多年来,NIST(美国国家标准与技术研究院)的研究报告、标准、指南以及所推荐的最佳实践都聚焦于提高网络安全策略和措施的有效性,并且该研究院还发布了一系列不断扩展的、最新的网络安全相关工具包。从历史数据看,NIST的大部分输出物主要是为联邦政府机构开发,这些机构根据法规和政策来使用该研究院所出版的网络安全标准和指南。虽然说是为政府机构开发,但是,在美国,许多私营部门的网络安全从业人员、产品供应商和集成商、州和地方机构、以及其他看到NIST信息和服务价值的人也都在广泛地使用并依赖于NIST的研究成果。实际上,这些研究成果多年来也一直是我国在网络安全标准编写过程中的重要参考。
ITL是NIST下面运营的一个信息技术实验室,网络安全工作是该部门的重点工作任务。
一、前言
今天这篇文章梳理了NIST在信息技术与网络安全方面所关注的重点领域,以及近年在每个领域所做出的研究成果,现分享出来,以便于广大网络安全从业者了解和学习,希望能够为大家后续的研究路线提供一点思路。
下图是对这些重点领域和研究方向进行综合而绘制的框架图,可以清晰的看到,NIST在信息技术与网络安全方面主要有九大重点研究领域,分别是:网络安全和隐私保护;风险管理;密码算法及密码验证;前沿网络安全研究及应用开发安全;网络安全意识、培训、教育及劳动力发展;身份和访问管理;通信基础设施保护;新兴技术;安全测试和测量工具研究。每个领域都有与其对应的重点研究方向,其中许多方向我们可能也都熟悉,我国在某些研究方向上也有很多研究成果,相关领域的标准体系也在逐步成熟。
下面将对NIST ITL在以上九个重点领域和对应的研究方向的主要成果进行描述。
二、重点领域研究方向及成果
2.1 网络安全和隐私保护
1)主导和参与制定国家及国际标准,推动网络安全、隐私、加密以及5G移动和蜂窝技术、量子信息和物联网(IoT)等关键领域标准的制定;
2)加强在物联网标准化工作方面的参与度,其中包括:
a)ISO JTC 1 / SC 27,物联网安全和隐私;
b)IETF,物联网安全领域的软件更新;
c)ISO JTC 1 / SC 41。
2.2 风险管理
1)下一代风险管理框架(RMF)
a)发布了NIST SP 800-37,v2,《信息系统和组织的风险管理框架:安全和隐私系统生命周期方法》,其中更新内容包括:与NIST网络安全框架中的结构保持了一致;将隐私风险管理完全整合到现有信息安全风险管理流程当中;将供应链风险管理过程进行合并;
b)持续为公共和私营部门提供风险管理服务和产品。
2)隐私工程和风险管理
a)在隐私风险管理指南和模型上取得了重大进展,与政府、学术界和整个行业的利益相关者进行开放式合作,制定和完善工具、标准和流程,以更好地识别、确定优先级和管理隐私风险;
b)开发了隐私框架(一种企业风险管理工具),该工具满足了管理美国乃至全球隐私问题,改善隐私保护以及更好地管理对日益增长的全球隐私要求的合规性需求。隐私框架的最终版在2020年初已公开发布;
c)在NIST的许多出版物中,都在强调安全和隐私,比如,在NIST SP 800-37,v2和NISTIR 8228《管理物联网网络安全和隐私风险的注意事项》中都加入了隐私方面的考虑;
d)启动了隐私协作空间(Privacy Collaboration Space),这是一个向公众开放的在线空间,从业人员可以发现、共享、讨论和改进支持隐私工程和风险管理的开源工具、解决方案和流程。
3)NIST网络安全框架
a)与多方合作来推广、应用和实施网络安全框架,公开NIST网络安全框架相关的学习材料、成功案例和行业资源;
b)启动了国家网络安全在线信息参考(OLIR)计划,(OLIR计划整合了正在进行的NIST项目,以及国家及国际标准、指南、框架和法规到针对单个组织、部门或辖区的政策),此外,还发布了NISTIR 8204,该指南为信息参考开发人员提供了指导。
4)受控非机密信息(CUI)
