为您解读CSA成果丨《物联网安全控制框架》&《物联网安全控制框架指南》

原创 已于 2022-04-20 16:28:08 修改 · 541 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#CSA #物联网

于 2022-04-20 14:55:13 首次发布
本文介绍了CSA大中华区发布的最新物联网安全控制框架,帮助企业组织评估和实施物联网系统安全,涵盖部署、控制措施分类、新域结构和目标受众。第2版强调简化与增强安全性,适用于不同价值等级的物联网系统并关注未来改进方向。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在信息社会中,物联网作为新兴产业已经演变成个体寻常生活体系不可缺少的成分。现阶段,物联网信息安全性问题受到社会高度重视,同时其也与物联网事业可持续发展相关联。企业对物联网生成的数据和功能的依赖正在迅速增加,要求采用这些新技术的企业不断增多,这些企业组织需要规划可访问、安全和弹性的部署形式。

2022年3月9日,CSA 大中华区正式颁布了《物联网安全控制框架》及配套《物联网控制框架指南》成果。《物联网安全控制框架指南》解释了企业组织如何使用《物联网安全控制框架》安全的评估和实施物联网系统。为希望更好地理解和实施其物联网体系结构中安全控制项的组织提供了一个起点。

《物联网安全控制框架指南》解释了企业组织如何使用《物联网安全控制框架》安全的评估和实施物联网系统。希望架构建设以及关键技术应用,在维护与强化物联网安全性方面有所帮助。

框架适用场景

《物联网安全控制框架》用于部署各种互联设备和相关云服务、网络技术和应用软件的企业物联网系统。该框架在许多物联网领域都具有效用,从只处理影响力有限的“低价值”数据系统到支持关键服务的高敏感系统。系统所有者根据存储和处理的数据价值以及各种潜在的物理安全威胁影响对组件进行分类。

该框架帮助用户确定适当的安全控制项,并将其分配给特定的体系架构组件,包括:设备、网络、网关、云服务。 在这个架构中,分配给每一层的控制项代表最佳情况的安全布局。

在某些情况下,架构组件无法实现此框架中实现建议的某些控制项。在这种情况下,系统安全架构师应识别这些缺陷,并制定计划,使用替代措施降低剩余风险。

实现目标

《物联网安全控制框架》提供了一个工具,用于评估实施在贯穿开发生命周期的安全性,以确保他们符合行业指限定的最佳实践。

目标受众

《物联网安全控制框架》是系统架构师、开发人员和安全工程师的一个资源,用来设计安全的物联网生态系统。物联网系统评估人员(如审计师和渗透测试人员)可以利用该框架来验证控制及其部署的实施情况。

版本说明

  • 历史版本:《物联网安全控制框架》第1版
    引入了155个基本级别的安全控制措施,以减轻物联网系统在各种威胁环境中面临的许多风险。
  • 当前版本:《物联网安全控制框架》第2版
    对比第1版框架,优化控制措施归类到一组全新的域中,并最大限度地减少了分配给物联网架构内的组件的控制措施。
  • 重要的变化:包括开发了全新的域结构和基础设施。
  • 更新的控制:为了保证技术清晰,所有的控制措施都经过了审核和更新。
  • 全新的域结构:审查和更新了控制域,以 更好地分类控制措施。
  • 新的法律领域:引入相关的法律控制措施。
  • 新的安全测试域:引入架构分配的安全测试。
  • 简化基础设施分配:将设备类型合并到一个单一类别,简化对架构组件分配控制措施。

延展方向

《物联网安全控制框架》第3版将包括以下值得注意的改进:

  • 物联网框架的共享责任矩阵
  • 安全所特定的控制措施

最新研发动向,敬请持续关注云安全联盟CSA公众号新闻动态。

在这里插入图片描述

点击获取《物联网安全控制框架指南(第二版)》电子资料

安全物联网参考架构
云上笛暮
10-13 2021
【导言】The SERIOT Project,一个由欧盟委员会花费4.999.083,75€(约合人民币4000万),基于中国主导的国际物联网参考体系结构-《ISO/IEC 30141:2018Internet of Things (loT) — Reference Architecture》,而成立的为解决物联网安全的项目。该项目旨在提供一个有用的开放和参考框架,用于实时监控通过IoT网络内的异构IoT平台交换的流量,以便识别可疑模式,对其进行评估并最终决定检测安全漏洞,隐私威胁和异常事件,同时提供可在后
云平台领域 CASB 安全防护机制大揭秘
最新发布
AI云原生与云计算技术学院
05-11 692
随着云计算技术的快速发展,越来越多的企业将业务迁移到云平台上。然而,云环境的开放性和复杂性给企业数据安全带来了诸多挑战。本文的目的在于深入剖析 CASB 安全防护机制,涵盖其核心原理、技术实现、实际应用等方面,为企业在云平台安全防护方面提供全面的参考。本文将按照以下结构进行阐述:首先介绍 CASB 的核心概念联系,包括其定义、架构和工作原理;接着详细讲解 CASB 核心算法原理及具体操作步骤,并给出相应的 Python 代码示例;然后介绍 CASB 涉及的数学模型和公式,并进行详细讲解和举例说明;
CSA云安全架构指南v3.0.1
05-15
CSA云安全架构指南v3.0.1请大家仔细的阅读
信息安全技术——(八)物联网安全架构基础设施
m0_63853448的博客
09-27 3405
云计算平台可以划分为三类:以数据存储为主的存储型云平台,以数据处理为主的计算型云平台以及计算和数据存储处理兼顾的综合云计算平台。传感器是一种检测装置,能感受到被测的信息,并能将检测感受到的信息,按一定规律变换成为电信号或其他所需形式的信息输出,以满足信息的传输、处理、存储、显示、记录和控制等要求。互联网(internet),又称国际网络,指的是网络网络之间所串连成的庞大网络,这些网络以一组通用的协议相连,形成逻辑上的单一巨大国际网络。感知层的任务是全面感知外界信息,或者说是原始信息收集器。
Day1---D0:CSA云安全指南v4.0--架构
weixin_34303897的博客
10-31 338
今天开始深入学习和理解CSA云安全指南,第一天先把大概架构了解一遍,做了一张思维图:
第2章 物联网安全技术框架 -《物联网安全导论》(1).pdf
09-04
第2章 物联网安全技术框架 -《物联网安全导论》(1)
零信任网络安全——软件定义边界SDP技术架构指南
xiaoshuaca的博客
07-01 5024
基本原理+应用场景+落地实施,结合国内特点进行零信任架构技术指导。 近年来,国内信息通信技术(ICT)发展迅速,各企业将新技术应用于商业环境,推动了其数字化应用发展。此同时,也出现了许多信息安全方面的问题,如用户信息泄露和盗用、病毒引起的数据丢失、外部攻击导致的业务停顿等,对企业和社会的发展产生了极大影响。确保企业日益复杂的IT系统能够长期、安全、可靠运转成为众多企业IT决策者面临的巨大挑战。另外,随着以《中华人民共和国网络安全法》颁布为标志的一系列法律法规及各类标准的推出,网络安全上升为重要国家战略
供应链安全管理:在新加坡《网络安全法》下的风险控制
接着,文章提供了供应链安全管理的实践指南,包括策略制定、技术应用、以及合规性要求的满足。通过国内外案例分析,本文总结了供应链安全管理成功的关键要素面临的挑战。最后,文章展望了供应链安
【安全指南】:LED点阵风扇设计中的电气安全考虑
[【安全指南】:LED点阵风扇设计中的电气安全考虑](https://image.easyeda.com/histories/f96d50dd5e3e44d895f5c4a6bdbeefb1.png) 参考资源链接:[北邮数电实验:LED点阵风扇设计实现,温控定时功能]...
逐一解读Gartner评出的11大信息安全技术
weixin_33672400的博客
03-05 1359
[最后修订@2018-10-29]【序】本文首发于Sec-UN,现在本人博客发表,并做了几处勘误。而在更早前,曾经写过一篇题为《Gartner: 2017年11大信息安全技术(解读版)》的文章,当时对17年新入选的6个技术做了一些介绍。而本人则将11个技术逐一进行了一番解读,并简述了国内的对应发展现状。对于17年新入选的6个的解读也更加细致。当时那个文章主要是传播Gartner总结出来的新技术,而...
CSA 企业安全架构
08-09
云安全联盟(CSA)发布的 企业大数据安全架构建议,从应用安全,基础设施安全,安全监管等多方面给出建议.
云安全架构设计
08-17
云安全架构设计
物联网安全防护框架评估模型
u010708922的博客
07-21 2802
