MAKING SECURITY MEASURABLE AND MANAGEABLE
使安全可衡量和可管理
摘要
在大多数类型的组织中,信息系统的安全性和完整性都是一个关键问题。寻找更好的方法来解决这个问题是许多行业、学术界和政府的目标。在解决这些问题方面,越来越流行的一种更有效的方法是使用标准的知识表示、枚举、交换格式和语言,以及共享关键遵从性和一致性要求的标准方法。
通过标准化和分离操作、开发和维护工具和过程之间的交互作用,组织在选择技术、解决方案和供应商方面获得了很大的自由。这些“使安全性可度量”的倡议为回答当今日益增长的问责制、效率和互操作性需求提供了基础,而无需人为地限制组织的解决方案选项。
构建可度量安全的四个基本构件
- 需要共享的公共概念的标准化枚举
- 用于编码高保真信息的语言,这些信息是关于如何找到共同的概念,以及如何在人与人之间、人与工具之间、工具与工具之间、工具与人之间传递这些信息
- 在工具、人员或两者之间交换内容时,以一种最大限度地减少意义损失的方式,通过语言的内容库共享信息,供广泛的社区或个人组织使用
- 通过品牌化和审查程序实现采用的一致性,以鼓励工具、交互和内容保持标准化和一致性
标准化枚举
枚举列出了信息保障、网络安全和软件保障中的基本实体和概念,这些实体和概念需要在这些实践的不同学科和功能之间共享。CVE作为一种枚举,通过为软件中公开的已知漏洞提供唯一标识符,可以进行各种度量。
标准化的语言和格式
标准化的语言和格式允许对枚举的概念和其他高保真信息进行统一编码,以便进行人与人、人与工具、工具与工具以及工具与人之间的交流。
存储库
标准化推广
MITRE的CVE项目采用了一个非常成功的CVE兼容性计划,该计划已经审查了许多信息安全产品和服务,以确保它们是“CVE兼容”的,也就是说,他们可以与其他兼容的产品互操作,并且他们每个人都正确地将特定漏洞的功能概念映射到该漏洞的正确CVE标识符
其他知识点
CAPEC的常见攻击模式可以用来定义和记录渗透测试的类型和您的开发团队在进行开发和渗透测试时考虑防御的攻击场景。
浙公网安备 33010602011771号