如何对齐安全需求与控制以表达系统威胁

威胁及我们如何应对它们，已成为系统网络安全架构和设计中的关键考虑因素。无论是设计新系统、解决在特定任务环境中运行的监管要求，还是仅仅为了满足组织需求，这都适用。零信任策略、安全设计指南以及DevSecOps的采用，在公共和私营部门都是系统网络安全架构和设计的核心。

在这篇博文中，我们将讨论一种方法，该方法将有关安全需求、控制措施和功能的信息与网络威胁分析相结合，以实现更有效的风险导向型系统规划。简而言之，这是一种创建从系统和安全需求到威胁的“交叉对照表”的方法。为了遵守既定的联邦政府政策和指南，同时保持与行业标准的一致性，我们使用了四种主要数据类型：

• 国防信息系统局控制关联标识符：用于表达单个技术或程序性需求，以及它们如何连接到更高级别的控制目标。CCI由唯一代码标识，这创造了一种能力，可以追踪安全需求从其来源到低级实现选择的过程，使组织能够轻松证明对多个信息保障框架的合规性。它们主要被国防部机构和承包商使用，但也适用于跨其他部门的许多常见活动，如合规性跟踪、审计和报告以及标准化。
• NIST SP 800-53：标准化了信息系统的安全和隐私保障措施。该出版物详细介绍了旨在保护信息系统机密性、完整性和可用性的控制措施。该控制标准灵活，并采用基于风险的安全方法。由于其广泛用于政府及工业界定义信息系统的安全需求并进行审计，它是获取最佳实践的一个很好的基线来源。
• MITRE ATT&CK框架：广泛用于抽象化威胁行为体的行为，以便实现信息共享、允许内部培训的行为模拟，并为系统架构师和安全从业者提供机会，为保护互连系统进行战略性投资。该框架用于跨行业的许多产品和应用程序中，并且已为工业控制系统、移动设备和企业系统创建了特定的矩阵。在这项工作中，我们主要关注企业矩阵。
• MITRE D3FEND框架：作为MITRE ATT&CK框架的补充。这个最近开发的本体论提供了一种针对防御者视角的网络安全功能描述性语言，以及一种通过语义连接将ATT&CK战术、技术和过程与D3FEND关联起来的方法。为了支持该本体论的使用，MITRE开发了许多资源来展示与D3FEND的连接，并允许开发工具。

除了数据需求之外，我们还力求使我们的方法成为一个可重复的过程，为组织战略、运营和战术层面的领导者和分析师提供可操作的信息。

数据源之间的关系与链接

我们目前使用的数据源通常至少共享一些共同点。这些“键”并不总是完全一致。如前所述，我们的工作主要使用MITRE的ATT&CK和D3FEND数据集，包括它们对CCI和STIG数据的引用。

ATT&CK和D3FEND数据在计算上都有其表示形式：ATT&CK是一个以STIXv2格式实现的知识库，而D3FEND数据是一个本体论，结构化为具有节点之间关系类型语义信息的图网络。我们使用了一个D3FEND的CSV文件，以编程方式关联CCI和800-53控制措施，并在过程中实现映射关系的可视化检查。

我们开发了Python函数来创建利用ATT&CK、D3FEND和其他数据集之间连接的脚本。我们选择Python使我们能够使用现有的库，如 mitreattack-python、stix2 和 rdflib。这些库在开发脚本时特别有帮助。在开发自动化方法时会出现许多问题，尤其是数据源之间缺乏精确的字符串匹配，这使得开发数据源之间的链接更具挑战性。标签规范化和专家验证，尤其是在数据清理和收集过程的早期，可以为自动化过程以及最终生成的交叉对照表的有效性带来巨大好处。

转换/组合示例

此示例重点介绍了将一组战术、技术和过程对齐到选定操作环境的过程。部署在某个环境上的网络安全功能必须已经用D3FEND或NIST 800-53r5控制措施来描述，以表达这些防御性对策对TTP的有效性。有效性，即一个功能应对威胁的程度，由五个类别表示：已覆盖（已警报 + 已阻止）、已阻止、已警报、开放和未映射。要遵循此过程：

1. 分析师从感兴趣的TTP列表开始。
2. 使用MITRE D3FEND数据来汇总每个对策对该TTP的影响列表。这些影响目前有34个值，但就我们的目的而言，我们只对其中三个感兴趣：阻止、警报和开放。
3. 为这三种影响分配权重，使得“阻止”最优，“警报”次之，“开放”最不理想。
4. 对于每个TTP，按权重对对策影响列表进行排序。对策在该TTP上的总体有效性从最高（最好）的权重中选出。
5. 由此，将TTP列表与每个对策有效性类别关联起来。
6. 将该信息用于任何推动此练习的分析，例如开发或运营中的安全资源分配。

