天极按
《空间安全: 最佳做法指南》(BPG)以原则和适用控制措施的形式为飞行任务安全实施提供指导,这些原则和控制措施涵盖航天器和地面段。该指南利用了国家标准与技术研究所(NIST)特别出版物(SP)800-53中定义的安全控制措施,并作为NIST 措辞与NASA 飞行项目术语之间的翻译指南。
本指南适用于所有任务、计划和项目,无论其级别如何。鼓励任务、计划和项目将本文件作为太空安全原则的基线。虽然本文件仍然是指导性的,但将对这些原则和控制措施进行评估,以便将其纳入NASA 机构标准和要求的主体中。 图 1显示了影响任务管理人员风险和计划决策的文件映射。
由于空间飞行任务和地面段在结构、开发(生命周期)和操作方面存在重大差异,本文件同时阐述了空间飞行任务和地面段的原则。
目前,《最佳做法指南》将在企业保护计划的主持下,与信息和外联办公室协调发布,并将收集有关原则的反馈意见,目的是将这些原则纳入NASA 官方标准。该标准将按照NASA-STD-1006的制定方式制定。预计这一进程将加快,以满足正在积极设计和制定其技术原则的飞行任务的需要,以及行动者迅速发展的能力。
企业保护计划和首席信息官办公室对动词原则的实施定义如下:
“应该”用于表示良好做法或目标,是可取的,但不是强制性的,不需要正式验证。应用于有效载荷时,用"应该"来说明为促进有效载荷任务的整体成功而指定适当硬件和软件接口的要求。不遵守"应该"声明可能会导致运行限制或无法实现有效载荷目标。
本《最佳实践指南》中列出的控制措施采用由三部分组成的命名模式。第一部分确定原则的适用范围,包括任务、地面或管理。第二部分确定该原则适用于系统的哪个部分。最后一部分是原则的顺序号。
除原则语言和基本原理外,还有四项附加信息(控制措施):
航空航天威胁行为者能力
MITRE ATT&K 威胁行为者战术
NIST 800-53 修订版5 适用的网络安全控制措施
太空任务安全和保护关键性能参数
有七种威胁行为者能力与最初的《航空航天技术操作报告》(Aerospace TOR-2021-01333)相关联,网络攻击者可调用多种能力:
CAP-01: 访问网络的能力
CAP-02: 发现和利用漏洞的能力
CAP-03: 破解密码和身份验证的能力
CAP-04: 指挥与控制的复杂性
CAP-05: 影响网络和/或物理系统的能力
CAP-06: 获取物理访问的能力
CAP-07:人为影响的复杂性
此外,还探讨了MITRE ATT&K 威胁行动者战术(https://attack.mitre.org/),为读者提供潜在的缓解途径。从工业控制系统(ICS)或操作技术(OT)中引入了十二种战术。为什么要在太空任务系统中使用ICS 或OT 战术,而不是传统的网络安全战术?ICS和OT系统对时间的要求与太空任务系统非常相似,而且通常是联网在一起的。太空任务系统通常在各种处理器上安装多个操作系统,而这些操作系统通常不受保护(指令链路除外)。此外,由于政府和商业开发的航天器目前在设计中都采用了TCP/IP 和UDP等通用标准和架构,以实现系统互联和通信。此外,人工智能(AI)和机器语言(ML)应用等较新技术的融入将有可能扩大保护需求。随着未来系统集成和互联的不断发展,从信息系统和操作技术的角度来考虑航天器是非常重要的。要保护日益复杂的空间系统,就必须调整和实施与设计、预期操作、互连和零信任观点有关的最佳实践。使用的MITRE ATT&CK 威胁行为者战术包括:
TAC-01:初始访问
TAC-02:执行
TAC-03: 持久性
TAC-04: 权限升级
TAC-05: 规避
TAC-06: 发现
TAC-07:横向移动
TAC-08:收集 收集
TAC-09: 指挥与控制
TAC-10:抑制响应功能
TAC-11:损害流程控制
TAC-12:影响
最后,空间飞行任务安全和保护关键性能参数用于完善基于风险的方法。这些关键性能参数分为三个领域或支柱,以确保太空任务系统的生存能力/复原能力:
预防:消除网络事件可能性的设计原则
缓解:降低网络事件影响和/或可能性的设计原则
恢复:能够恢复能力和恢复能力的设计原则 因网络事件而受损
由于目前还没有针对端到端综合太空任务系统的风险管理框架,这四种做法的结合为太空任务提供了知情风险管理框架的雏形。这种组合最终将使工程师、项目经理和领导者能够在一个类似于其他风险决策系统的基础上,对太空任务的网络安全和保护做出明智的风险管理决策。该系统将在第二版指南中开发。
2021 年10 月至12 月期间,来自企业保护计划(EPP) 和首席信息官办公室(OCIO)的团队成员努力使人们认识到需要为空间任务和地面段网络安全控制提供明确定义的指导。这一过程以制定共识方法为明确目标,与整个机构的利益相关者会面,征求意见并要求参与未来的工作组。工作组利用现有研究、参考资料和已完成的工作,具体如下:
