自动击败“硬化”终于到了政府

对于数以千计的勤奋男女,负责将政府IT网络固定到国防信息系统机构的强制性“击败”标准,任务可能是令人生畏的,甚至有些恩。

这是因为耻辱(安全技术实施指南)概述了数百页的详细规则,必须遵循正确安全或“硬化”政府计算机基础设施。

鉴于这项工作通常是手动过程,它对IT人员来说非常繁琐且耗时。事实上,据估计,政府每年花费数亿亿美元才遵守击败标准。

所以,随着新的软件工具进入市场,自动化进程靠近按钮简单,“听起来过于善于真实”之后的第一反应是相当的浮雕。

通过自动化过程,一项曾经花了数周的任务 - 甚至几个月 - 可以在所有端点的几个小时内完成。正在进行的安全更新也是自动的,可以在几分钟内完成。

解释剧本

公平,围绕着耻辱,可能会有一个相当大的“雾”。

耻辱基本存在,因为政府网络主要使用商业操作系统(Windows / Linux),数据库管理系统,Web服务器和其他网络设备构建。因此,封面定义了操作环境设置中的更改,因此可以以最安全的方式配置这些环境。

遗憾的是,一旦应用程序环境被硬化到STIG规范,它可能会导致安装的应用程序“中断”,这意味着它不会安装和/或运行正常。这会影响系统上安装的新的和遗留应用程序。

申请为什么打破?因为它们很少设计或测试以在屏幕环境中运行。

例如,如果删除需要更改Windows或Linux操作系统的一些控件,则应用程序将破坏。如果应用程序需要特定功能来操作并且删除禁止或阻止这些功能,则应用程序将无法加载或操作。等等。

不幸的是,可以对所有应用程序应用于所有应用程序没有一组普通的屏幕“规则”。相反,必须按应用程序,服务器的应用程序手动在应用程序中手动调整服务器策略–每台服务器实例,这可能需要多周时间和超过10,000美元的成本。

“如果可以在所有系统上实施相同的策略和配置,则STIG合规性将是一个相当容易的练习,”Brian Hajost of SteelCloud和自动化稳定性专家解释。 “商业和政府申请以不同的方式响应安全政策。因此,每个系统的控件必须唯一地调整或调整到每个应用程序环境。“

这种艰苦的任务通常往往是系统管理员,申请管理员或信息保障人员。

哈杰斯说:“有人遇到了跨政府的人们跨政府遍布政府,并被要求手动解决败曲的合规性,但多次没有经历或训练,”Hajost说。 “所以,他们混乱了,但最初的淬火努力可能需要数周甚至几个月。”

幸运的是,新的自动化工具可用于自动化符合规范。 Seathcloud等产品如ConfigoR自动硬化现有的政府网络,即使在具有不同安全级别的复杂和不同的基础架构上也是如此。

ConfigoS标识并解决所有控件所考虑的潜在安全风险。如鼠标栏目所述,风险分为三级(1/2/3),其中第1类是最严重和最优先级。

然后,该软件会产生一个域独立的全面策略“签名”,包括用户定义的文档和STIG策略豁免。在这一步骤中,每小时可以完成周或数月的手动工作。

签名和文档包含在安全的加密签名容器中,该容器用于扫描端点(笔记本电脑,桌面,物理/云服务器)而不安装任何内容。在每个端点上修复数百个击中控制所需的时间通常为90秒,并且配置一次执行多个补救措施。

政府出版了[耻辱]书,我们只是自动化繁琐的工作来完成工作,“哈哈斯说。

Configos在广泛的测试内容中支持超过6,000个标准屏幕控制。但是,该软件还旨在允许用户定制控制以响应应用程序的要求。

“我们可以强制执行耻辱,但如果它意味着应用程序不会运行,那就不起作用,”哈哈斯解释说。 “所以ConfigoS创建了一个操作策略,尽可能靠近发布的耻辱,但仍然允许应用程序以设计为设计,”哈哈略介绍。

然后,签名容器可以通过连接和断开端点进行大型和小型网络,分类的环境,实验室,断开网络和战术环境进行传输。网络,安全性,无需在任何端点上安装其他更改。

迄今为止,Configos仅通过关于国防部的每个分支机构进行许可,以及DHS,HHS和能源部的部分。该产品也由大型国防承包商以及军队所有分支机构的计划使用。

哈哈斯特添加了自动化甚至更重要,因为屏幕遵守是一个正在进行的进程,具有周期性的新安全更新

例如,击败每90天更新一次,以解释为提供主要操作环境组件的供应商的新发现漏洞以及更改和更新。

使用Configo意味着在Disa发布新版本的暂停后的两个工作日内,新的测试生产内容可供客户使用。

“当它是手动任务时,对现有应用程序和操作系统的安全更新通常延迟数月,”Hajost说。

该软件还可以通过在安装之前进行评估和硬化来加速新的网络应用程序,服务器和设备的实现。

Hajost估计自动化过程将初始硬化时间降低90%,同时将系统安全策略维护费用减少约70%。

鉴于自动化稳定政策合规性的潜在成本节约年度每年超过数亿美元,人员努力保护政府网络可能会发现这一项任务他们很乐意自动化。

关于作者

Jeff Elliott是一名加利福尼亚州的托尔徒,基于加利福尼亚州的技术作家。他在过去的20年里研究和编写了关于工业技术和问题的。有关来自STEELCLOUD呼叫(703)674-5500配置的更多信息;或访问 www.steelcloud.com..

全球infosec奖项2021

我们在第9年,这些奖项非常受欢迎 - 帮助建立嗡嗡声,客户意识,销售和营销增长机会,投资机会等等。

现在申请