我们希望听到您的意见!帮助我们深入了解 Ansible 生态系统的现状。
参与 2024 年 Ansible 项目调查

持续检测和缓解 (CDM)

来源

持续检测和缓解 (CDM)

根据 NASCIO,州 CIO 的首要任务是网络安全和风险管理。此举措的关键重点是利用网络安全与基础设施安全局 (CISA) 提供的 持续诊断和缓解 (CDM) 框架。在本博文中,我们将探讨 CDM 框架的高级视图,回顾 Ansible 在安全自动化中的作用,并最终了解 Ansible 如何帮助机构在使用 CDM 框架时完成从第 0 天到第 2 天的任务。

什么是 CDM?

如今,网络威胁比以往任何时候都更加重要,这意味着确保和防御我们的网络至关重要。国家城市联盟发布的 最新报告 显示,惊人的 44% 的地方政府报告每天甚至每小时都会遭受网络攻击。因此,网络安全和风险管理成为州 CIO 的首要任务也就不足为奇了。有了这些背景,让我们来了解 CDM 计划。

CDM program diagram

来源:https://www.cisa.gov/cdm-training

CDM 框架由 CISA 定义。CDM 提供的功能和工具有助于持续识别网络安全风险,对这些风险进行优先级排序,并使网络安全人员能够根据优先级缓解这些风险。

其核心是提供工具和仪表板,使网络安全专业人员能够了解网络上有什么,谁在网络上,以及网络上发生了什么。CISA 的 CDM 正引领着这项工作,通过向联邦/州机构提供工具来降低网络风险,从而增强其监控和管理网络漏洞威胁的能力。

CDM 模型

CDM 框架提供了一个有见地的四层架构。第一层,A 层,由部署在网络中的传感器和扫描程序组成。这些扫描程序和传感器持续收集与指纹匹配的数据,并将其发送到第二层,B 层,或集成层。

CDM model layer a

第二层,B 层,对 A 层传感器和扫描程序发送的数据进行规范化。这充当关联点。

CDM model layer b

规范化后,数据被馈送到由机构级和联邦级仪表板组成的 C&D 层。

CDM model layer c

来源: CISA 的 YouTube 频道

然后,机构安全人员审查仪表板并做出关于优先级排序和缓解警报的决策。

用于安全自动化的 Ansible

多年来,Ansible 一直是基础设施自动化领域的领导者。Ansible 带给基础设施领域的有价值优势很容易转化为安全自动化领域,包括

  • 提高速度:减少手动步骤和 GUI 点击次数。实现机构中众多安全解决方案之间的集成。
  • 减少人为错误:通过自动化工作流和在时间敏感、压力大的情况下减少人工操作错误来最大程度地降低风险。
  • 强制一致性:通过在多个安全工具中使用单个框架来实现可审计和可验证的安全流程。

需要保护的现代基础设施的规模和复杂性,加上使用自动化本身带来的现代网络攻击的速度挑战,都需要技术来支持人工操作员。网络安全团队面临的挑战是在 CDM 架构内管理多个安全工具,在工具之间进行集成,并使用工具数据有效地管理其端点的更改。

用于 CDM 用例的 Ansible

CDM 具有有见地的架构和 批准的产品列表,其中包含机构可以使用超过 240,000 种产品。您可以想象跨机构的不同产品参与的 CDM 实施的集成需求。Red Hat Ansible 自动化平台是 CDM 用例批准的产品之一。那么 Ansible 在这个四层 CDM 模型中处于什么位置呢?让我们看看由传感器和扫描程序组成的 A 层。

CDM Ansible

此层立即显而易见的两个用例是

  1. 日志丰富
  2. 指纹/签名更新

每次安全运营中心 (SOC) 需要对事件进行分类时,他们可能需要来自传感器或端点本身的更多详细的日志。通常,这可以消除潜在的误报。手动执行此操作意味着 SOC 人员必须登录并进行这些配置更改。在整个机构范围内大规模地执行此操作可能需要大量手动操作,并且容易出现人为错误。当然,调查结束后,需要将这些日志级别重置为标准!使用 Ansible 在调查期间自动打开日志丰富,并在之后大规模关闭详细程度,是 CDM A 层传感器和扫描程序的有效用例。

构成 A 层的扫描程序和传感器需要根据较新的攻击载体及时更新指纹。想象一下,必须手动更新数千个传感器上的这些指纹!Ansible 可以成为自动化 A 层所需的第 2 天运营任务的良好解决方案。

B 层怎么样?如果您还记得,B 层会收集来自 A 层的日志,并规范化数据以及关联数据。

CDM model layer b with Ansible

这些设备是服务器,它们会受到自动化可以帮助的所有传统第 2 天操作的影响,例如修补、操作系统升级和软件更新。

最后,C 和 D 层提供 SOC 人员审查和操作的仪表板。

CDM dashboard with Ansible

在此层中,可以使用 Ansible playbook 来缓解已知漏洞,并与自动化控制器进行 API 集成。Ansible 是一个经过验证的多供应商自动化平台。机构可以通过向 Ansible 发出自动化请求来采用已知漏洞的自动化缓解。另一个用例是自动化某些分类协调方面。例如,如果多个团队需要调查某个警报,Ansible 可以自动向相应的团队发出工单,然后这些团队可以开始他们的分类(甚至可以使用 Ansible 进行分类流程)。

总结

总之,CDM 是 CISA 制定的一个有见地的安全框架,机构将其作为解决网络安全和威胁响应的一种方式。CDM 指定了一个批准的产品列表,其中包括 Ansible 自动化平台,机构可以利用这些产品。Ansible 自动化平台可以成为自动化 CDM 不同层的宝贵平台。好处包括

  1. 传感器和扫描程序:

    • 日志丰富
    • 更新签名

  2. 集成层:

    • 修补
    • 第 2 天运营

  3. 缓解

    • 自动化缓解
    • 分类协调
由以下机构提供支持