web-dev-qa-db-ja.com

強化ガイドの違い(CIS、NSA、DISA)

私はOSの強化について調査しています。さまざまな推奨構成ガイドがあるようです。異なる構成プロバイダーがオペレーティングシステムごとに異なるオファリングを提供していることを理解していますが、(便宜上)Linuxについて話していると仮定しましょう。以下を検討してください。

  1. CISベンチマーク
  2. NSAセキュリティ構成ガイド
  3. DISA STIGs

これらの間に、他の人よりも誰かを選ぶように強いる可能性のある明らかな違いはありますか?

更新:2014-11-19
追加の詳細情報を求めた回答ごとのいくつかの追加コンテキスト:

  • 特定のベンチマークやガイドラインに対応する必要はありません。単に、業界や政府で使用されている現在のベストプラクティスを理解しようとしています。しかし、私は自分の発見を授業用の研究論文に変えるつもりです。
  • 私の論文を読んだ人を除いて、私は監査されません。
  • 私の教授と数人の学生は監査プロセスに精通しているかもしれませんが、私の論文を誰にとっても親しみやすいものにしたいと思っています。ツールを使用して、いくつかのガイドラインまたは脆弱性データベースに従ってシステムを自動的にスキャンする方法について書きたいと思います。私はこの領域にかなり新しいですが、私は OpenSCAP および OpenVAS を調査しています。 OpenSCAPはOpenVASよりも親しみやすいようで、 NIST標準に対してテストするために記述されているようです 。どのNISTがOpenSCAPでテストされているかはわかりませんが、検討するガイドのリストにNISTガイドラインを追加します。
  • テート・ハンセンはスキャンにNessusを使用することを提案しました 、しかし私はこの研究に対する私のニーズを満たすためにオープンソースアプリケーションに厳密に固執したいと思います。
  • サブ質問、強化のためのNIST標準ガイドは SP 800-12 であり、 [〜#〜] scap [〜#〜] は単にフォーマット( XML?)システムの分析を実行および伝達するためのツール。あれは正しいですか?
vulnerability-scannerscomplianceconfigurationcvenist
22
blong

一般的に、DISA STIGはCISベンチマークよりも厳格です。 STIGで必要な正確な構成は、ミッション保証カテゴリ(I-III)および機密性レベル(公開分類)に基づくシステムの分類によって異なり、構成要件の9つの異なる組み合わせが可能であることを覚えておいてください。 CISには通常、レベル1および2のカテゴリがあります。

OpenVASは、おそらくベースライン/ベンチマーク評価のニーズに合うでしょう。 Nessusも機能し、最大16個のIPアドレスを非商用目的で無料で使用できます。商用利用の場合、それはまだかなり手頃な価格です。

私はこれらの異なる規格の包括的な横断歩道をまだ見つけていません。私がこれまでに見てきた最良の試みはここにあります(Webアーカイブのコピー): http://www.dir.texas.gov/sitecollectiondocuments/security/texas%20cybersecurity%20framework/dir_control_crosswalk.xls 。ただし、このスプレッドシートはコントロールの比較であり、あなたが本当に興味を持っていると思うベースライン/ベンチマークではありません。

NIST要件に関して、はい800-123は、システムが800-53Aにある制御を実装することを要求するベースラインドキュメントです。これらの要件はベンチマークとは異なり、NIST要件は実装する必要があるコントロールを示しますが、それをどのように実装する必要があるかを正確に示していません。ベンチマークは通常、Xの値をYに設定する必要があるという点で非常に具体的です。

お役に立てれば。

8
user61143

1つの違いは、コンプライアンスをチェックするための信頼性の高い自動ツールを簡単に見つけられることです。 Nessusには、リストしたほとんどのテンプレートに使用できるテンプレートがあると思いますが、一部は日付が付けられています。いずれにせよ、私はあなたがチェックし、コンプライアンスを維持することが可能な限り簡単になるものを選びます。

3
Tate Hansen

ここにいくつかの重要な考慮事項があります:

  • 特定のベンチマークまたはガイドラインに対して強化している理由は何ですか?
  • 監査されますか?
    • 監査人がより慣れている優先ルートまたはルートはありますか?
  • 自己監査にはどのツールを使用しますか?
    • これらのツールには、特定のベンチマークに対してシステムを監査するためのポリシーまたはプラグインがありますか?

誰かが「安全である」と言ったためにOSを強化しているだけであれば、制約が少なくなり、各ガイドにアクセスして好みを選択できます。上記の強化モデルはすべて、より安全なシステムを生成します。

3
KDEx

あなたの質問に答える前に、私はあなたが使った言葉を定義したいと思います(強化)。全知のwikiによれば、私はそれを「脆弱性の表面を減らすことによってシステムを保護するプロセス」と定義します。どのアプローチがあなたに適しているかを知るためには、達成したいことを知る必要があります。

国防総省(および他の業界)の一部はSTIGのみを適用する場合がありますが、他のSTIG以外にも適用する場合があります。これは、コンプライアンスとセキュリティの違いとして、セキュリティエンジニアが差別化を好むものです。コンプライアンスとは、あなたがしたことを示すボックスをチェックしています...セキュリティはそのボックスをチェックし、弱点を緩和するために他にできることが他にないかどうかを確認することです。

さらに、アプリケーションのセキュリティと開発のSTIGを見ると、「IAO​​はDoD STIGまたはNSAガイドが利用できないかどうかを確認する必要があります。サードパーティ製品は、 1)商業的に受け入れられている慣行、(2)独立したテスト結果、または(3)ベンダーの資料。

DoDポリシーについて理解しておく必要があることの1つは、最上位のポリシーが常に最終的なものであるとは限らないことです。多くの場合、従う必要があるポリシーのレイヤーがあります。下位レベルのポリシーは、厳格化のみが可能で、それほど厳格ではありません。したがって、本質的に、すべての推奨事項を適用するためにいくつかのプログラムが必要になる場合があります。ただし、通常見つかるのは、かなりの量のオーバーラップがあることが多いということです。

矛盾するガイダンスがある場合、優先順位の高いポリシーが優先順位の低いポリシーより優先されます。システムを「強化」しようとする人にとっては、セキュリティの面で誤解があります。また、ガイダンスは間違いをする可能性のある人によって書かれていることも理解してください。これが、タイプOとテクノロジーの誤解による複数の改訂があった理由です。

ガイダンスが何かを壊したときに何が起こるか、これは、XのリスクがYを使用できないリスクよりも大きいかどうかを誰かが決定しなければならない場所です。

1
security guy