航空航天公司完成的空间飞行器和地面部分的风险分析、漏洞图绘制和关键网络控制措施
飞行运行局和任务控制中心对运行环境、合同和相关网络的评估
对运行环境、合同和相关网络安全控制措施的评估
网络安全要求指导和控制模板已由Gateway 完成
通过与主要利益相关方举行多次反馈会议和修订草案,最终为《空间安全》确定了27 项控制措施: 最佳实践指南》(BPG)。最终文件已于2023 年10 月格式化并送出审批。
如果本文件的原则和控制措施与用于创建本文件的参考资料之间发生冲突,则本文件的原则为最佳做法,不得取代参考文件。解决任何优先顺序冲突的办法是使用豁免和偏离,或由任务经理酌情决定。然而,本文件中的任何内容都不能取代适用的法律和法规,除非有特定的豁免规定。
治理原则和控制措施涉及任务、计划、项目中应处理的总体任务、计划、项目主题。
本节介绍与治理相关的各项原则和相关控制措施。
原则: 作为一种最佳做法,应在整个任务期间建立一个持续的定性和定量的任务安全风险分析和风险应对流程。
原理:静态的网络安全防御不足以迅速适应不断变化的风险条件,如发现新的网络行为体模块化攻击工具包,并有能力在很短的时间内为全新的平台整合目标攻击包。这一要求要求设计和运行一种网络安全防御的组织模式,该模式可快速整合整个生命周期和工具包中的新信息,以重新配置架构、设计、测试、部署、补丁、监控、分析、警报和响应活动的触发、重点和自动化方式。
空间飞行任务原则将是适用于空间飞行器、天基托管有效载荷或天基基础设施或架构的原则。
本节介绍与太空任务有关的各项原则和相关控制措施。
原则:应建立并维护一个最新的、准确的数据流图,涵盖任务基本数据流,包括那些通过任务外部服务供应商的数据流。
原理:好的数据流图能让人了解系统需要哪些数据,以及这些数据如何在网络和通信链路中流动。
本原则涉及这些控制措施:
应对主要威胁行为者的能力:CAP-02: 发现和利用漏洞的能力
互斥最早的威胁行为者策略:TAC-02:执行;
针对NIST 800-53,第5 版,网络安全控制AC-4,AC-4(2),AC-4(3)、AC-4(6)、AC-4(21)、CA-3、CA-3(6)、SC-32
针对MITIGATE 空间任务安全和保护支柱
原则:任务应在机载结构、通信和控制方面采用域分离和最小权限原则。
原理:最低权限设计将通过限制共享总线和车载网络上可执行的操作,保护车辆的主处理器和核心控制功能免受攻击。车辆上的分段和边界控制将减轻对采购或提供的组件和不同来源的车载软件的供应链攻击,以及在有多个命令路径时的操作漏洞。
本原则涉及这些控制措施:
针对主要威胁行为者的能力:CAP-01: 访问网络的能力
抵触最早的威胁行为者策略:TAC-07:横向移动
针对NIST 800-53,第5 版,网络安全控制AC-3、AC-4、AC-6、SA-8(14)、SA-17(7)、SC-3、SC-4、SC-6、SC-7(20)、SC-7(21)、SC-39、SI-17
解决PREVENT 空间任务安全和保护支柱问题
原则:飞行任务应建立中介访问机制,防止未经授权访问空间段的关键子系统。
原理:网络攻击者可利用地面系统和地面段与空间飞行器恶意互动。边界保护可以是逻辑的,也可以是物理的。功能具有以下优势:
阻止非预期(传入/传出)流量
生成和维护安全日志
防止设备轮询其他网络设备
防止设备为其他设备轮询网络
防止网络桥接
有效的边界保护除了某种形式的身份验证外,还应/将会包括使用加密(如NASA STD 1006所定义)的保密保护。这种边界保护还需要包括空间飞行器方面的保护,以防止地面被用作攻击载体。需要解决地面和空间飞行器之间固有的信任问题,即在地面受到攻击时,空间飞行器能够保护自身不受地面攻击。每个任务都应确定/定义其最关键的子系统。关键子系统或控制界面应具有任务关键控制界面之间的中介访问权限,可通过物理或软件手段造成任务终结故障/后果。
本原则涉及这些控制措施:
针对主要威胁行为者的能力:CAP-01: 访问网络的能力
与最早的威胁行为者策略互斥:TAC-12:影响
针对NIST 800-53,第5 版,网络安全控制SC-7、SC-7(3)、SC-7(4)、SC-7(5)、SC-7(9)、SC-7(10)、SC-7(11)、SC-7(12), SC-7(13), SC-7(14), SC-7(15), SC-7(16), SC-7(17), SC-7(18), SC-7(19), SC-7(20), SC-7(21), SC-7(22), SC-7(28), SC-7(29)