a)继续推广和更新有关保护非联邦系统和组织中的受控非机密信息(CUI)机密性的建议;
b)对NIST SP 800-171《保护非联邦系统和组织中的受控非机密信息》草案,进行了两次修订,涉及第一章、第二章以及词汇表、首字母缩写和参考附录,主要提供了对受控非机密信息安全性的评估程序和方法,并增强了其安全性要求。
5)系统安全工程(SSE)
a)坚持以“工程”为驱动力的观点和行动,开发更具防御性和生存能力的系统,包括构成系统的机器、物理和人为组件以及这些系统提供的功能和服务;
b)发布了一系列专门出版物来支撑NIST SSE准则;
c)发布了《通过采用安全软件开发框架(SSDF)减轻软件漏洞风险》白皮书,白皮书中介绍了一些优秀的软件安全开发实践,这些实践的合集称为安全软件开发框架(SSDF),该框架可以应用于典型的IT基础架构以及工业控制系统(ICS)、CPS、IoT。
6)网络供应链风险管理(C-SCRM)
a)将C-SCRM集成到系统安全工程中,并且涵盖到整个系统生命周期(包括设计、开发、分发、部署、获取、维护和销毁)
b)NISTIR 8272草案的制定,开发了用于相互依赖的网络供应链风险影响分析工具,该工具提供了对网络供应链潜在影响的基本度量来弥补组织的风险偏好和供应链风险状况之间的差距;
c)NISTIR 8276草案《网络供应链风险管理的典型实践:行业观察》的制定,该草案总结了相关专家认为有效的网络供应链风险管理计划的具体实践。
2.3 密码算法及密码验证
1)后量子密码(PQC)
NIST正在征求、评估和逐步标准化后量子公钥加密算法。其目的是制定新的公钥加密标准,以明确一个或多个公开披露的数字签名、公钥加密和密钥算法,这些算法可以在全球范围内使用,并能够在可预见的未来(包括量子计算机问世之后)保护敏感的政务信息。工作成果在NISTIR 8240报告中进行了具体的描述和分析。
2)轻量级密码
当前正在与密码学界合作,以征集、评估和标准化轻量级密码算法,这些算法将应用于轻量级加密标准当中;另外,发布了NISTIR 8268报告,该报告描述了适合于受限环境的经过认证的加密和散列方案。
3)密码模块测试
a)开发新的工具和流程,以支持基于iso的密码模块测试项目,NIST作为权威验证机构,同时支持现有的验证流程。将近25年的时间里,NIST FIPS 140系列出版物一直被用于协调供美国机构使用的密码模块要求和标准。
b)2019年3月22日,商务部长批准了FIPS 140-3《密码模块的安全要求》。FIPS 140的更新包括对两个现有国际标准的引用:ISO / IEC 19790:2012《信息技术 安全技术 密码模块的安全要求》,以及ISO / IEC 24759:2017《信息技术 安全技术 密码模块的测试要求》
c) NIST开发了一系列NIST SP 800-140x公开征询公众意见。该系列出版物直接支持FIPS 140-3的加密模块验证程序(CMVP)及其相关程序。NIST SP 800-140x系列出版物包括:
- SP 800-140草案,FIPS 140-3衍生测试要求(DTR);
- SP 800-140A草案,CMVP文档要求;
- SP 800-140B草案,CMVP安全策略要求;
- SP 800-140C草案,CMVP允许的安全功能;
- SP 800-140D草案,CMVP允许的敏感参数生成和建立方法;
- SP 800-140E草案,CMVP允许的身份验证机制;
- SP 800-140F草案,CMVP允许的非侵入式攻击缓解测试指标。
2.4 前沿网络安全研究及应用开发安全
NIST在网络安全研究和应用开发安全领域的研究活动包括确定新兴和高优先级技术,开发将对美国关键信息基础设施产生重大影响的安全解决方案以及管理方面的基础安全机制和技术。
1)使用虚拟机管理程序的漏洞数据进行取证分析
