NIST biedt tools om te helpen verdedigen tegen door de staat gesponsorde hackers

Speciale publicatie 800-172 is ontworpen om gevoelige informatie in verschillende elektronische systemen te beschermen.

Landen over de hele wereld voegen cyberoorlogsvoering toe aan hun arsenaal en gebruiken hoogopgeleide teams om aanvallen op andere landen uit te voeren. Deze tegenstanders worden ook wel de 'geavanceerde aanhoudende dreiging' of APT genoemd, omdat ze over de tools en middelen beschikken om hun doelen herhaaldelijk over een langere periode na te streven, waarbij ze zich aanpassen aan de inspanningen van verdedigers om ze te weerstaan.

Kwetsbare gegevens omvatten de gevoelige maar niet-geclassificeerde informatie die wordt beheerd door de overheid, de industrie en de academische wereld ter ondersteuning van verschillende federale programma's. Nu biedt een definitieve publicatie van het National Institute of Standards and Technology (NIST) richtlijnen om dergelijke "gecontroleerde niet-geclassificeerde informatie" (CUI) te beschermen tegen de APT. NIST's Special Publication (SP) 800-172, Verbeterde beveiligingsvereisten voor het beschermen van gecontroleerde niet-geclassificeerde informatie:een aanvulling op NIST SP 800-171, biedt een reeks tools die zijn ontworpen om de inspanningen van door de staat gesponsorde hackers tegen te gaan en vormt een aanvulling op een andere NIST-publicatie die gericht is op het beschermen van CUI.

"Cyberaanvallen worden uitgevoerd met stille wapens, en in sommige situaties zijn die wapens niet op te sporen", zegt Ron Ross, een computerwetenschapper en een NIST-collega. “Omdat je de directe effecten van de volgende hack misschien nog niet ‘voelt’, denk je misschien dat deze ooit komt; maar in werkelijkheid gebeurt het nu.”

De federale overheid leunt zwaar op niet-federale dienstverleners om een ​​breed scala aan missies te helpen uitvoeren met behulp van informatiesystemen - een term die computers omvat, maar ook een reeks andere gespecialiseerde technologieën zoals industriële controlesystemen en het internet der dingen. De bescherming van gevoelige federale informatie die zich in niet-federale systemen bevindt - zoals die worden gebruikt door staats- en lokale overheden, hogescholen en universiteiten en onafhankelijke onderzoeksorganisaties - is van het allergrootste belang, omdat dit rechtstreeks van invloed kan zijn op het vermogen van de federale overheid om haar activiteiten uit te voeren . Een hack in 2018 waarbij gevoelige informatie werd gecompromitteerd, vormde een directe inspiratie voor het werk van het NIST-team aan SP 800-172.

SP 800-172, voorheen genummerd SP 800-171B tijdens de conceptfase, biedt aanvullende aanbevelingen voor het omgaan met CUI in situaties waarin die informatie een hoger dan normaal risico op blootstelling heeft. CUI bevat een breed scala aan informatietypes, van namen van personen of burgerservicenummers tot kritieke verdedigingsinformatie.

"We hebben SP 800-171 ontwikkeld als reactie op grote cyberaanvallen op kritieke infrastructuur van de VS, en het begeleidende document SP 800-172 is ontworpen om aanvallen van geavanceerde cyberbedreigingen zoals de APT te verminderen", aldus Ross. “Het implementeren van de cyberwaarborgen in SP 800-172 zal systeemeigenaren helpen beschermen wat hackers op staatsniveau als bijzonder waardevolle doelen hebben beschouwd:gevoelige informatie over mensen, technologieën, innovatie en intellectueel eigendom, waarvan de onthulling onze economie in gevaar zou kunnen brengen en nationale veiligheid.”

De verbeterde beveiligingsvereisten moeten worden geïmplementeerd naast die in SP 800-171, aangezien die publicatie niet is ontworpen om de APT aan te pakken. De vereisten in SP 800-172 zijn van toepassing op de componenten van niet-federale systemen die CUI verwerken, opslaan of verzenden of die bescherming bieden voor dergelijke componenten. Om de reikwijdte verder te verkleinen, worden de vereisten alleen toegepast wanneer de aangewezen CUI is gekoppeld aan een kritiek programma of een waardevol activum - de hoogste prioriteit voor bescherming.

De publicatie is voornamelijk ontwikkeld voor beheerders zoals programmamanagers, CIO's en systeemauditors en behandelt de bescherming van CUI voor systeemcomponenten door penetratiebestendige architectuur, schadebeperkende operaties en ontwerpen te bevorderen om cyberveerkracht en overlevingsvermogen te bereiken. De tools, verdeeld in 14 families, zijn niet bedoeld om massaal te worden geïmplementeerd, maar worden geselecteerd op basis van de behoeften van de organisatie.

"Hoogstwaarschijnlijk zal een organisatie die deze richtlijnen implementeert, niet alle verbeterde beveiligingsvereisten die we hier bieden, willen gebruiken", zei Ross. "De beslissing om een ​​bepaalde reeks verbeterde beveiligingsvereisten te selecteren, wordt gebaseerd op uw missie en zakelijke behoeften - en wordt vervolgens begeleid en geïnformeerd door voortdurende risicobeoordelingen."

Als reactie op feedback die is ontvangen tijdens de openbare commentaarperiode, bevat het definitieve ontwerp bijgewerkte richtlijnen voor scoping en toepasbaarheid en een flexibelere benadering voor het selecteren van vereisten, zodat organisaties hun beveiligingsoplossingen kunnen aanpassen.

Ross zei dat de tools in de nieuwe publicatie hoop moeten bieden aan iedereen die zich wil verdedigen tegen hacks, zelfs door een bedreiging te intimideren als de APT.

"De tegenstanders brengen hun 'A-game' in deze cyberaanvallen 24 uur per dag, 7 dagen per week," zei hij. "U kunt ervoor zorgen dat de schade tot een minimum wordt beperkt als u de cyberbeveiliging van SP 800-172 gebruikt."

Oorspronkelijke bron:https://www.nist.gov/news-events/news/2021/02/nist-offers-tools-help-defend-against-state-sponsored-hackers