解决PREVENT 空间飞行任务安全和保护支柱问题
原则:飞行任务应确保只有经过认证和授权的人员、设备和软件才能访问空间飞行任务系统。
原理:
网络攻击者可伪装成授权实体以获取访问权。
独特的标识符和相关验证器,以及在发放时验证实体和在请求访问时验证实体的相关流程,使任务能够提供风险调整级别的保证。
与任务用户相比,被授权访问计算资源的非任务用户是所有人员中的一个特定子集,由于全面审查和核实其适用性的能力有限,他们可能会带来额外的风险。因此,任务应进行风险评估,以确定需要访问系统的非特殊任务用户的授权需求;需要访问哪些信息;以及这些信息的限制。风险评估应纳入与外国国民访问机构或其他潜在敏感信息有关的供应链考虑因素。
存在用于访问应用程序和控制系统的不安全静态验证器,如硬编码的明文验证器。不安全的静态验证器可能会被网络攻击者发现,并在多个类似系统中强制和重复使用,从而为在任务地面段内迅速大范围入侵创造机会。因此,任务应制定政策和程序,确保开发或交付的系统不会在应用程序、访问脚本、配置文件中嵌入未加密的静态验证器,或在功能键上存储未加密的静态验证器。空间飞行任务系统上的相关解密器。
确保只有适当的任务设备清单和管理平台已知和注册的设备才能访问任务通信网络,从而大大降低因未知设备在任务环境中运行而增加的风险。因此,在建立网络连接之前,应提供唯一识别和验证所有类型计算设备的能力,包括移动设备和网络连接终端设备。此外,飞行任务应与系统安全工程师和行政干事协商,根据飞行任务的需要和支持该飞行任务所需的机制强度,选择适当的设备识别和认证机制。确保在空间任务系统中,正确的系统在正确的时间发出了正确的指令。
飞行任务应制定政策和程序,防止个人(即内部人员)伪装成具有有效访问权限的个人进入可能指挥/更新航天器的区域。飞行任务必须确保提供全面的认证和授权功能(即COMSEC和强认证),以防止攻击者执行潜在的终止飞行任务的行动,如飞行软件升级、刻录只读存储器、更改故障响应、上传存储的命令序列或执行飞行任务定义的关键命令。所使用的设备和协议应包括更强的加密、身份验证和密钥管理程序,以降低违反保密性和完整性以及影响任务的风险。
虽然这一控制的理由似乎更多的是以地面为中心,但在空间 在太空任务系统的开发过程中,任务人员将需要该控制中列出的访问权限。
本原则涉及这些控制措施:
针对主要威胁行为者的能力:
o CAP-01: 访问网络的能力
o CAP-02: 发现和利用漏洞的能力
o CAP-05: 影响网络/物理系统的能力
o CAP-07:人为影响的复杂性
与最早的威胁行为者战术相互冲突:
o TAC-01:初始访问
o TAC-02:执行
o TAC-04: 特权升级
针对NIST 800-53,第5 版,网络安全控制IA-2、IA-3、IA-5、IA-8、IA-9、IA-10、IA-11、IA-12、PE-2、PE-3、PM-10、SI-7(15)
解决PREVENT 空间任务安全和保护支柱问题
原则:任务应将机载网络行为体行动探测功能纳入其要求和最终系统。
原理:任务应为安全事件可能造成的机载干扰制定计划,并纳入这些考虑因素。事件检测、缓解和向地面段安全运营团队发出警报是至关重要的控制措施,可使运营团队在其他控制措施失效时了解情况,并(在可能的情况下)迅速做出反应。由此获得的经验教训应反馈到设计过程中。需要监控关键软件观测指标(如登录尝试失败的次数、飞行接收器的计划外锁定、非电信设备上的射频干扰迹象、性能变化、内部通信变化),以发现阻碍任务成功的网络攻击者行动。
影响机上系统组件的网络安全攻击是意料之中的。网络安全事件响应计划是及时有效应对网络安全攻击的关键。应报告所有疑似网络攻击者的行动。应进一步分析原始事件数据,以确定异常事件是否代表攻击,如果是,则应确定攻击的性质以及适当的应对措施,以减轻对任务的影响。确保任务遵循NPR 7150.2 关于软件检测网络攻击者行动的指导,如3.11.8 中的指导。
本原则涉及这些控制措施:
应对主要威胁行为者的能力:CAP-04:指挥与控制复杂性
互斥最早的威胁行为者策略:TAC-01:初始访问
针对NIST 800-53,第5 版,网络安全控制AC-4(15)、AU-2、AU-3、AU-4、AU-5、AU-6、AU-8、AU-9、AU-14、CM-8(3)、RA-5(7)、SC-5(3)、SC-7(9)、SI-3(8)、SI-4(1), SI-4(2), SI-4(4), SI-4(10), SI-4(11), SI-4(12), SI-4(13), SI-4(14), SI-4(15), SI-4(16), Si-4(17), SI-4(18), SI-4(19), SI-4(20), SI-4(22), SI-4(23), SI-4(24)