虚拟化驱动着当今的大部分计算,而虚拟化的基本组成部分是使用虚拟机管理程序(创建、运行许多虚拟机的软件、固件或硬件)。由于虚拟机管理程序在云计算中扮演的重要角色,导致它通常是攻击者的目标。因此,在这一方面,NIST研究出了一种方法,可以对管理程序的攻击进行取证分析。通过分析来自NIST国家漏洞数据库(NVD)的最新漏洞数据,选择了两个开源管理程序Xen和基于内核的虚拟机(KVM)作为平台,根据系统管理程序功能、攻击类型和攻击源将漏洞进行分类。基于系统管理程序功能中漏洞的相对分布,发起了样本攻击以利用目标系统管理程序功能中的漏洞,并记录了相关的系统调用。确定了充分检测和重建这些攻击所需的取证数据,并在随后的攻击运行期间采用了收集丢失的证据所需的技术,本质上执行了迭代过程。
2)智能电网网络安全
NIST开发了针对智能电网的《NIST网络安全框架概要》,将网络安全框架中的风险管理策略应用于智能电网当中,并作为基础以支持新的电网架构。通过基于智能电网的上层业务目标的有效性,来确定网络安全活动的优先级。《NIST网络安全框架概要》为电力系统所有者和运营者提供了网络安全风险管理指南。该概要还提供了与电力系统所有者和运营者在分布式能源资源高度集中的架构中实施这些网络安全活动时可能遇到的风险挑战和与其相关的考虑因素。结果发布在NIST Technical Note 2051《智能电网网络安全框架概要》中。
3)电子投票系统的安全性
a)NIST针对国家级投票系统开发了《自愿投票系统指南2.0》 (VVSG 2.0),VVSG 2.0是为下一代投票设备编写的投票系统标准。
b)NIST与国土安全部(DHS)合作,开发了《基于网络安全框架的选举概要》。该概要将网络安全要求与从选民登记到选举报告和审核的所有选举过程的操作方法相匹配。国务卿、州及地方选举官员可使用此概要来确定,如何改善网络安全态势。并且NIST还提供了对有关网络安全框架的培训,并举办研讨会讨论选举过程中,哪些资产需要进行保护、来自国外技术供应商的控制权威胁、可用的保障措施、以及事件检测技术、响应和恢复方法。
4)区块链技术和算法安全
近年来,区块链技术开始被应用到许多的应用场景中,其中包括信息保护、身份管理、采购供应链保障等场景。NIST在区块链技术和算法安全领域主要是开发用于推进区块链研究和使用的出版物,内容包括:
- NISTIR 8202,《区块链技术概述》;
- 无需第三方身份验证服务的智能合约联合身份管理;
- 实现本地托管加密货币协议;
- 一种用于理解新兴区块链身份管理系统的分类方法(草案)。
另外,后续NIST在区块链技术领域继续研究的方向主要包括:
- 将分类法用于区块链系统以实现分布式身份管理;
- 在区块链系统上使用令牌;
- 开发区块链技术研究工具;
- 使用区块链技术公开生成可信随机数;
- 开发一种架构,用于支持创建托管加密货币,将来自共识货币的安全特征纳入其中;
- 应用于在现有加密货币系统上安全存储和监控联邦所有加密货币资产使用的方法;
- 加强区块链系统研究。
2.5 网络安全意识、培训、教育和劳动力发展
NIST在早期一直推崇的网络安全铁三角分别是:人员、流程、技术,其中,人通常是最不被重视的安全要素。因此,人这一安全要素也是NIST的研究重点,在网络安全意识、培训、教育和劳动力发展领域,NIST的主要成果如下。
1)国家网络安全教育倡议(NICE)
美国的国家网络安全教育倡议(NICE)项目至今已经11年了,NICE的主要目的是:加速网络安全从业人员的学习和技能发展、培育多元化的网络安全学习社区、指导网络安全从业人员的职业发展和劳动力规划。NIST在开发的《NICE网络安全劳动力框架》中明确的提出了NICE的项目目标,其在推动NICE项目上的一些主要活动包括了:
a)推进国家网络安全学术卓越中心(CAE)的发展,在2019年,国家网络安全学术卓越中心参与机构的数量增加到了312个;
