diferencia entre las guías de endurecimiento (CIS, NSA, DISA)

20

Estoy investigando el fortalecimiento del sistema operativo y parece que hay una variedad de guías de configuración recomendadas. Me doy cuenta de que los diferentes proveedores de configuración ofrecen diferentes ofertas por sistema operativo, pero supongamos (por conveniencia) que estamos hablando de Linux. Considera lo siguiente:

  1. CIS Benchmarks
  2. Guías de configuración de seguridad NSA
  3. DISA STIGs

¿Hay diferencias obvias entre estos que podrían obligar a alguien a elegir uno sobre los otros?

Actualización: 2014-11-19
Algunos contextos adicionales, envíos por respuesta que solicitaron detalles adicionales:

  • No tengo el requisito de endurecerme contra un punto de referencia o una guía dada, simplemente estoy tratando de entender las mejores prácticas actuales que se utilizan en la industria & gobierno. Sin embargo, planeo convertir mis hallazgos en un trabajo de investigación para la clase.
  • No seré auditado, excepto por aquellos que lean mi artículo.
  • Es posible que mi profesor y un par de estudiantes estén familiarizados con el proceso de auditoría, pero espero que mi trabajo sea accesible para todos. Me gustaría escribir sobre cómo usar una herramienta para escanear automáticamente un sistema según algunas pautas o la base de datos de vulnerabilidades. Soy bastante nuevo en esta área, pero estoy investigando OpenSCAP y OpenVAS . OpenSCAP parece más accesible que OpenVAS, y parece estar escrito para probar contra los estándares NIST . No estoy seguro de qué NIST son probados por OpenSCAP, pero agregaré las pautas de NIST a mi lista de guías para tener en cuenta.
  • Tate Hansen sugirió usar Nessus para escanear , sin embargo, me gustaría atenerme estrictamente a las aplicaciones de código abierto para satisfacer mis necesidades para esta investigación.
  • Una subpregunta, parece que la guía de estándares de NIST para el endurecimiento es SP 800 -123 y SCAP es simplemente un formato (XML?) Para herramientas para realizar y comunicar análisis de un sistema. ¿Es correcto?
pregunta blong 19.11.2014 - 04:57
fuente

4 respuestas

6

En general, los STIG de DISA son más estrictos que los puntos de referencia CIS. Tenga en cuenta que con los STIG, las configuraciones exactas que se requieren dependen de la clasificación del sistema según la Categoría de Garantía de Misión (I-III) y el Nivel de Confidencialidad (Clasificación Pública), lo que le brinda 9 combinaciones diferentes posibles de requisitos de configuración. CIS usualmente tiene categorías de nivel 1 y 2.

OpenVAS probablemente se adapte a sus necesidades para la evaluación de referencia / referencia. Nessus también funcionará y es gratuito para uso no comercial hasta 16 direcciones IP. Para uso comercial, todavía es bastante asequible.

Todavía tengo que encontrar un recorrido integral para estos diferentes estándares. El mejor intento que he visto hasta ahora es aquí (una copia del archivo web): enlace . Sin embargo, esta hoja de cálculo es una comparación de controles, no una línea de base / puntos de referencia en los que creo que está realmente interesado.

Con respecto a los requisitos del NIST, sí 800-123 es el documento de referencia que requiere que los sistemas implementen los controles que se encuentran en 800-53A. Estos requisitos difieren de los puntos de referencia en que los requisitos de NIST le indican un control que debe implementarse, pero no exactamente cómo debe implementarse. Los puntos de referencia suelen ser muy específicos, ya que debe configurar X para que valore Y.

espero que esto ayude

    
respondido por el user61143 20.11.2014 - 18:38
fuente
3

Aquí hay algunas consideraciones importantes:

  • ¿Cuál es la razón por la que se está endureciendo frente a un punto de referencia o una guía determinada?
  • ¿Vas a ser auditado?
    • ¿Hay una ruta o ruta preferida con la que sus auditores estén más familiarizados?
  • ¿Qué herramientas usará para la auto auditación?
    • ¿Estas herramientas tienen políticas o complementos para auditar su sistema contra un punto de referencia determinado?

Si solo estás utilizando tu sistema operativo porque alguien te dijo que estuvieras "seguro", tendrás menos restricciones y podrás acceder a cada guía y elegir tus preferencias. Todos los modelos de endurecimiento mencionados producirán un sistema más seguro.

    
respondido por el KDEx 19.11.2014 - 07:08
fuente
2

Una diferencia es la facilidad para encontrar una herramienta confiable y automatizada para verificar el cumplimiento. Creo que Nessus tiene plantillas disponibles para la mayoría de las que has enumerado, pero algunas tienen fecha. En cualquier caso, elegiría uno que le permita verificar y cumplir con la mayor facilidad posible.

    
respondido por el Tate Hansen 19.11.2014 - 06:39
fuente
1

Antes de responder a su pregunta, me gustaría definir una palabra que usó (endurecimiento). De acuerdo con el wiki que todo lo sabe, lo definiré como "el proceso de asegurar un sistema al reducir su superficie de vulnerabilidad". Para saber qué enfoque es el adecuado para usted, debe saber qué espera lograr.

Algunos en el DoD (y otras industrias) solo pueden aplicar STIG mientras que otros aplican más que solo STIG. Esto es lo que usan los ingenieros de seguridad para diferenciarse como la diferencia entre cumplimiento y seguridad. Cumplimiento es marcar una casilla que dice que sí ... Seguridad es marcar esa casilla y ver si hay algo más que pueda hacer para mitigar las debilidades.

Además, si observa el STIG de Seguridad y Desarrollo de la Aplicación, en realidad dice "La IAO se asegurará de que no esté disponible una guía de NTI o STI de DoD, un producto de terceros se configurará de la siguiente manera en orden descendente según esté disponible. : 1) prácticas aceptadas comercialmente, (2) resultados de pruebas independientes o (3) documentación del proveedor ".

Una cosa que hay que entender acerca de la política de DoD, es que la política en la parte superior no siempre es el fin de todo. Con frecuencia hay capas de políticas que se deben seguir. Las políticas de nivel inferior solo pueden ser más estrictas, no menos estrictas. Entonces, en esencia, algunos programas pueden ser necesarios para aplicar todas las recomendaciones. Sin embargo, lo que normalmente encontrará es que a menudo hay una cantidad sustancial de superposición.

Cuando hay orientación conflictiva, la política de precedencia más alta supera a la más baja. Para alguien que trata de "endurecer" un sistema, digo errar del lado de la seguridad. También entienda que cualquier guía está escrita por personas que pueden cometer errores. Esta es la razón por la que se han realizado múltiples revisiones debido al tipo-O y los malentendidos de una tecnología.

¿Qué sucede cuando la orientación rompe algo? Aquí es donde alguien tendrá que decidir si el riesgo de X es mayor que el riesgo de no poder usar Y.

    
respondido por el security guy 09.09.2015 - 21:34
fuente

Lea otras preguntas en las etiquetas