安全工程风险分析(SERA)威胁原型
获得《安全工程风险分析(SERA)威胁原型》全文及英文原文
安全工程风险分析(SERA)威胁原型
克里斯托弗·阿尔贝茨卡罗尔·伍迪博士
2020年12月CERT部门
分发声明A:已批准公开发布;分发是无限的
REV-03.18.2016.0版权所有 2020 卡内基梅隆大学。本材料基于国防部根据合同号资助和支持的工作。FA8702-15-D-0002与卡内基梅隆大学合作运营软件工程研究所,这是一个联邦政府资助的研发中心。本材料中包含的观点,意见和/或发现是作者的观点,意见和/或发现,除非由其他文件指定,否则不应被解释为政府的官方立场,政策或决定。无担保。这本卡内基梅隆
大学和软件工程学院的材料按“原样”提供。卡内基梅隆大学对任何事项不作任何明示或暗示的保证,包括但不限于对用途适用性或适销性、排他性或使用材料所获得的结果的保证。卡内基梅隆大学对不侵犯专利、商标或版权不作任何形式的保证。[分发声明 A]本材料已被批准公开发布和无限制分发。请参阅版权声明,了解非美国政府的使用和分发。内部使用:*授予复制此材料并从此材料制备衍生作品以供内部使用的许可,前提是所有复制品和衍生作品都包含版权和“无保证”声明。外部使用:*本材料可以完整复制,未经修改,并以书面或电子形式自由分发,无需请求正式许可。任何其他外部和/或商业用途都需要许可。许可请求应直接向 ******************.edu 的软件工程研究所 提出。* 这些限制不适用于美国政府实体。卡内基梅隆®大学和CERT®由卡内基梅隆大学在美国专利商标局注册。DM20-1087
1.介绍
在当今的运营环境中,多个组织通常需要协同工作以追求单一任务,从而产生难以有效控制的管理复杂性。成功执行多组织任务需要管理层能够有效地协调所有团队之间的任务执行和风险管理活动。政府和行业的组织开始实施错误保证计划,以协调任务执行并帮助确保任务
spring framework rce漏洞复现成功。国防部(DoD)指令3020.40,标题为任务保证(MA),将任务保证定义为“保护或确保能力和资产(包括人员、设备、设施、网络、信息和信息系统、基础设施和供应链)的持续功能和弹性的过程,这些功能和资产对于任何操作环境或条件下执行DoD任务基本功能至关重要”[DoD2018]。该指令要求国防部各部门优先考虑任务保证工作,以支持国防部的战略任务。虽然武器系统获取不属于国防部任务保证指令的直接范围,但该指令确实概述了与系统获取相关的重要行动:1.在整个生命周期中获取信息技术时,必须尽早解决风险管理问题。2.采购计划必须将任务保证目标和活动与采购指导相结合。因此,在获取国防部软件密集型系统(如武器系统)时,必须考虑任务保证。从网络角度来看,收购计划应该在系统收购生命周期的早期开始管理网络安全风险。一个复杂的因素是,大多数软件密集型系统都是联网的。虽然网络为系统的利益相关者提供了许多运营效率,但它也扩展了系统的网络风险状况。独立管理的软件密集型系统网络,称为系统系统(SoS)系统,提供对成功执行任务至关重要的信息和服务。具有潜在任务影响的网络攻击可以针对SoS环境中的任何系统,从而创建复杂的攻击媒介,在网络风险分析过程中必须加以考虑。网络攻击旨在利用系统软件组件中的弱点和漏洞,这使得软件成为早期生命周期网络风险分析的焦点。软件的架构和设计必须考虑到,它必须在充满争议、具有挑战性和相互关联的网络环境中按预期运行。因此,
软件即保证对于实现任务保证至关重要。软件保障被定义为一种置信度,即软件按预期运行,并且在整个生命周期中,无论是有意还是无意地设计或作为软件的一部分插入的漏洞[NIA2010]。软件保障对各行各业的组织越来越重要,因为软件在业务和任务关键型系统中的影响力越来越大。例如,考虑一下飞行软件1的大小多年来是如何增加的。在1960年至2000年间,软件为军用飞机飞行员提供的功能程度从8%增加到80%。与此同时,军用飞机上的软件规模从F-4A的1000行代码增加到F-22的170万行代码。随着时间的推移,这种增长趋势将持续下去[NASA2009]。随着软件对复杂的系统(如军用飞机)施加更多控制,网络安全漏洞带来的潜在风险将会增加。2005年,来自卡内基梅隆大学软件工程研究所(SEI)CERT部门的研究人员开始研究如何在SoS环境中实现任务保证[Alberts 2005]。这项研究的一个主要结论是,面向系统的网络风险方法不容易扩展到SoS环境。需要新的分析方法来补充传统的面向系统的分析活动。2013年,CERT研究人员开始研究如何在收购生命周期的早期(即在需求、架构和设计期间)进行网络风险分析。这种解决方案的产物是安全工程风险分析(SERA)方法,这是一种基于场景的方法,用于分析SoS环境中的复杂网络安全风险。SERA方法旨在将系统和软件工程与整个生命周期和供应链的运营连续性相结合。从 SERA 方法生成的信息为项目的采购和工程活动提供了几个好处,例如使分析人员能够执行