解决MITIGATE 空间飞行任务安全和保护支柱问题
原则:飞行任务应将故障管理旁路保护纳入其要求和最终系统。
原理:应考虑故障管理转换绕过系统保护措施的可能性,并纳入这些考虑因素。故障管理系统可能会被故意触发,以绕过系统的保护措施。
本原则涉及这些控制措施:
应对主要威胁行为者的能力:CAP-04: 指挥与控制复杂性
互斥最早的威胁行为者策略:TAC-01:初始访问
针对NIST 800-53,第5 版,网络安全控制AC-4(15)、AU-2、AU-3、AU-4、AU-5、AU-6、AU-8、AU-9、AU-14、CM-8(3)、RA-5(7)、SC-5(3)、SC-7(9)、SI-3(8)、SI-4(1), SI-4(2), SI-4(4), SI-4(10), SI-4(11), SI-4(12), SI-4(13), SI-4(14), SI-4(15), SI-4(16), Si-4(17), SI-4(18), SI-4(19), SI-4(20), SI-4(22), SI-4(23), SI-4(24)
解决PREVENT 空间飞行任务安全和保护支柱问题
原则:任务应能从通信干扰和欺骗企图中恢复。
原理:使用共享介质的通信系统很容易受到干扰和欺骗,导致无法访问(拒绝服务),并有 可能丧失数据的完整性和可用性。射频和光学频段的通信链路普遍受到影响,通信链路可能受到有针对性的欺骗。
本原则针对这些控制措施:
应对主要威胁行为者的能力:CAP-05: 影响网络/物理系统的能力。
互斥最早的威胁行为者策略:TAC-10:抑制响应功能。
针对NIST 800-53,第5 版,网络安全控制CP-8、SC-5、SC-8、SC-40、SC-40(1)、SC-40(3)、SI-10(3)、SI-10(5)、SI-10(6)。
针对RECOVER 空间任务安全和保护支柱。
原则:任务应能从定位、导航和定时干扰及欺骗企图中恢复。
原理:作为MI-INTG-01的一个具体例子,依靠全球导航卫星系统信号的天基定位、导航和定时 (PNT)可能会出现信号丢失(拒绝服务)和信号数据完整性可能丢失的情况。操纵(欺骗)GNSS信号数据可能会对航天器PNT 造成影响。
本原则涉及这些控制措施:
应对主要威胁行为者的能力:CAP-05: 影响网络/物理系统的能力
最早的威胁行为者策略:TAC-10:抑制响应功能
应对NIST 800-53,第5 版,网络安全控制AU-8、CP-8、SC-5、SC-40、SC-40(1)、SC-40(3)、SI-10(3)、SI-10(4)、SI-10(5)、SI-10(6)
针对RECOVER 空间任务安全和保护支柱
原则:飞行任务应在飞行段及地面段的异常检测、响应及恢复计划与设计中,包含与任务脆弱性分析一致的故意中断。
原理:完整的纵深防御架构包括航天器在发生影响飞行或地面系统的安全事件时保持安全运行的能力,以及在事件解决后恢复到额定状态的能力。在机载故障处理、异常响应和持续运行规划中,应将安全事件与设备故障、环境事件、自然灾害和其他干扰源一并考虑,以确保任务的恢复能力。
本原则涉及这些控制措施:
应对主要威胁行为者的能力:CAP-05: 影响网络/物理系统的能力。
互斥最早的威胁行为者策略:TAC-10:抑制响应功能。
针对NIST 800-53,第5 版,网络安全控制CP-2(5)、IR-4、SA-8(24)
针对RECOVER 空间任务安全和保护支柱
原则:任务应设计安全的车辆故障管理功能和安全模式操作。
原理:故障管理系统是网络攻击的目标之一: 故障管理系统是网络攻击者试图入侵的目标之一。尽早为这些系统设计安全功能至关重要。
安全问题也应被视为故障管理系统捕捉到的系统故障的潜在根本原因,故障响应的设计应将安全事件与系统故障的其他原因一并考虑。
本原则涉及这些控制措施:
针对主要威胁行为者的能力:CAP-02: 发现和利用漏洞
互斥最早的威胁行为者策略:TAC-11:损害流程控制
针对NIST 800-53,第5 版,网络安全控制CP-12,SI-17,IR-4(3),IR-4(5)
针对RECOVER 空间任务安全和保护支柱
原则:任务系统软件更新应在部署、发射前及任务运行期间的规定时间间隔内进行验证,以确保不含恶意软件。
原理:在轨软件更新/升级/补丁以及所有软件更新在加载前均应进行恶意软件检查。此外,通过供应链攻击注入空间飞行器软件模块的恶意软件可能要到飞行后很长时间才会被发现,并可能作为入侵飞行器的一个步骤被激活。因此,在飞行过程中没有更新的模块仍可能构成风险。使用更新的签名对存储的飞行模块副本进行定期扫描,可能会发现隐藏的恶意软件,对恶意软件和漏洞报告的定期监测也会促使做出反应。