本文转载自公众号 赛博朔方 原文链接:物联网安全防护框架评估模型 物联网发展速度到底有多快?我们看看下面这张图就知道了。图中可以看到2008年是一个转折点:全球物联网设备数量超过了全球人口。相比于电力和电话,物联网的普及率是他们的五倍!为物联网井喷式发展作助攻的是基于消费者的平板电脑和笔记本电脑联网的IPv4(即信息技术(IT))逐渐转变为基于运营技术(OT)的机器机器交互的IPv...
CSA云安全指南V4.0 D1 D2
sherlockmj的博客
07-28 308
CSA云安全指南V4.0 D1 D2CSA云安全指南V4.0 D1 D2D1:云计算概念和体系架构定义云计算云逻辑模型基础设施元结构信息结构应用结构云概念、架构和参考模型IAASPAASSAAS云安全性和合规管理范围、职责和模型软件即服务平台即服务基础设施即服务共享责任云安全模型概念模型或框架控制模型或框架参考架构设计模式推荐模型云安全流程模型运行域管理域D2:治理企业风险管理云治理的工具合同供应商评估合规报告企业风险管理(ERM)风险容忍度服务模式和部署方式的影响公有云私有云混合云评估云风险云风险管理的
CSA《企业架构参考指南》实现安全、效率和运营,最佳实践指南
CCSA2018的博客
02-17 1303
指南对企业架构建设、优化和运营实践的指导意义,在于他抽取、吸收了TOGAF、ITIL、SABSA、Jericho、NIST SP 500-299、 NIST SP 500-292、ISO 27001、ISO 27002等系列框架理论的精要,从而使得在云大物移环境下,企业架构的高效搭建运行既拥有了理论框架,又有了可查找的实践行动。可服务于对安全、效率和运营有持续优化诉求的大中小企业,指南聚焦实践,沉淀知识,对于企业管理者和IT、业务、运营、安全的负责人能够快速学习,定位问题,抓住要领,快速实践。
CSA研讨会 | 研讨零信任SASE安全架构,吉利控股首谈其部署方案
CCSA2018的博客
08-04 1594
在最后《企业SASE安全架构讨论》的圆桌环节,网络安全专家聂君提到,SASE并不局限于某个行业,比如互联网金融,相比传统银行 IT 环境,它所带来的云计算环境中面临了更多来自开放环境带来的安全挑战,如对外开放接口增多,远程办公需求增多,精细化访问控制能力要求等等,而通过零信任SASE架构来交付,能够一站式解决这些问题。伴随着云化在我国企业的普及,云化阶段的不断演进,SASE架构在我国的接受度也会越来越高,零信任SASE架构带来的多级容灾负载、弹性扩容等优势,将给业内带来一场新的安全技术革命。...
云安全联盟CSA之《云安全指南》3.0浅析
lionzl的专栏
09-02 4114
云安全联盟CSA之《云安全指南》3.0浅析 July 9th, 2012Richard Leave a commentGo to comments 转贴一篇我的同事田民的文章,此文发表于今年第一季度的技术内刊。田民同学很有可能是国内第一个CCSK,感兴趣考试CCSK的同学们,可以和他联系取取经。:) 摘要:在众多CSA已发布的研究文献中,《云安全指南》无疑是其中最具影响力的。在当前尚无一个
社区安全分析(CSA):开启云安全新时代
gitblog_00674的博客
09-12 364
社区安全分析(CSA):开启云安全新时代 项目介绍 在当今数字化转型的浪潮中,云安全已成为企业不可忽视的重要议题。社区安全分析(Community Security Analytics, CSA) 项目应运而生,旨在为组织提供一套社区驱动的安全分析工具,帮助审计云使用情况并检测对数据和工作负载的威胁。CSA 特别针对 Google Cloud 环境,提供了一系列预构建的查询和规则,适用于检测工程师...
云安全联盟CSA:云安全7个致命的安全风险
lionzl的专栏
09-02 3169
云安全联盟CSA:云安全7个致命的安全风险 导读]在RSA 2010大会上,云安全成为了众人关注的焦点,去年成立的云安全联盟CSA一直以来提倡保障云环境安全的最佳做法并对用户对云怎样确保计算安全的疑问进行教育。为此,CSA列出了7个最大的安全威胁。   在RSA 2010大会上,云安全成为了众人关注的焦点,去年成立的云安全联盟CSA一直以来提倡保障云环境安全的最佳做法并对用户对云怎
kill chain 模型如何学习
02-28
<think>嗯,用户之前让我介绍了信息安全的基础知识,现在他们问的是关于kill chain模型的学习方法。我需要先确定他们是否已经了解kill chain的基本概念,还是从零开始。根据之前的对话,用户是安全小白,所以可能需要先解释kill chain是什么,然后再给出学习方法。 首先,kill chain模型,也就是网络杀伤链,是Lockheed Martin提出的,用于描述攻击的各个阶段。可能用户在学习攻击和防御策略时需要这个模型。他们可能想了解如何逐步学习这个模型,或者如何应用在实际中。 用户的需求可能包括:理解kill chain的各个阶段,如何利用它进行防御,以及实际的学习资源和实践方法。需要结构清晰,分步骤讲解,可能还要推荐学习资料和实战练习。 接下来要考虑如何组织信息。可能先介绍kill chain的基本概念,然后分步骤讲解学习方法,比如理解每个阶段、分析案例、模拟攻击等。同时,结合用户之前的信息安全基础,可能需要关联到CIA三元组,或者之前提到的防御措施。 要注意避免使用过于专业的术语,保持解释的易懂性。