以下操作:1.出安全要求中的差距 。2.识别系统和软件架构中的弱点 。3.识别代码分析工具 无法发现的风险。4.分析当前基于合规性的网络风险方法无法处理的复杂网络攻击。在过去的五年中,我们在SEI使用SERA方法对国防部和联邦系统采购计划进行了多次SoS网络风险分析。根据我们的试点经验,我们将网络风险情景的发展确定为成功评估的关键。同时,我们观察到,场景开发可能是一项耗时且困难的任务,因为分析师必须具备足够的知识,技能和能力来开发和评估网络风险场景。当分析师不了解软件、硬件和公司设备可能受到损害的方式时,重要的场景可能会被构建得很糟糕,甚至被忽视。我们研究的首要目标是教其他人应用SERA方法。为了促进SERA方法向整个网络安全社区的采用者过渡,我们提出了更系统地开发场景的方法。因此,我们指定了一项研究任务,以探索使用威胁模式(称为威胁原型)来促进场景开发过程的概念。
本报告探讨了威胁原型的概念,以及分析师在方案开发过程中如何使用它们。在深入研究威胁原型的详细信息之前,我们首先简要概述了SERA方法和网络风险场景。
1.SERA方法概述
SERA方法定义了一种基于场景的方法,用于分析整个生命周期和供应链中网络物理系统中复杂的网络安全风险[Alberts 2016]。SERA方法包含各种图表或模型,可以在评估和开发生命周期的任何阶段进行分析,以(1)识别安全威胁和漏洞,以及(2)构建安全风险场景。然后,组织可以使用这些方案将其资源集中用于控制其最重要的安全 风险。负责获取和开发依赖于软件的系统的个人或团体可以应用SERA方法,或者外部各方可以代表责任人或团体促进应用该方法。无论哪种方式,一个大约三到五人的小团队,称为 分析团队,负责实施该方法并向利益相关者报告结果。分析团队是一个跨学科团队,需要具有不同技能组合的成员。组建团队时应考虑的技能和经验示例包括:安全工程风险分析,系统工程,软件工程,运营网络安全和物理/设施安全。分析团队的确切组成取决于应用SERA方法的生命周期中的点以及所从事的工程活动的性质。表1 突出显示了团队在执行该方法时执行的四项任务[Alberts 2016]。表 1:SERA方法任务
| |||||
描述 | 任务 1 定义分析的操作上下文。分析小组汇编/开发操作视图,这些视图(1)定义任务,(2)记录系统和软件如何支持任务执行。任务1设置后续风险分析活动的上下文和范围。这项任务很重要,因为它为每个选定的特派团确定了业绩基线。这一基线确定了在执行任务期间被视为正常的业务业绩以及支持特派团执行的系统和软件组件。分析小组确定选择哪个任务作为分析的基础。然后,团队确定支持该任务的 SoS。在对 SoS 进行进一步分析后,分析团队选择一个或多个感兴趣的实体。感兴趣的实体是将成为网络风险分析重点的系统、子系统、组件或软件应用程序。然后,该团队分析每个相关实体的网络风险。 | ||||
输出 | 1.任务线程2.SoS 图3.系统架构 图 | 4.软件架构图5.数据流图6.使用案例 | 7.数据安全属性8.网络拓扑图9.其他适当的图表 | ||
| |||||
描述 | 任务2定义了SERA方法的网络风险识别活动。在此任务中,分析团队将安全问题转换为可以描述和衡量的独特、有形的网络风险场景。分析小组审查任务1中记录的操作环境以及每个相关实体的相关数据。然后,该团队为每个选定的感兴趣实体开发一组网络风险场景。 | ||||
输出 | 网络风险场景 | ||||
任务3:分析风险 | |||||
描述 | 任务3侧重于网络风险分析。分析团队根据预定义的标准评估每个网络风险场景,以确定其概率、影响和风险敞口。 | ||||
输出 | 网络风险场景的风险度量(例如,概率、影响、风险敞口) | ||||
任务4:制定控制计划 | |||||
描述 | 任务4建立一个计划来控制一组选定的网络风险场景,团队根据其风险度量确定优先级。然后,团队根据预定义的标准和当前约束(例如,可用于控制活动的资源和资金)确定控制每种风险的基本方法(即接受或计划)。最后,分析团队为不接受的每个风险制定控制计划。 | ||||
输出 | 1.确定网络风险场景的优先级2.针对每个高优先级网络风险场景的控制计划 | ||||
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论