Differenza tra guide di indurimento (CIS, NSA, DISA)

20

Sto effettuando ricerche su hardening del sistema operativo e sembra che ci siano varie guide di configurazione consigliate. Mi rendo conto che i diversi fornitori di configurazioni forniscono diverse offerte per sistema operativo, ma supponiamo (per comodità) che stiamo parlando di Linux. Considera quanto segue:

  1. Benchmark CIS
  2. Guide alla configurazione della sicurezza NSA
  3. STIG DISA

C'è qualche ovvia differenza tra questi che potrebbe obbligare qualcuno a sceglierne uno rispetto agli altri?

Aggiornamento: 2014-11-19
Alcuni contesti aggiuntivi, per domande di risposta che hanno richiesto ulteriori dettagli:

  • Non ho alcun obbligo di indurmi contro un determinato benchmark o linea guida, sto semplicemente cercando di capire le attuali best practice utilizzate nell'industria e nel settore governo. Tuttavia, ho intenzione di trasformare le mie scoperte in un documento di ricerca per la classe.
  • Non verrò sottoposto a revisione, tranne da quelli che hanno letto il mio articolo.
  • Il mio professore e un paio di studenti potrebbero avere familiarità con il processo di auditing, ma spero di rendere il mio documento accessibile a tutti. Mi piacerebbe scrivere su come utilizzare uno strumento per eseguire automaticamente la scansione di un sistema secondo alcune linee guida o database di vulnerabilità. Sono abbastanza nuovo in quest'area, ma sto ricercando OpenSCAP e OpenVAS . OpenSCAP sembra più accessibile di OpenVAS e sembra essere scritto per testare gli standard NIST . Non sono sicuro di quale NIST venga testato da OpenSCAP, ma aggiungerò NIST alle linee guida NIST al mio elenco di guide da prendere in considerazione.
  • Tate Hansen ha suggerito di utilizzare Nessus per la scansione , tuttavia mi piacerebbe attenersi strettamente alle applicazioni Open Source per soddisfare le mie esigenze per questa ricerca.
  • Una domanda secondaria, sembra che la guida agli standard NIST per il rafforzamento sia SP 800 -123 e SCAP è semplicemente un formato (XML?) Per gli strumenti per eseguire e comunicare l'analisi di un sistema. È corretto?
posta blong 19.11.2014 - 04:57
fonte

4 risposte

6

In generale, gli STIG DISA sono più severi dei Benchmark CIS. Tieni presente che con gli STIG, quali configurazioni esatte sono richieste dipende dalla classificazione del sistema basata su Mission Assurance Catagory (I-III) e sul livello di riservatezza (Public-Classified), fornendo 9 diverse combinazioni possibili di requisiti di configurazione. I CIS di solito hanno una categoria di livello 1 e 2.

OpenVAS probabilmente si adatta alle tue esigenze per la valutazione di riferimento / benchmark. Nessus funzionerà anche ed è gratuito per uso non commerciale fino a 16 indirizzi IP. Per uso commerciale, è ancora abbastanza accessibile.

Devo ancora trovare un cross-walk completo per questi diversi standard. Il miglior tentativo che ho visto fino ad ora è qui (una copia di Web Archive): link . Questo foglio di calcolo è comunque un confronto tra controlli, non baseline / benchmark che penso tu sia veramente interessato.

Riguardo ai requisiti NIST, sì 800-123 è il documento di base che richiede sistemi per implementare i controlli trovati in 800-53A. Questi requisiti differiscono dai benchmark in quanto i requisiti NIST indicano un controllo che deve essere implementato, ma non esattamente come deve essere implementato. I Benchmark sono in genere molto specifici in quanto devi impostare l'impostazione X sul valore Y.

spero che questo aiuti

    
risposta data 20.11.2014 - 18:38
fonte
3

Ecco alcune considerazioni importanti:

  • Qual è la ragione per cui ti stai indurendo rispetto a un determinato benchmark o linea guida?
  • Hai intenzione di essere controllato?
    • Esiste un percorso o una rotta preferita con cui i tuoi auditor hanno maggiore familiarità?
  • Quali strumenti utilizzerai per l'autocontrollo?
    • Questi strumenti hanno politiche o plug-in per controllare il tuo sistema rispetto a un determinato benchmark?

Se stai solo fissando il tuo sistema operativo perché qualcuno ti ha detto di essere "sicuro", avrai meno vincoli e potrai raggiungere ogni guida e scegliere le tue preferenze. Tutti i modelli di hardening citati produrranno un sistema più sicuro.

    
risposta data 19.11.2014 - 07:08
fonte
2

Una differenza è la facilità di trovare uno strumento affidabile e automatizzato per verificare la conformità. Credo che Nessus abbia modelli disponibili per la maggior parte di quelli che hai elencato, ma alcuni sono datati. In ogni caso, ne sceglierei uno che renda il più semplice possibile per voi controllare e mantenere la conformità.

    
risposta data 19.11.2014 - 06:39
fonte
1

Prima di rispondere alla tua domanda, vorrei definire una parola che hai usato (tempra). Secondo il wiki onnisciente, lo definirò come "il processo per proteggere un sistema riducendo la sua superficie di vulnerabilità". Per sapere quale approccio è giusto per te, devi sapere cosa speri di ottenere.

Alcuni membri del Dipartimento della Difesa (e di altri settori) possono applicare gli STIG solo mentre altri applicano più degli STIG. Questo è ciò che gli ingegneri della sicurezza usano per differenziare come la differenza tra conformità e sicurezza. La conformità sta controllando una casella che dice che hai fatto ... La sicurezza sta controllando quella casella e sta cercando di vedere se c'è qualcos'altro che puoi fare ulteriormente per attenuare i punti deboli.

Inoltre, se si esamina la sicurezza e lo sviluppo dell'applicazione STIG, in realtà si afferma "L'IAO deve garantire se una guida DoD STIG o NSA non è disponibile, un prodotto di terze parti verrà configurato come segue in ordine decrescente come disponibile : 1) pratiche commercialmente accettate, (2) risultati di test indipendenti o (3) letteratura del fornitore. "

Una cosa che devi capire sulla politica DoD, è che la politica in cima non è sempre la fine di tutto / essere-tutto. Spesso ci sono dei livelli di politica che devono essere seguiti. Le politiche di livello inferiore possono essere solo più rigide, non meno severe. Quindi in sostanza alcuni programmi potrebbero essere tenuti ad applicare tutte le raccomandazioni. Tuttavia, ciò che troverai tipicamente è che spesso c'è una notevole quantità di sovrapposizione.

Quando c'è una guida contraddittoria, il criterio di precedenza più alto supera quello inferiore. Per qualcuno che cerca di "indurire" un sistema, dico err dal lato della sicurezza. Comprendi anche che qualsiasi guida è scritta da persone che possono commettere errori. Questo è il motivo per cui ci sono state revisioni multiple dovute a errori di tipo e incomprensioni di una tecnologia.

Cosa succede quando l'orientamento rompe qualcosa, questo è dove qualcuno dovrà decidere se il rischio di X è maggiore del rischio di non poter usare Y.

    
risposta data 09.09.2015 - 21:34
fonte