可能需要举例说明每个阶段的具体攻击手法和防御策略,比如在侦察阶段攻击者会做什么,防御者如何应对。此外,推荐一些实践平台,比如Hack The Box,或者使用工具进行模拟攻击,帮助用户实际操作。 还要考虑用户可能的误区,比如只关注攻击阶段而忽略防御措施,或者不理解各阶段之间的联系。需要指出这些误区,并给出正确的学习方法,比如结合ATT&CK框架,或者分析真实攻击事件。 最后,总结学习路径,推荐书籍、在线课程,以及认证路径,帮助用户规划学习路线。确保回答结构清晰,有步骤、有实例、有资源推荐,适合小白逐步学习。</think>以下是针对网络安全杀伤链(Kill Chain)模型的学习指南,结合攻防实战视角的递进式学习方法: --- ### 一、理解基础框架(2小时) #### 1. 原始七阶段模型 ```mermaid graph LR 侦察(Reconnaissance) --> 武器化(Weaponization) --> 投递(Delivery) 投递 --> 漏洞利用(Exploitation) --> 安装(Installation) 安装 --> 控制(Command & Control) --> 行动(Actions on Objectives) ``` #### 2. 现代演进版本 - **MITRE ATT&CK框架**:将传统线性杀伤链扩展为**战术-技术-子技术(TTPs)**三维模型 - **Unified Kill Chain**:整合Lockheed Martin和MITRE模型,形成28个攻击节点 --- ### 二、关键学习步骤 #### 阶段1:逐层拆解攻击链(推荐工具辅助) - **侦察阶段**: - 使用Maltego收集目标域名/IP关联信息 - 通过Shodan搜索暴露的物联网设备 ```bash shodan search http.title:"Hikvision" ``` - **武器化阶段**: - 在VirusTotal分析恶意文档宏代码 - 使用Veil-Evasion生成免杀payload - **投递阶段**: - 模拟钓鱼邮件:搭建Gophish测试平台 - 分析恶意附件:使用Any.Run沙箱 #### 阶段2:防御视角逆向推演 ```python # 示例:检测C2通信的简单规则(Suricata语法) alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"Possible C2 Beaconing"; flow:established,to_server; content:"|00 00 00 01|"; depth:4; threshold:type both,track by_src,count 5,seconds 60; sid:1000001;) ``` #### 阶段3:实战案例分析 **WannaCry勒索病毒杀伤链还原**: 1. 利用永恒之蓝漏洞(Exploitation) 2. 安装DoublePulsar后门(Installation) 3. 连接硬编码域名开关(C2) 4. 横向移动+加密文件(Actions) --- ### 三、学习资源推荐 #### 1. 可视化工具 - **Attack Flow**(MITRE官方工具):https://attackflow.mitre.org - **UAC**(杀伤链分析平台):https://unifiedkillchain.com #### 2. 靶场练习 - **Blue Team场景**: - 在LetsDefend.io完成"Detect C2 Traffic"实验 - 使用Splunk分析ATT&CK T1059.003(PowerShell攻击日志) - **Red Team场景**: - 在TryHackMe完成"Kill Chain"房间任务 - 使用Cobalt Strike模拟完整攻击链 #### 3. 经典文献 - 《Intelligence-Driven Computer Network Defense》by Hutchins et al. - MITRE ATT&CK技术矩阵中文解读版(安恒威胁情报中心发布) --- ### 四、常见认知误区纠正 | 误区 | 修正建议 | |------|----------| |"杀伤链是线性过程"| 现代攻击多为循环迭代,需关注**循环杀伤链(Cyber Kill Chain 2.0)** | |"防御只需阻断任一环节"| 需构建**纵深防御体系**,如:<br>- 外层:防火墙阻断扫描<br>- 中层:EDR检测可疑进程<br>- 内层:UEBA识别异常登录 | |"ATT&CK框架替代杀伤链"| ATT&CK是战术级知识库,需杀伤链的**战略视角**结合使用 | --- ### 五、认证学习路径建议 ``` 基础:CompTIA CySA+(侧重分析) → 进阶:EC-Council CSA(实操模拟) → 高阶:SANS SEC555(杀伤链防御工程) ``` 建议搭配《红队实战演练》类课程(如SANS SEC564),通过复现APT29等组织的完整攻击链,掌握从钓鱼投递到横向移动的全流程对抗方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值