软件的完整性应通过采用加密安全的散列算法来验证,以确定被评估系统(或软件更新包)的散列值(摘要值)。此外,与系统哈希值进行比较的"控制"或"参考"哈希值的真实性也应使用加密数字签名的私钥进行签名,以确保控制值是由合法、可信的实体提供的。
本原则针对这些控制措施:
解决主要威胁行为者的能力:CAP-05: 影响网络/物理系统的能力
互斥最早的威胁行为者策略:TAC-02:执行
针对NIST 800-53,第5 版,网络安全控制CM-4(1)、CM-7(8)、CM-14、RA-5、SA-10(1)、SA-10(3)、SA-10(4)、SA-10(5)、SA-10(6)、SA-11(1)、SA-11(2)、SA-11(4)、SA-11(5)、SA-11(6)、SA-11(8)、SA-11(9)、SI-2、SI-3、SI-21
解决MITIGATE 空间任务安全和保护支柱问题
原则:任务应建立并验证其软件图像的完整性。
原理:在轨软件更新/升级/补丁。如果TT&C 或 MOC或甚至开发人员的环境遭到破坏,就有可能进行变种的供应链攻击,在进入轨道后注入恶意代码或直接写入内存。如果不更新制造商定义,就无法识别新的或修改过的病毒或恶意软件。拦截、删除或推荐用于破坏计算机运行、收集敏感信息或访问私人计算机系统的常见病毒或恶意软件的补丁。
本原则涉及这些控制措施:
应对主要威胁行为者的能力:CAP-05: 影响网络/物理系统的能力 最早的威胁行为者策略:TAC-02:执行
针对 NIST 800-53,第 5版,网络安全控制CM-4(1)、CM-7(8)、CM-14、RA-5, SA-10(1), SA-10(3), SA-10(4), SA-10(5), SA-10(6), SA-11(1), SA-11(2), SA-11(4)、
SA-11(5)、SA-11(6)、SA-11(8)、SA-11(9)、SI-2、SI-3、SI-7
针对 MITIGATE空间任务安全和保护支柱
原则:任务应通过既定程序与技术方法执行软件保障。
原理:该控制的目的是确保提供商在创建安全关键软件(包括所有MOTS、GOTS、COTS、开 软件开发流程,包括所有MOTS、GOTS、COTS、开源、从库中获取和重复使用的软件。软件保证方法也必须延伸到开发环境中。要确保开发环境的安全,首先要了解与之交互的所有设备和人员。对接触开发环境的所有人员和资产进行准确的清点。确保在整个开发环境中使用强大的多因素身份验证,尽可能对代码库使用零信任访问控制。
安全的开发环境要求对整个环境进行变更管理、权限管理、审计和深入监控。
软件保证和软件安全活动的目标包括以下内容:
确保用于生产和维护软件的过程、程序和产品符合管理这些过程、程序和产品的所有规定要求和标准
o 评估用于开发和修改软件产品的软件过程的遵守情况和适当性的一系列活动
o 一系列活动,用于定义和评估软件过程的适当性,以提供证据证明软件过程适合其预期目的,并能生产出质量适当的软件产品
确定软件产品所获得的软件质量程度
确保软件系统是安全的,软件安全关键要求得到遵守
采用严格的分析和测试方法,确定客观证据和结论,对关键产品和过程进行独立评估
软件开发过程应包括软件需求定义、设计、实施、验证、维护和报废阶段,并纳入软件质量保证、配置管理、问题报告和纠正措施、可靠性、可维护性、安全性、验证和确认、认证以及软件的操作使用。
此外,软件的重复使用、对现成商业软件的依赖以及机载系统采用积木式方法并增加开源技术的标准化,都会导致潜在的供应链漏洞,必须加以适当缓解。参见NPR 7150.2D,NASA软件工程要求和NASA-STD-8739.8B,软件保证和软件安全标准。最后,任务应通过既定程序和技术方法执行软件保证,包括对照NASA 的"评估和批准清单"进行检查。
本原则涉及这些控制措施:
针对主要威胁行为者的能力:CAP-02: 发现和利用漏洞
互斥最早的威胁行为者策略:TAC-02:执行
针对NIST 800-53,第5 版,网络安全控制CA-8、CM-3(2)、CM-3(7)、CM-3(8)、CM-4、CM-5、CM-7(4)、CM-7(5)、CM-10、IR-4(10)、IR-6(3)、MA-3(6)、PM-30、PM-30(1)、RA-3(1)、SA-4(3)、SA-10(1)、SA-15、SA-15(5)、SA-15(7)、SA-15(8)、SA-15(11)、SA-17、SA-20、SA-21、SI-2、SI-7、SR-1、SR-2、SR-3、SR-3(2)、SR-3(3)、SR-4(4)、SR-7、SR-9