b)《NICE网络安全劳动力框架》的推广和调整。美国网络安全劳动力的行政命令(EO)13870,鼓励政府、行业和学术界采用该框架,加强公众对NICE框架的认识;
c)组织公开会议,为学校教师、管理人员、非营利组织、以及对网络安全职业感兴趣的年轻人提供支持和指导;
d)NICE每两个月会召开一次“五眼”合作伙伴国家(澳大利亚、加拿大、新西兰、英国和美国)会议,以了解各国在网络安全教育和劳动力发展方面各自的举措和挑战。
2)网络安全资源共享
NIST在网络安全资源共享方面,主要关注于如何提高和增强网络安全意识。
a)计算机安全资源中心(CSRC)。CSRC是NIST访问量最大的网站之一,是NIST网络安全和隐私出版物、标准和指南的资源中心【我看NIST的资源就是通过该网站】;
b)关注中小型企业网络安全。中小型企业是美国经济的支柱,约占所有企业的95%,中小型企业通常面对有限的网络安全预算,急迫需要切实可行、经济有效的方法来使他们能够了解并解决当前面临的网络安全风险。NIST将重点放在了小型企业上,帮助小型企业识别、评估、管理和降低其网络安全风险,并将这方面的研究成果公开在网址(https://www.nist.gov/itl/smallbusinesscyber)中;
c)支持联邦计算机安全项目经理(FCSM)论坛,FCSM论坛是提高网络安全意识、培训和员工发展的重要手段,它促进了美国联邦、州和高等教育机构之间的系统安全信息共享。
3)网络安全可用性
网络安全可用性方面主要关注的是利用人为因素、认知科学、以用户为中心的设计和可用性原则来改进人与系统之间的交互,并开发以用户为中心的测量和评估方法、指南和标准。
a)探索智能家居技术中的人为因素,研究智能家居设备在人性方面的问题,包括可用性、用户感知以及终端用户的隐私和安全问题;
b)评估网络钓鱼信息检测难度,NIST开发了“Phish Scale”作为评估一个组织的网络钓鱼风险的工具,该工具考虑了网络钓鱼线索和用户背景,以帮助CIO和网络钓鱼培训实施者评估其组织网络钓鱼活动的难度并解释相关的点击率。研究成果已发表在《Journal of Cybersecurity》上;
c)青少年的网络安全是NIST的重要研究方向,青少年从很小的时候就开始使用科技,并且经常需要验证自己的身份。然而,很少有人关注为这个特定的群体专门设计身份验证方法。NIST在2019年完成了一项关于青少年的密码使用习惯和认知的研究,填补了当前在青少年密码创建和使用方面的研究空白。研究成果已发表在《Journal of Cybersecurity》上。
2.6 身份和访问管理
身份和访问管理对于网络安全风险管理和网络安全与隐私保护至关重要。身份和访问管理领域主要研究以下方向:
1)数字身份管理
a)NIST在数字身份管理方向的研究已有超过两年以上的经验,成果包括:
- NIST SP 800-63-3,《数字身份指南》;
- NIST SP 800-63A,《注册和身份验证》;
- NIST SP 800-63B,《身份验证及生命周期管理》等。
关于NIST SP 800-63-3的相关详细信息在NIST页面上已公开发布 ,参见网址:https://pages.nist.gov/800-63-FAQ/,以及https://github.com/usnistgov/800-63-3/issues。
b)NIST建立了身份和访问管理(IAM)资源中心。
2)个人身份验证(PIV)
根据国土安全部总统令12号文件的要求,NIST开发并维护FIPS 201,《用于联邦雇员和供应商的个人身份验证(PIV)》,并根据联邦部门和机构不断变化的业务要求,对FIPS 201进行及时更新。
2.7 通信基础设施保护
在通信基础设施保护领域,NIST的国家网络安全卓越中心(NCCoE)开展了许多研究,并加强与产业界合作,以确保移动电信网络和全球互联网的鲁棒性、可扩展性和安全性。
1)蜂窝和移动技术安全
