it-swarm.com.de

Unterschied zwischen Härtungsführungen (CIS, NSA, DISA)

Ich erforsche die Betriebssystemhärtung und es scheint, dass es eine Vielzahl empfohlener Konfigurationshandbücher gibt. Mir ist klar, dass die verschiedenen Konfigurationsanbieter unterschiedliche Angebote pro Betriebssystem anbieten, aber nehmen wir (der Einfachheit halber) an, dass es sich um Linux handelt. Folgendes berücksichtigen :

  1. CIS-Benchmarks
  2. NSA-Sicherheitskonfigurationshandbücher
  3. DISA STIGs

Gibt es offensichtliche Unterschiede zwischen diesen, die jemanden dazu zwingen könnten, einen über den anderen zu wählen?

Update: 19.11.2014
Einige zusätzliche Zusammenhänge pro Antwort, in denen zusätzliche Details angefordert wurden:

  • Ich muss mich nicht gegen einen bestimmten Benchmark oder eine bestimmte Richtlinie behaupten. Ich versuche lediglich, die aktuellen Best Practices in Industrie und Regierung zu verstehen. Ich plane jedoch, meine Ergebnisse in ein Forschungspapier für den Unterricht umzuwandeln.
  • Ich werde nicht geprüft, außer von denen, die meine Arbeit lesen.
  • Mein Professor und einige Studenten sind vielleicht mit dem Prüfungsprozess vertraut, aber ich hoffe, dass meine Arbeit für alle zugänglich ist. Ich möchte darüber schreiben, wie ein Tool verwendet wird, um ein System gemäß einigen Richtlinien oder Schwachstellendatenbanken automatisch zu scannen. Ich bin ziemlich neu in diesem Bereich, aber ich recherchiere OpenSCAP und OpenVAS . OpenSCAP scheint zugänglicher zu sein als OpenVAS, und scheint geschrieben zu sein, um gegen NIST-Standards zu testen . Ich bin nicht sicher, welche NIST von OpenSCAP getestet werden, aber ich werde NIST die NIST-Richtlinien zu meiner Liste der zu berücksichtigenden Anleitungen hinzufügen.
  • Tate Hansen schlug vor, Nessus zum Scannen zu verwenden , ich möchte mich jedoch strikt an Open Source-Anwendungen halten, um meinen Anforderungen für diese Forschung gerecht zu werden.
  • Eine Unterfrage, es sieht so aus, als ob der NIST-Standardleitfaden für das Härten SP 800-12 und SCAP einfach ein Format ist ( XML?) Für Tools zur Durchführung und Kommunikation der Analyse eines Systems. Ist das korrekt?
22
blong

Im Allgemeinen sind DISA STIGs strenger als CIS-Benchmarks. Beachten Sie, dass bei STIGs die genauen Konfigurationen von der Klassifizierung des Systems basierend auf der Missionssicherungskategorie (I-III) und der Vertraulichkeitsstufe (öffentlich klassifiziert) abhängen. Sie erhalten neun verschiedene mögliche Kombinationen von Konfigurationsanforderungen. GUS haben normalerweise eine Kategorie der Stufen eins und zwei.

OpenVAS wird wahrscheinlich Ihren Anforderungen für die Baseline-/Benchmark-Bewertung entsprechen. Nessus funktioniert auch und ist für den nichtkommerziellen Gebrauch bis zu 16 IP-Adressen kostenlos. Für den kommerziellen Gebrauch ist es immer noch recht erschwinglich.

Ich habe noch keinen umfassenden Cross-Walk für diese verschiedenen Standards gefunden. Der beste Versuch, den ich bisher gesehen habe, ist hier (eine Kopie des Webarchivs): http://www.dir.texas.gov/sitecollectiondocuments/security/texas%20cybersecurity%20framework/dir_control_crosswalk.xls . Diese Tabelle ist jedoch ein Kontrollvergleich, keine Basislinie/Benchmarks, an denen Sie meiner Meinung nach wirklich interessiert sind.