解决"预防危机"空间飞行任务安全和保护支柱问题
原则:飞行任务应制定程序和技术方法进行端到端测试,包括飞行任务硬件和软件在运行状态下的负测试(即滥用情况)(边飞边测)。
原理:负向测试和分析是验证系统架构和安全设计功能是否能充分抵御各种潜在攻击所必需的。如果故障测试是任务生命周期中的标准做法,则应将安全案例添加到要测试的潜在异常情况中。业务异常响应培训应包括安全事件,并演练与机构安全组织的业务接口。
本原则涉及这些控制措施:
针对主要威胁行为者的能力:CAP-02:发现和利用漏洞
互斥最早的威胁行为者策略:TAC-02:执行
针对NIST 800-53,第5版,网络安全控制CA-8、CM-3(2)、RA-5、RA- 5(2)、RA-5(3)、SA-3、SA-4(3)、SA-11(1)、SA-11(2)、SA-11(4)、SA-11(5)、SA-11(6)、SA-11(8)、SA-11(9)
解决MITIGATE空间任务安全和保护支柱问题
地面原则是适用于地面基础设施、实验室环境或综合地面架构的原则。
NPD/NPR 2810 要求NASA 的地面系统遵循NIST 风险管理框架以及ITS手册和政策所述的控制措施。以下通用控制措施和最佳做法与现有要求并不冲突,但它们支持NPD/NPR 2810 规定的现有ATO 流程。
原则:任务应为每个系统提供对组织用户和代表组织用户行事的计算程序进行唯一标识和 验证的功能。
原理:任务应管理用于访问信息系统资源的验证器,作为初始验证器分配的一部分,验证接收验证器的个人、群体、角色、设备或进程的身份。唯一标识符和相关验证器和相关流程,以便在签发时验证实体和在请求访问时验证实体,从而使任务能够提供与风险相匹配的保证水平。
本原则涉及这些控制措施:
应对主要威胁行为者的能力:
o CAP-01:访问网络的能力
o CAP-02:发现和利用漏洞的能力
互联最早的威胁行为者策略:
o TAC-01:初始访问
o TAC-02:执行
针对NIST 800-53,第5 版,网络安全控制IA-2(5)、IA-2(8)、IA-5
针对PREVENT 空间任务安全和保护支柱
原则:在为组织用户和代表用户行事的程序提供验证器时,任务应只使用经过验证的身份。
理由 授权访问任务计算资源的任务用户与机构任务用户相比,由于全面审查和验证其适当性的能力有限,可能会带来额外风险。
本原则涉及这些控制措施:
应对主要威胁行为者的能力:CAP-05: 影响网络/物理系统的能力 系统的能力
互斥最早的威胁行为者策略:TAC-04: 权限升级
针对NIST 800-53,第5 版,网络安全控制IA-4(4)、IA-8、IA-10、PM-10、PS-2、SI-4(19)
针对PREVENT 空间任务安全和保护支柱
原则:任务应制定政策和程序,确保开发或交付的系统不会在应用程序、访问脚本、 配置文件中嵌入未加密的静态验证器,也不会在功能键上存储未加密的静态验证器。
原理:不安全静态验证器的存在会被网络攻击者发现,并在多个类似系统中强制和重复使用,从而为在任务地面段内迅速大范围入侵创造机会。
本原则涉及这些控制措施:
解决主要威胁行为者的能力:CAP-01: 访问网络的能力
抵触最早的威胁行为者策略:TAC-01:初始访问
针对NIST 800-53,第5 版,网络安全控制IA-5(7)。
解决PREVENT 空间任务安全和保护支柱问题
原则:在建立网络连接之前,任务应提供对所有类型的计算设备进行唯一识别和认证的能力,包括移动设备和网络连接终端设备。
原理:任务应与系统安全工程师和行政干事协商,根据任务需要和支持该任务所需的机制强度,选择适当的设备识别和认证机制。
确保只有在适当的任务设备清单和管理平台上已知和注册的设备才允许访问任务通信网络,并定期进行重新验证,从而大大降低因未知设备在任务环境中运行而增加的风险。
任务应确保信息系统组件清单至少包括但不限于:硬件规格(制造商、类型、型号、序列号、物理位置)、软件和软件许可信息、信息系统/组件所有者,以及联网组件/设备的机器名称。
本原则涉及这些控制措施:
应对主要威胁行为者的能力:CAP-01: 访问网络的能力
抵触最早的威胁行为者策略:TAC-01:初始访问
针对NIST 800-53,第5 版,网络安全控制IA-3、IA-3(1)、CM-8
针对PREVENT 空间任务安全和保护支柱
原则:
应要求信息系统、系统组件或信息系统服务的开发商在交付前和任务运行期间对软件和固件组件进行完整性验证。软件和固件组件的完整性验证
运行的每个系统都应具备对任务定义的软件、固件和信息进行完整性验证的能力。
