美国国家标准与技术研究院(NIST)推出了 信息安全持续监控 (ISCM)框架,旨在持续感知信息安全、漏洞和威胁,以支持组织风险管理决策。该框架介绍了持续监控需要使用的工具和技术,以实现实时了解威胁和漏洞的目的。而Gartner提出的对外持续威胁评估框架CARTA,主要考虑考虑外部事件,该框架认为,领导人必须采用持续的适应性风险和信任评估战略方法, 以便实时、风险和信任决策提供自适应响应。
持续评估生态系统风险CARTA
推荐的技术多集中于 组织内的监控活动和根据特征检测已知威胁 ,这两点都很重要。但要综合评估风险,还需要考虑外部事件。 持续威胁评估 (将在下文详述)主要关注的是这方面的问题,助您了解本组织所面临的动态威胁以及这种威胁对于风险级别的影响。这有点儿像开车。您会根据仪表盘读数变速、加油或进行车辆保养。但还得考虑天气、道路以及交通条件的变化,根据这些因素进行调整。时刻关注内外部因素可以缓解风险,提高安全到达目的地的几率。
Gartner的2017年安全与风险管理峰会的开篇主题演讲扩大了风险评估范围,聚焦CARTA(持续自适应风险与信任评估),以应对日益增长的数字领域风险。CARTA作为对NIST框架的补充,提供了全业务流程,覆盖了从公司如何开发技术产品到供应链外部合作伙伴的整个过程。CARTA流程主要用于持续评估生态系统风险,不囿于企业内部,可根据需要进行调整。
越来越多的安全团队感到缓解数字领域风险是个令人头疼的挑战。根据ESG的最新研究,26%的网络安全从业人员称,安全分析和运营与两年前相比难度增加,原因是威胁格局变化太快,很难把握。思科最近的一份报告确证了这个说法,其中提到,全球网络威胁格局的快速变化和复杂性让安全专家越来越不安。在谈到其中两个动态因素(业务中断型攻击造成的影响越来越大;技术发展的速度和规模)时,报告说:
“重要的是,防御方要了解攻击策略的变化,据此调整安全运营,对用户进行安全教育。”
Gartner官网介绍了CARTA框架
为了在先进的、有针对性的攻击、安全和风险管理的世界中安全地启用数字业务计划, 领导人必须采用持续的适应性风险和信任评估战略方法, 以便实时、风险和信任决策提供自适应响应。
目录
- 分析
- 从攻击保护和访问保护到检测/响应
- 信息安全是决定的全部 (他们只需要是连续的适应)
- 风险和信任必须成为持续的适应
- 安全响应必须成为连续自适应
- 数据保护必须成为连续自适应
- 安全操作中心必须通过分析不断适应
- Bimodal需要Bimodal安全与宪章的战略方针
- 展望未来-构建数字商业应用的宪章
- 展望未来: 将宪章思维扩展到更多信息安全过程
这份文档,Gartner售价495美元
https://www.gartner.com/doc/3723818/use-carta-strategic-approach-embrace
而这需要先强化 威胁情报 工作
那么应如何了解攻击策略并据此调整呢?如何持续进行此项工作呢?众所周知,攻击者是动态变化的,我们需要持续监控、评估威胁和战术。CARTA规范了如何使用分析和自动化技术检测、响应其他系统忽视的恶意活动,将有限的资源用在与业务最相关的威胁上,帮助疲于应付的团队更有效地保护组织。要做到这一点,需要从威胁数据入手。这不一定表示需要获得更多的威胁信息。多数组织一般可从各个渠道(商业来源、开源、业界和现有安全厂商)获得大量的威胁情报,数量之巨以至于感到无从下手。更不用说,还能够从自己的防御层端点产品中获得海量的日志和事件数据。
真正需要的是找到方法,汇总全球威胁数据,将其转换为统一格式后进行分析,采取对应措施。接下来还要补充其他的内外部威胁和事件数据,不断充实威胁情报。将内部事件和相关指标与外部指标、攻击者、攻击方法等数据关联,可以获得更多的关键情境信息,有助于了解规则型防御工具所无法检测到的攻击策略。
通过汇总、丰富数据可大大加深对数据的认识,但没有过滤掉海量结果数据中的无用噪声。这样,区分轻重缓急就变得尤为重要。要确定聚焦哪个领域以及如何最有效地管理风险,需要自己定义优先级,因为不同的公司有不同的标准和风险预测。若有能力基于自定义参数(如与指标源、类型、属性和情境以及攻击者属性相关的参数)修改风险值,就可以为威胁情报设置优先级,过滤数据噪声。
和威胁评估一样,确定优先级是个自动过程,应长期进行。威胁格局随内部环境的变化而动态变化,需要不断加入更多的数据和情境信息以及攻击方情况及其TTP(策略、技术和过程),扩充数据库。对优先级和威胁反复自动计算、评估,可确保自己不偏离主要任务,专注于缓解组织风险。
持续威胁评估是对内部持续监控的补充
无论使用了什么样的风险管理框架或流程(ISCM、CARTA或其他),要综合了解风险,应有实时把握组织所面临真正风险的能力。面对当今的动态威胁格局,持续威胁评估是综合了解安全风险的关键。它是对内部持续监控的补充,是评估数字领域风险的必要环节。威胁不断变化,相关数据库也应与时俱进,这样才能始终聚焦内部真实动态,先发制人,主动缓解风险,甚至可以预测潜在风险。
原文发布时间:2017年8月31日
本文由:darkreading发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/gartner-carta-framework#
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站