In Bezug auf die NIST-Anforderungen ist ja 800-123 das Basisdokument, bei dem Systeme die in 800-53A enthaltenen Steuerelemente implementieren müssen. Diese Anforderungen unterscheiden sich von Benchmarks darin, dass die NIST-Anforderungen Ihnen ein Steuerelement mitteilen, das implementiert werden muss, aber nicht genau, wie es implementiert werden muss. Die Benchmarks sind normalerweise sehr spezifisch, da Sie die Einstellung X auf den Wert Y setzen müssen.

Hoffe das hilft.

8
user61143

Ein Unterschied ist die einfache Suche nach einem zuverlässigen und automatisierten Tool zur Überprüfung der Konformität. Ich glaube, Nessus hat Vorlagen für die meisten der von Ihnen aufgelisteten, aber einige sind veraltet. In jedem Fall würde ich eine wählen, die es Ihnen so einfach wie möglich macht, die Einhaltung zu überprüfen und einzuhalten.

3
Tate Hansen

Hier sind einige wichtige Überlegungen:

  • Was ist der Grund, warum Sie sich gegen einen bestimmten Benchmark oder eine bestimmte Richtlinie verhärten?
  • Wirst du auditiert?
    • Gibt es eine bevorzugte Route oder Route, mit der Ihre Prüfer besser vertraut sind?
  • Welche Tools werden Sie für die Selbstprüfung verwenden?
    • Verfügen diese Tools über Richtlinien oder Plugins, mit denen Sie Ihr System anhand eines bestimmten Benchmarks prüfen können?

Wenn Sie nur Ihr Betriebssystem belasten, weil Ihnen jemand gesagt hat, dass Sie "sicher" sein sollen, haben Sie weniger Einschränkungen und können durch jede Anleitung greifen und Ihre Präferenz auswählen. Alle genannten Härtungsmodelle ergeben ein sichereres System.

3
KDEx

Bevor ich Ihre Frage beantworte, möchte ich ein Wort definieren, das Sie verwendet haben (Härten). Laut dem allwissenden Wiki werde ich es als "den Prozess der Sicherung eines Systems durch Reduzierung seiner Schwachstellenoberfläche" definieren. Um zu wissen, welcher Ansatz für Sie richtig ist, müssen Sie wissen, was Sie erreichen möchten.

Einige im DoD (und in anderen Branchen) wenden möglicherweise nur STIGs an, während andere mehr als nur STIGs anwenden. Dies ist es, was Sicherheitsingenieure gerne als Unterschied zwischen Compliance und Sicherheit unterscheiden. Compliance aktiviert ein Kontrollkästchen, das besagt, dass Sie es getan haben ... Sicherheit aktiviert dieses Kontrollkästchen und prüft, ob Sie noch weitere Maßnahmen ergreifen können, um Schwachstellen zu mindern.

Wenn Sie sich den STIG für Anwendungssicherheit und -entwicklung ansehen, heißt es tatsächlich: "Die IAO muss sicherstellen, dass ein Produkt eines Drittanbieters von der konfiguriert wird, wenn kein DoD STIG oder NSA Leitfaden) verfügbar ist wie verfügbar in absteigender Reihenfolge: 1) kommerziell akzeptierte Praktiken, (2) unabhängige Testergebnisse oder (3) Herstellerliteratur. "

Eine Sache, die Sie über die DoD-Richtlinie verstehen müssen, ist, dass die Richtlinie oben nicht immer das End-All/Be-All ist. Häufig gibt es Richtlinienebenen, die befolgt werden müssen. Die Richtlinien auf niedrigerer Ebene können nur strenger und nicht weniger streng sein. Daher können im Wesentlichen einige Programme erforderlich sein, um alle Empfehlungen anzuwenden. In der Regel stellen Sie jedoch fest, dass es häufig zu erheblichen Überlappungen kommt.

Wenn es widersprüchliche Richtlinien gibt, übertrumpft die Politik mit höherer Priorität die niedrigere. Für jemanden, der versucht, ein System zu "härten", sage ich Fehler auf der Seite der Sicherheit. Verstehen Sie auch, dass jede Anleitung von Menschen geschrieben wird, die Fehler machen können. Aus diesem Grund wurden aufgrund von Typ-Os und Missverständnissen einer Technologie mehrere Revisionen durchgeführt.

Was passiert, wenn die Führung etwas kaputt macht? Hier muss jemand entscheiden, ob das Risiko von X größer ist als das Risiko, Y nicht verwenden zu können.

1
security guy