随着蜂窝技术从第三代(3G)到第四代(4G)、长期演进(LTE)和第五代(5G)技术的发展,其带宽能力在不断提高,基于此基础架构的移动技术正在变得越来越强大,为消费者提供了更丰富的服务。NIST一直在研究如何确保这些技术具有必要的安全和隐私能力,使其保持可靠和可信。NIST在推动蜂窝和移动技术安全方面,主要采取的活动包括:
a)参与第三代合作伙伴计划(3GPP)【该计划是将电信标准开发组织联合起来,共同维护和推进移动电信技术(包括无线电接入、核心网络和服务能力),以实现和改善移动电信】;
b)发布了NIST SP 1800-21的征求意见稿。该指南提供了一个示例,演示了组织如何使用标准的方法和商业上的成熟技术来满足其使用移动设备访问企业资源的安全需求。这个示例主要提供了用于企业内部部署的企业移动性管理(EMM)功能的工具的详细信息,其中包括移动威胁防御(MTD)、移动威胁情报(MTI)、应用程序审查、安全启动/映像身份验证和虚拟专用网络(VPN)服务。(具体网址:https://www.nccoe.nist.gov/projects/building-blocks/mobile-device-security/corporate-ownedpersonally-enabled)。
2)5G安全
5G首次在蜂窝网络中引入了基于服务的架构概念。此设计对创建网络服务的方式以及各个网络功能的通信方式具有根本性影响。不仅将核心网络分解为较小的功能组件,而且还期望这些组件之间的通信变得更加灵活——通过公共服务总线进行路由并使用虚拟化技术进行部署。可以预见,将5G网络组件部署在高度可扩展、容器化和虚拟化的架构上,运营商和制造商可以采用此架构来满足客户对现代用例的需求,在类似云的基础架构上安全部署核心网络和无线电接入网络服务,构成了商用和私有5G网络的基本组件。NIST在推进5G安全方面,通过研究5G系统提供的实用和可实现的网络安全功能,明确现有的行业推荐做法,探索利用5G网络安全功能和保障技术来保护蜂窝通信网络,并保护核心的5G基础设施和服务。
3)国家公共安全宽带网(NPSBN)
一个通用且可靠的国家公共安全宽带网络(NPSBN),能够帮助警察、消防员、紧急医疗服务专业人员和其他公共安全管理员保持安全、并有效地沟通和执行任务。NIST在国家公共安全宽带网(NPSBN)研究方面,主要包括:
a)发布了NISTIR 8196,该报告描述了第一个使用移动和可穿戴设备的用户反应,从网络安全的角度对其进行了分析。目的是使行业能够设计和生产更安全的公共安全设备;
b)研究是否可以将手机的SIM卡用作公共安全移动应用程序凭证的存储容器。这项研究的目的是提高人们对紧急联系人基于方便的、标准的双因素身份验证的认识,同时提出一种创新的身份验证方法。
c)发布了网络安全实践指南 NIST SP 1800-13。
4)零信任架构
零信任将网络防御从静态的、基于网络边界的防护转移到关注用户、资产和资源。零信任专注于保护资源而不是网络段,因为网络位置不再被视为资源安全态势的主要考虑因素。针对零信任架构(ZTA)方面,NIST发布了SP 800-207,《零信任架构》,该指南讨论了构成零信任架构(ZTA)网络策略的核心逻辑组件。SP 800-207还包含了对零信任架构(ZTA)的定义,并给出了通用部署模型和用例。
5)改善安全卫生
造成数据泄露、恶意软件感染和其他安全事件发生的很大原因是安全卫生习惯,好的安全卫生习惯可以防止发生许多安全事件并降低事件的潜在影响,换句话说,好的安全卫生习惯将使攻击者很难攻击成功。但不幸的是,安全卫生说起来容易做起来难。例如,IT专业人员数十年来就已经知道打补丁可以消除已知的漏洞,但是修补程序通常占用大量资源,打补丁这个行为会降低系统和服务的可用性,因此,IT专业人员并不会及时的打补丁。在改善安全卫生领域,NIST 的NCCoE启动了一个项目,以演示一种企业改进通用IT系统打补丁的实践方法。在此项目中,将使用商业和开源工具来解决打补丁最具挑战的方面,包括系统特性和优先级划分、补丁测试以及补丁实现跟踪和验证。这些工具附带了有关在整个补丁生命周期中建立策略和过程的可操作、规范性指南。该项目产生的成果形成了NIST网络安全实践指南“网络安全卫生实践:企业补丁”。
