隨著勒索軟件和民族國家攻擊的破壞性越來越大，保護網絡和基礎設施的舊方法，如邊界防御和防滲透，已不能再保護組織的資產和數據。需要更新的安全方法設計，以減輕勒索軟件，國家攻擊風險。近日，NIST SP 800-160卷2發布征求意見。該出版物將與ISO/IEC/IEEE 15288:2015，系統和軟件工程-系統生命周期過程，NIST特別出版物（SP） 800-160，卷1，系統安全工程-值得信賴的安全系統工程中的多學科方法的考慮，NIST SP 800-37，信息系統和組織的風險管理框架-安全與隱私的系統生命周期方法一起使用。它可以被視為一份手冊，根據系統工程的觀點，結合風險管理過程，實現確定的網絡彈性成果，允許組織的經驗和專業知識，以幫助確定什么是正確的。組織可以選擇、調整和使用本出版物中描述的部分或全部網絡彈性構造（即目標、技術、方法和設計原則），并將這些構造應用到需要為其設計系統的技術、操作和威脅環境中。

　　（羅恩·羅斯（Ron Ross）， NIST研究員，最新網絡彈性指南的作者之一。）

　　背景概述

　　“即使每件事都做得很好，并擁有全部資源來實施所有的保障措施和反制措施，對手也不是靜態的——他們在不斷演進發展。美國國家標準與技術研究所（National Institute of Standards and Technology）研究員羅恩？羅斯（Ron Ross）表示。他是NIST最新出版物草案的作者，該出版物解決了這些問題，并提出了防御網絡攻擊的新方法。

　　這份文件被稱為NIST特別出版物草案800-160，第二卷，第1版，發展網絡彈性系統：系統安全工程方法，提倡摒棄基于邊界的防御，更多地關注于構建彈性IT系統，通過限制攻擊者對網絡或基礎設施造成的破壞來抵御現代攻擊。

　　這種方法符合NIST對”網絡彈性“的定義，該機構將其定義為”對使用網絡資源或由網絡資源支持的系統的不利條件、壓力、攻擊或危害進行預測、承受、恢復和適應的能力。“

　　最壞想定

　　Ross指出，網絡彈性的概念假設攻擊者或攻擊者已經獲得了對系統的訪問權（NIST將系統定義為硬件、軟件和固件的集合體），或將在某一時刻獲得對系統的訪問權。

　　同樣的網絡攻防對抗場景想定，早在愛達荷實驗室就是約定的認知。基于這個基礎的對抗想定，來布局防御措施，則必須強調并突出”網絡彈性“的目標訴求。

　　”我們想要實現的是一個系統，我們稱之為“網絡彈性”或系統足夠的彈性，它可以繼續運行和支持業務運行的關鍵任務——即使它不是在一個完美的狀態，甚至有點退化狀態，“羅斯說。”這很難做到，因為沒有人喜歡假設對手已經得到了最好的訪問權，并進入了系統。但這就是我們今天面臨的現實。“

　　更新后的文件草案還旨在補充其他NIST出版物，包括那些涉及系統和軟件生命周期管理、系統安全工程和風險管理的出版物。

　　NIST目前正在就更新的SP 800-160網絡彈性文件征求意見和反饋，截止時間是9月20日。羅斯指出，該文件的最終更新將于今年年底發布。

　　恰逢其時

　　前美國空軍軍官，現在是安全公司Vectra AI的首席技術官團隊主管蒂姆？韋德表示，NIST最新的草案的聲音，類似于新任DHS下屬網絡安全和基礎設施安全局局長Jen Easterly在黑帽2021大會上的演講。

　　”一段時間以來，重點從預防轉向彈性，一直都很重要，而且就在上周，Easterly局長在Black Hat 2021主題演講呼吁聯邦和網絡安全社區面臨著預防以及對檢測、響應和恢復能力的需求，“韋德說。

　　Easterly局長在聯邦政府一直在應對一系列網絡威脅之際接任該機構一把手。這些攻擊包括民族國家攻擊，如SolarWinds供應鏈攻擊和Microsoft Exchange服務器漏洞利用，以及網絡罪犯的勒索軟件活動。

　　CISA新局長三把火：組建網絡防御協作中心、推出打擊勒索攻擊沖刺計劃、發布新版聯邦雇員網絡安全培訓指南

　　建立彈性

　　NIST SP 800-160的更新草案是由Ross和其他NIST工作人員，以及非營利組織MITRE Corp的專家共同撰寫的，它的工作假設是攻擊者——無論它是一個網絡犯罪團伙，一個民族國家組織，甚至是一個惡意的內部人員，已經破壞了一個網絡或一個應用程序，并且已經進入了目標組織的基礎設施。

　　”我們想要實現的是一個我們稱為‘網絡彈性’的系統，或者一個足夠彈性的系統，它可以繼續運行并支持商業運營中的關鍵任務——即使它不是處于完美狀態，甚至是在某種程度上退化的狀態。“

　　-羅恩·羅斯，NIST研究員

　　這種類型的攻擊可能以多種方式發生，包括由打開的釣魚郵件造成的破壞，或更復雜的供應鏈攻擊，例如與俄羅斯有關的攻擊者入侵了SolarWinds。

　　NIST SP 800-160草案提供了一系列工具、技術和方法，安全團隊和ciso可以通過在網絡中構建更強的彈性來應對攻擊，包括已經部署的舊系統或從零開始構建的新系統。該文件包括三項主要建議：

　　更新那些支持網絡彈性的控制，并將其與NIST另一份文件SP 800-53, Revision 5保持一致，該文件是該機構的信息系統和組織安全與隱私控制目錄；

　　創建一個組織可以使用的單一威脅分類法，該分類法基于MITRE對抗戰術、技術和程序框架，又名ATT&CK;

　　提供實施這些網絡彈性技術的方法，支持SP 800-53、修訂5和MITRE ATT&CK框架。

　　Ross指出，NIST決定將其網絡彈性腳本與MITRE ATT&CK框架結合起來，以幫助簡化方法，因為許多組織正在更廣泛地采用這個框架。

　　Ross說：”整個社區似乎越來越傾向于使用MITRE ATT&CK框架，將其作為觀察對手行為的標準化方式，因此對我們的客戶來說，它更容易簡化。“

　　該文件還演示了網絡彈性如何與”零信任“架構一起工作，以限制攻擊并防止攻擊者在整個網絡中橫向移動，特別是通過部署網絡分割等技術。

　　”如果你有分割在不同的領域，你把這些分解成越來越小的部分，你可以現在應用虛擬化技術，你可以刷新軟件非常迅速——你可以清除所有的惡意代碼以極快的速度，“羅斯說。

　　獨特方法

　　今年早些時候，CISA發出信號稱，它開始采用NIST在NIST SP 800-160出版物草案中概述的方法，特別是當涉及到放棄邊界防御思維時。

　　在今年6月寫給俄勒岡州民主黨參議員羅恩·懷登（Ron Wyden）的信中，布蘭登。威爾士，時任CISA的代理局長，寫道，該機構把聯邦網絡入侵檢測系統深入到供應鏈更好地檢測前些年的間諜活動，如針對SolarWind公司及其客戶，這些客戶就包括聯邦政府機構。

　　威爾士在信中寫道，將愛因斯坦入侵檢測系統深入聯邦網絡，而不是僅僅讓它在邊界處運行，將允許它從服務器和工作站等端點獲取數據。