软件应用程序。然后对每个感兴趣的实体进行全面的网络风险分析。因此,SERA的界定活动为对任务线程最关键资产进行深入的网络风险评估提供了基础。
设置评估范围只是任务1的一个方面。一旦确定了评估的范围,分析小组就确定特派团预期业务业绩的基线。此时,分析团队编译(并在某些情况下开发)操作视图,这些视图(1)定义任务和(2)记录系统,硬件,软件和公司如何支持该任务的执行。这些操作视图包括描述任务线程、系统和软件体系结构、接口和数据流、用例以及网络拓扑(以及其他)的图表或模型。在任务1中,操作基线锚定了随后的网络风险分析,分析团队在其中开发和评估旨在破坏预期操作性能并破坏任务的场景。
SERA方法的基于场景的分析是该方法的一个显着特征,该方法使分析团队能够评估复杂,高度网络化的SoS环境中的网络安全风险。SERA网络风险场景的详细信息将在下一节中介绍。![安全工程风险分析 (SERA) 威胁原型]( "安全工程风险分析 (SERA) 威胁原型")
1.网络风险场景
根据《持续风险管理指南》,术语风险的一般定义是“遭受伤害或损失的可能性”[Dorofee 1996]。根据这一定义,风险涉及两个核心组成部分:(1)可能发生或可能不会发生的事件,以及(2)由此产生的损失的大小。这种对风险的一般定义是普遍适用的,但不同的受众对它有不同的含义。例如,安全专业人员从减少事故和伤害的数量的角度来看待风险管理。医院管理员将风险管理视为组织质量保证计划的一部分。保险业将风险视为设定保险费率的基础。每个行业都使用根据其背景量身定制的定义。当然,不存在普遍接受的风险定义。
从网络安全的角度来看,风险被视为(1)威胁产生不利后果或损失的可能性以及(2)后果或损失程度的衡量标准。基于这一观点,网络安全风险包括以下几个组成部分:
1.威胁—基于网络的行为、事件或事件,可能通过未经授权的访问、破坏、披露、修改数据和/或拒绝服务来损害信息系统2
2.后果—因发生威胁而造成的损害或损失SERA方法使用场景来描述网络安全风险。威胁和顺序的概念为记录网络风险场景提供了基础。
1.1网络风险场景的结构
网络风险场景讲述了一个故事,说明一个或多个参与者如何通过利用一个或多个相互关联的软件依赖系统中的漏洞或弱点(有意或无意地)为利益相关者造成不利的任务后果。SERA网络风险方案包括以下三个基本部分:
1.SoS攻击向量威胁参与者如何利用一个或多个漏洞遍历SoS环境并访问网络攻击的目标(SoS攻击向量也称为访问路径)。
2.网络攻击-威胁参与者通过利用弱点或漏洞和对攻击直接结果的描述(例如,数据泄露、数据修改、数据不可用)对所选目标(即感兴趣的实体)发起网络攻击而采取的步骤
3.任务后果—描述网络攻击对任务的影响(基于任务线程分析)
图1说明了SERA网络风险场景与网络安全风险组件之间的关系。风险的威胁部分包括SoS攻击向量和网络攻击。从SERA的角度来看,利益的后果就是任务的后果。该情景的影响(即伤害或损失的衡量标准)是基于对任务连续性的评估。
…………………………………………………………………………………………
原文始发于微信公众号(祺印说信安):安全工程风险分析 (SERA) 威胁原型
评论