6)安全域间路由(SIDR)
支撑互联网的大多数路由基础设施当前缺乏基本的安全服务。在大多数情况下,互联网流量必须先到达多个网络,然后才能到达目的地。每个网络都暗中信任其他网络,以通过边界网关协议(BGP)提供必要的准确信息,才能在互联网上正确路由流量,而当该信息不准确时,网络安全问题可能出现。在安全域间路由(SIDR)的研究方面,NIST研究人员在NCCoE上合作展示了一种称为BGP路由起源验证(ROV)的技术来防止路由劫持。相关成果在NIST SP 1800-14《网络路由的完整性保护:边界网关协议(BGP)路由起源验证》指南中。
7)传输层安全(TLS)
传输层安全(TLS)是一种加密协议,目的是向计算机网络上的两个或多个计算机应用程序之间的通信提供隐私和数据完整性。TLS已广泛用于许多常见应用程序中,包括Web浏览、电子邮件、即时消息传递。网站通常使用TLS来确保服务器和Web浏览器之间的通信安全。在传输层安全(TLS)的研究方面,NCCoE启动了一个项目,该项目使用商业上已成熟的技术来演示依赖传输层安全性(TLS)的大中型企业如何通过以下方式保护面向客户和内部的应用程序,以更好地管理TLS服务器证书:
- 定义操作和安全策略,并明确角色和职责;
- 建立全面的证书清单和权限跟踪;
- 持续监控证书的运行和安全状态;
- 自动化证书管理,以最大程度地减少人为错误并提高效率;
- 当发现密码机制弱、受损或易受攻击时,可以快速迁移到新的证书和密钥。
2.8 新兴技术
在新兴技术领域,NIST一直致力于推动创新,并支持人工智能和物联网(IoT)等新兴技术和优先领域的网络安全和隐私研究。
1)物联网(IoT)网络安全
推进物联网标准、指南和相关工具的开发和应用,以改善互连设备及其部署环境的网络安全。
a)发布NISTIR 8228,《物联网(IoT)网络安全和隐私风险管理的注意事项》,该报告为联邦机构和其他组织提供了指导,帮助他们更好地理解和管理与这些设备的整个生命周期内的单个IoT设备相关的风险。它解决了降低风险的三个高级目标:设备安全性、数据安全性和个人隐私。此报告为后续有关该主题的一系列计划出版物提供了基础。
b)发布NISTIR 8259 , 该报告规定了IoT设备制造商可能会自愿采用的网络安全特性基线,以用于其生产IoT设备,还提供了有关制造商如何识别和实现基线之外最适合其客户的特性信息。
c)发布NISTIR 8267, 《消费者家庭物联网(IoT)产品安全审查》,其中介绍了对各种“智能”产品(例如,智能灯泡、安全摄像头和门铃)的安全性进行技术评估。
2)人工智能(AI)
基于人工智能技术的系统正在给商业、医疗保健、交通和网络安全等领域带来革命性的变化。由于人工智能有可能影响包括社会经济在内的几乎社会各个方面,因此必须以可信赖的方式开发人工智能,以确保可靠性、安全性和准确性。在人工智能方向,NIST正在开发严格的科学测试以确保安全可靠的AI。
a)根据第13859号行政命令制定计划,保持美国在人工智能领域的领导地位,优先考虑联邦机构参与人工智能标准的制定,让美国加快可靠、健壮和可信赖的AI技术发展的步伐,在开发或使用AI的机构之间加强与AI标准相关的知识、领导力和协调,促进对AI系统的可信度的重点研究;
b)发布NISTIR 8269,《对抗性机器学习(AML)的分类和术语》,该报告为后续评估和管理机器学习安全提供了标准和最佳实践;
c)加强“衡量和增强AI系统的安全性和可解释性”方面的基础研究,此外,NIST发起了AI访问学者计划,将人工智能和机器学习领域的顶尖学者邀请到NIST,分享他们的知识和经验,并提供技术指导;
