ISO21434是一套网络安全流程标准,本文是part8持续性网络安全活动的总结。本活动在生命周期的所有阶段进行,主要目的是监控网络安全信息以确定网络安全事件,评估网络安全事件以确定弱点,从弱点中识别漏洞,管理已识别的漏洞。
1. 网络安全信息监控
1)选择适当的来源以收集网络安全信息(尚未确定相关性);
内部来源:相关项定义、网络安全声明、网络安全规范、威胁场景、过往漏洞分析、现场信息(漏洞扫描报告、维修信息、消费者使用信息);
外部来源:网络安全研究者、商业或非商业来源、供应链、客户、政府。
2)定义触发条件以筛选出网络安全事件(与相关项或组件相关),网络安全信息可成为一个或多个事件;
触发条件:关键词、配置信息、组件或供应商名称。
2. 网络安全事件评估
应进一步分析网络安全事件(event),确定相关项或组件的缺陷,即弱点(weakness)。
1)如果存在弱点,并且存在补救措施(如供应商提供补丁),可以将该补救措施作为一个假定的漏洞来处理,不再需要其他活动;
2)如果发现TARA分析遗漏的威胁场景,可更新TARA。
3. 漏洞分析
弱点应进行分析以确定为漏洞。
1)基于架构进行攻击路径分析、攻击可行性等级分析;
2)可以配合根本原因分析,确定弱点成为漏洞的任何潜在可能性;
3)如果不存在攻击路径、或攻击可行性等级很低,弱点不被视为漏洞;
4)对于未被确定为漏洞的弱点应提供理由
4. 漏洞管理
对已识别的漏洞进行管理,保证风险被处置,直到网络安全支持终止。
1)通过TARA方法对漏洞评估和处理,或独立于TARA的补救措施来消除漏洞,比如开源软件的补丁;
2)如果漏洞管理导致项目或组件的变更,进行变更管理。
3)对已识别的漏洞信息需要共享,根据7.4.3职责分配,5.4.3信息共享。
4)如果漏洞发展成为网络安全事件(incident),根据13.3响应,网络安全事件响应过程可以独立于TARA进行应用。
网络安全信息:尚未确定相关性的网络安全信息;
网络安全事件(event):与相关项或组件相关的网络安全信息;
弱点(weakness):可以导致非预期行为的缺陷或特性;
漏洞(脆弱性vulnerability):可以被利用的弱点。
总结:本章节是网络安全活动特有的,要求组织建立持续的监控机制,收集内部(包括其他项目和本项目)和外部(如权威漏洞平台)的信息,并进行漏洞分析和管理。本活动在标准里多个生命周期都提及,但没有与TARA进行区分,对弱点视为漏洞的准则也明显不严谨。在搭建流程时,需要理清概念阶段TARA、开发时脆弱性分析、持续性网络安全活动的关系。