我们转换方法的局限性

与许多依赖不同资源和数据集的方法一样，这种方法也存在局限性。我们连接了许多不同的资源，通常使用其他组织提供的语义映射。虽然我们必须相信这些映射是以使其准确的方法创建的，但基础资源试图传达对其中包含信息的略有不同的理解。这些交叉对照表在资源的范围之间进行了概括，如果翻译存在任何细微差别，这些细微差别将被结果继承。为了减轻继承不准确或误导性信息的可能性，信息安全专业人员或主题专家应仔细检查输入数据、过程和输出，以确保最高程度的准确性。

虽然我们希望过程本身是稳定的，但其中可能存在一些导致误解的因素。通过使用D3FEND和ATT&CK之间的连接作为表达威胁的主要手段，存在简化或抽象化威胁格局的潜在风险。TTP并不完美地代表威胁行为体在物理上实际发生或正在做的事情。它们提供了一种抽象手段，在某些情况下会导致细节丢失。这可能导致因对覆盖范围的误解以及实际可发现内容的变化而产生风险。始终重要的是验证结果，而不仅仅依赖映射来确保对攻击面的了解。此外，TTP专注于已知行为。这意味着新颖的方法或攻击可能无法被覆盖。

地形威胁映射的实际应用场景

我们已经确定以下领域是可以使用此过程的潜在场景：

• 网络环境的潜在威胁/缺口分析：通过此方法，我们可以将对手的已知TTP与网络环境能够检测或阻止的TTP进行比较。
• 安全投资与优先级排序：通过映射多个网络环境元素，可以相互比较它们，并为基于风险的方法改进安全提供信息。
• 网络威胁演习开发：快速比较红队和蓝队的能力以识别差距。识别演习中的工作优先级或重复性工作。提供一种快速创建可视化以增强演习的方法。
• 需求转换：许多审计要求提供不同框架中控制措施实施情况的证明；通过此过程，有一种方法可以显示不同审计要求之间的覆盖范围或相似性。这包括成为高价值资产审计的数据源。
• 解决方案比较：通过利用此映射过程，可以在同等基础上对供应商产品、解决方案和提议的实施进行比较。
• 仪表板应用：映射和关系可用于协助创建或为高管或国防工业基地合作伙伴提供网络安全仪表板应用的信息。

除了专门针对威胁解释映射过程应用的用例之外，此过程还可能改善术语一致性、语义精确度以及模型的其他特性，最终增强其在开发和运营中的效用。

扩展此过程

未来，通过连接到ATT&CK、CCI和NIST 800-53r5，我们可以将此过程扩展到不同领域。有时，一个TTP可能与D3FEND、CCI或800-53相关的任何工件都不匹配。这并不意味着TTP无关紧要，只是我们尚未表达出关系。随着进一步的发展，可能有可能减少这些差距。此过程还可以连接到其他相关应用。

国防部已经为零信任提供了指导，MITRE已将其转化为NIST 800-53r5控制措施。通过此过程，安全架构师和分析师将能够开发一个在CCI、ATT&CK和D3FEND中表达零信任的交叉对照表。与云安全联盟的云控制矩阵类似，拥有一个为多个标准和法规映射控制措施的方法和工具，可以简化审计过程，并澄清具有不同优先级的团队（如工程团队和销售团队）之间的沟通。我们也在考虑交叉对照NIST SP 800-160第2卷第1修订版，以同时考虑系统的弹性。此外，连接到互联网安全中心开发的关键安全控制措施，可能对与STRIDE-LM威胁模型和行业合规标准的相关性有用。

除了链接到其他领域外，还可以适应现有数据源的持续改进。例如，在ATT&CK的第18版发布中，预计TTP将开始包含日志位置作为识别TTP的潜在数据源。这将把ATT&CK的检测指导转变为专注于检测策略的系统。这扩展了ATT&CK在事件关联方面的能力，并结合D3FEND可以进一步帮助我们定义覆盖范围。通过这些更新，可能有一种方法可以更好地定义TTP与某种环境的相关性。

通过牢记这些实际考虑因素——公开可访问、准确、最新且通用的数据——我们为使用此方法找到有意义的连接奠定了坚实的基础。当源材料由可信赖和知识渊博的管理者策划时，其可靠性提高了对所绘制连接的信赖度，并鼓励更广泛地采用这些共享的公共资源。随着公开可用的控制措施、需求和威胁情报生态系统不断发展，这种关联方法将变得更加稳健。这种发展有望带来改进的用例，简化开发团队的工作流程，并实现更强大、更具弹性的安全架构和系统设计。