应提供并使用完整性验证工具,以检测对任务定义的软件、固件和信息所做的未经授权的更改
应确定在完整性验证工具检测到对任务定义的软件、固件和信息进行未经授权的更改时应遵循的流程和程序。当完整性验证工具检测到任务定义的软件、固件和信息发生未经授权的更改时,应确定应遵循的流程和程序。
原理: 网络攻击者已经具备并正在完善渗透软件供应链、修改有效软件和固件或将其替换为受损版本的能力。通过检查发布的哈希值和适当验证代码签名证书等方法进行完整性验证,是减少这些攻击者策略的重要能力。
软件的完整性应通过采用加密安全的散列算法来验证,以确定被评估系统(或软件更新包)的散列值(摘要值)。
此外,与系统哈希值进行比较的"控制"或"参考"哈希值的真实性也应使用加密数字签名的私钥进行签名,以确保控制值是由合法、可信的实体提供的。采取这一额外措施的原因是,如果不采取这一措施,攻击者可能会修改正在进行完整性检查的系统,并对控制哈希值进行相应的修改,从而使随后的完整性检查仍能通过。这一控制措施旨在确保只有合法实体 为软件和更新包提供控制哈希值。
任务应对软件/系统组件负责,包括系统名称、软件所有者、软件版本号、软件许可信 息,以及联网组件的机器名称和所有实施协议(如IPv4、IPv6)的网络地址。本计划应为所有使用的软件代码维护"软件物料清单"(SBOM),并为软件生命周期的每 个步骤(包括软件的部署)持续更新/修订SBOM。SBOM如第14028 号行政命令所述、"改善国家网络安全"的行政命令14028 中所述,SBOM包含美国商务部定义的SBOM 最低要素。
本原则涉及这些控制措施:
应对主要威胁行为者的能力:CAP-02: 发现和利用漏洞的能力
互联最早的威胁行为者战术:TAC-02:执行
针对NIST 800-53,第5 版,网络安全控制CM-4(1)、CM-7(8)、CM-8、CM-14、RA-5、SA-10(1)、SA-10(3)、SA-10(4)、SA-10(5)、SA-10(6)、SA-11(1)、SA-11(2)、SA-11(4)、SA-11(5)、SA-11(6)、SA-11(8)、SA-11(9)、SI-2、SI-3、SI-7
解决MITIGATE 空间任务安全和保护支柱问题
原则:
任务运行系统应采用恶意代码保护机制:
o 在信息系统出入口
o 在系统组件上
能够实时扫描端点设备和网络出入口上来自外部的文件。在下载、打开或执行文件时,能够在端点、设备和网络入口/出口点对来自外部的文件进行实时扫描。o能够在下载、打开或执行文件时,根据组织安全策略对端点设备和网络出入口的外部来源文件进行实时扫描,以检测和清除 恶意代码,包括通过利用信息系统漏洞插入的恶意代码。系统漏洞而插入的恶意代码。
应将恶意代码分析结果纳入组织事件响应和漏洞修复流程
原理: 网络攻击者利用在任务系统上执行恶意代码的方式,在环境中获得立足点,从而获得持久性,并实施更多战术来实现其活动目标。
本原则涉及这些控制措施:
应对主要威胁行为者的能力:CAP-02: 发现和利用漏洞的能力
与最早的威胁行为者战术相互冲突:TAC-02:执行
针对NIST 800-53,第5 版,网络安全控制AC-4(14)、AC-4(15)、CM-11、IR-4(12)、RA-5、SC-8(4)、SC-18(5)、SC-35、SC-44、SI-3、SI-7
解决MITIGATE 空间飞行任务安全和保护支柱问题
原则:任务应为每个系统所有者提供实施特定保证级别的多因素身份验证的能力。
原理:多因素身份验证提供了额外的保证级别,可拦截已泄露特定用户密码的网络攻击者。如果多因素身份验证功能强大,能抵御网络钓鱼,就能有效地减少中间人等网络攻击者的某些技术。在以下每种情况下,都应使用MFA:
网络访问权限账户
对非特权账户的网络访问
对应用程序和服务的网络访问
本地访问权限账户
本地访问非特权账户
本原则涉及这些控制措施:
针对主要威胁行为者的能力:CAP-01: 访问网络的能力
抵触最早的威胁行为者策略:TAC-04: 权限升级
针对NIST 800-53,第5 版,网络安全控制IA-2(1)、IA-2(2)
针对PREVENT 空间任务安全和保护支柱
原则:任务应确定在任务特定环境中构成重大风险的用户(包括被归类为特权用户的用户)的指标。
原理:任务应利用背景信息中的这些指标来监控用户的行为,这些行为共同表明安全分析人员有理由进行进一步调查并触发调查。凭证泄露和内部威胁都可能导致看似符合基本访问政策和通过标准技术控制的行为。监控用户行为的异常情况可以更早地发现这些网络攻击者的策略。该控制侧重于零
本控制重点关注PEOPLE 的零信任扩展生态系统要素。
本原则涉及这些控制措施:
应对主要威胁行为者的能力:CAP-01: 访问网络的能力
与最早的威胁行为者战术相互冲突:TAC-05: 规避
针对NIST 800-53,第5 版,网络安全控制AC-2(12)、AC-2(13)、AT-2(2)、AT-2(4)、CA-2(2)、IR-4(6)、IR-4(7)、IR-4(13)、PM-12、SI-4(19)、SI-4(20)
解决PREVENT 空间飞行任务安全和保护支柱问题
原则:任务应设计能力,以尽快发现任务系统内的不当或恶意活动,并在发现后发出警报。
原理:及早发现终端用户设备和运行工作负载的主机上的网络攻击者活动,对于将这些活动的影响限制在其最初进入点至关重要。
本原则涉及这些控制措施:
处理主要威胁行为者能力:
o CAP-02: 发现和利用漏洞的能力
o CAP-03:o CAP-03:破解密码和验证的能力
互斥最早的威胁行为者策略:
o TAC-02:执行
o TAC-05:规避
针对NIST 800-53,第5 版,网络安全控制AC-2(3)、AC-2(4)、AC-2(6)、AC-2(11)、AC-2(12)、AC-2(13)、SA-4(9)、SA-9(2)、SI-4、SI-4(22)、SI-4(23)
针对MITIGATE 空间任务安全和保护支柱
原则:任务应为每个系统的所有者提供监控系统外部边界和系统内部关键任务边界通信的能力。
原理:任务应为每个系统的所有者提供能力,允许对未经授权的本地网络连接进行企 业级监控。任务应作出规定,使任务定义的信息系统监控工具能够看到程序定义的加密通信流量。任务应为每个系统所有者提供分析所收集的出站通信流量的能力,以确定异常情况。任务应为每个系统所有者提供持续监控入站和出站通信流量的能力。
本原则涉及这些控制措施:
应对主要威胁行为者的能力:CAP-04: 指挥与控制
复杂性
与最早的威胁行为者战术:TAC-09互斥: 指挥与控制
应对NIST 800-53,第5 版,网络安全控制SC-7、SC-31、SI-4、SI-4(4)、SI-4(10)、SI-4(11)、SI-4(15)、SI-4(18)
针对MITIGATE 空间任务安全和保护支柱
原则:应制定参数,描述网络上访问和控制任务应用程序和能力的正常活 动,使安全行动事件响应和领导层能够就资源分配和风险管理做出有效决策。
原理:这些参数应指导有关何时何地采用自动响应和报告机制的决策。
正常网络活动参数应由安全分析师和任务专家共同制定,以定量描述当前已知的网络流量模式。这些参数可用于制定自动规则,以触发警报和更改网络安全控制措施
自动警报可将可能的网络行为体活动的高质量信息直接提请安全分析人员注意,这是将网络行为体的初始访问与遏制、根除和恢复应对活动之间的环路紧密联系起来所需的关键能力。
本原则涉及这些控制措施:
应对主要威胁行为者能力:CAP-01: 访问网络的能力
互斥最早的威胁行为者策略:TAC-01:初始访问
针对NIST 800-53,第5 版,网络安全控制AU-6、SI-4(12)、SI-4(14)
解决 "缓解"和"恢复"问题 空间任务安全和保护支柱
原则:任务应为每个系统所有者提供配置飞行和地面系统的功能,要求用户拥有明确的权限来安装软件。
原理:任务应为每个系统所有者提供配置飞行和地面系统的能力,以防止在未验证组件已使用公认的、未撤销的和组织批准的证书进行数字签名的情况下安装或升级软件和固件。任务应为每个系统所有者提供配置飞行和地面系统的能力,以防止按照任务定义的软件任务使用和限制政策执行任务。任务应通过由软件开发、采购、部署、配置、打补丁和报废流程管理的、任务定义的方法来执行软件安装政策。可以通过验证和限制操作系统、浏览器、应用程序和其他软件安装的控制措施,阻止依赖终端用户触发恶意软件安装的网络攻击者攻击序列。
应对主要威胁行为者的能力:CAP-02: 发现和利用漏洞的能力
互斥最早的威胁行为者策略:TAC-02:执行
针对NIST 800-53,第5 版,网络安全控制AC-3(12)、CM-2、CM-3(3)、CM-7(6)、CM-7(2)、CM-11、CM-11(2)、CM-11(3)、CM-14、SI-7(12)、SI-7(15)
解决PREVENT 空间飞行任务安全和保护支柱问题
天极智库聚焦网络安全相关领域,聚集网络安全职能部门、行业主管部门、科研院所、相关企业和专家学者的力量,组织开展政策研判、事件分析、技术研究、学术交流,为国家网络安全工作提供支撑,增强国家网络空间安全防御能力,提升国家关键信息基础设施安全保障能力和水平。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...