d)NCCoE开发用于评估AI模型脆弱性的测试平台,并开发度量指标和最佳实践。
2.9 先进的安全测试和测量工具
在安全测试和测量工具领域,NIST创建了测试参考数据,用于开发灵活、开放的测试标准。
1)自动化组合测试
由于软件具有的复杂性使得想要及时地进行漏洞测试变得困难和昂贵,工程师们经常会遇到由于组件之间未预料到的交互而导致的安全故障。如果一个系统中的所有故障都可以通过结合已知数量参数的测试方法来触发,那么将这些参数集与实际的数量参数进行测试可以提供强大的故障检测效率。这些方法被应用于软件和硬件的可靠性、安全性测试当中,NIST的重点是研究实验测试结果及其对实际问题的影响。NIST通过开发和演示用于生成非常大(> 2000个变量)测试数组的方法来推进此类测试。业界正在使用此工具来评估其商业产品测试套件的质量。
2)国家漏洞数据库(NVD)
NVD是一个综合的网络安全漏洞数据库,跟踪漏洞发现的趋势,使用户能够评估特定产品的安全性以及了解相关的漏洞信息。NVD数据部署在全球数千家机构的商业安全产品中,用以提高产品性能。NIST负责维护NVD存储库中的可用信息,并及时评估新的和不断发展的漏洞数据。另外,还发布了NISTIR 8246,《国家漏洞数据库(NVD)常见漏洞和披露(CVE)编号颁发机构(CVAs)和授权数据发布者的元数据提交指南》。
3)开放式安全控制评估语言(OSCAL)
OSCAL由可扩展标记语言(XML)、JavaScript对象表示法(JSON)和YAML非标记语言组成,开发该语言的目的是使机器能够读懂控制目录、控制基线、系统安全计划、评估计划和结果的表示。
4)网络风险分析
在网络风险分析方向,主要是研究如何促进风险所有者之间能够共享有关历史、当前和未来的网络风险状况信息,在这方面的成果主要包括研究可用于开发协作网络事件数据和分析资源库(CIDAR)的方法和工具,该资源库结合了来自多个数据库的数据,并可视化的展示网络相关事件的规模和趋势。以及还在研究新数据摄入的自动化和预测功能,以匹配数据集之间的网络事件条目。
5)计算机取证工具测试(CFTT)
计算机取证工具测试的目的是确保计算机取证工具的可靠性。在这个方向,NIST取得了几个关键的进展。
a)开发了针对移动设备的新测试规范:“移动设备取证工具规范”、和“测试用例”。与国土安全部合作,测试了多种用于磁盘映像、写入拦截、字符串搜索、Windows注册表和移动设备获取的数字取证工具。
b)开发了联合测试方法。联合测试的开发目的是使第三方能够在自己的实验室中使用NIST测试方法并生成标准化的测试报告。
c)开发了计算机取证参考数据集(CFReDS),CFReDS是各种文档化数字证据集的存储库。
d)开发了取证工具目录,取证工具目录是一个基于web的、综合了多个取证工具的目录。工具目录在2019年增加了两个功能(实时响应和事件响应取证跟踪和报告)和63种新工具条目,总共315种工具。
6)国家软件参考库(NSRL)
NSRL旨在从各种来源收集软件,并将通过该软件计算出的配置文件合并到信息的参考数据集(RDS)中。执法机构、政府和行业可以使用RDS通过匹配RDS中的配置文件来审查计算机文件。在2019年,这个国家软件参考库的数据集已经扩大到包含来自3万个微型计算机应用程序、16.9万个移动设备应用程序、3700个游戏平台应用程序。
写在最后
NIST在以上九大领域的研究成果值得我们参考和学习,从2018年至今,这几个领域的研究方向进行过调整和重心转变,以下是NIST 2018年的各领域对应的研究方向:
然后,为了能够清晰的看出变化和重点方向,我把之前发出来的框架图从新放这里,大家可以对比一下。
最后,本篇文章并没有往深处去讲,而是从宽度来拓展,主要是对这些领域有一个了解,每一个方向进去都有很深的知识需要学习。
来源:freebuf.com 2020-11-16 13:21:39 by: xxx幸xxx
请登录后发表评论
注册