08-32:弹性,到底经历了哪些重要里程碑?
你好,我是你的朋友晓兵。又到了周四的时间,这里是锐安全《安全到底》栏目的第171篇、总第230篇原创文章《弹性范式到底经历了哪些重要里程碑?》,今天大约需要4分钟时间,希望能给你带来启发。
如果听录音,这大概是最无聊的一篇文章,如果看内容,你对“弹性”可能会有一个更加完整的认识。
全球知名的安全盛会RSAC2021年的口号是“Resilience”,让“弹性”这一说法成为一个世界热词。
细究“弹性架构”一词的来源,大致源于独立顾问公司MITRE,从目前掌握的材料来看,这一提法最早出现在2010年。
MITRE公司拥有世界知名的漏洞库CVE(Common Vulnerabilities& Exposures)和世界知名的攻击知识库“ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge )”。
它的资助方也非常出名,一个是美国国土安全部(U.S. Department of Homeland Security,DHS),一个DHS下属网络安全和基础设施安全局(Cybersecurity andInfrastructure Security Agency,CISA)。
在MITRE的最早资料里,对弹性架构的定义是指:在面对不确定性和变化时,能够灵活适应并持续提供稳定服务的系统架构。这种架构具有一定的自我修复和自我保护能力,能够在遭受攻击或出现故障时,快速恢复并维持正常运行。
“弹性”是大家梦寐以求的计算范式,下面咱们就看一看跟“弹性”相关的重要里程碑。
2010年10月1日,MITRE发布《为网络任务保障构建安全、有弹性的体系结构(BuildingSecure,Resilient Architectures for Cyber Mission Assurance)》;
2011年1月1日,MITRE发布《网络弹性工程框架(cyber resiliencyengineering framework)》,并于2015年3月15日,将该框架更新为《网络弹性工程辅助—更新的网络弹性工程框架和网络弹性技术应用指南(Cyber Resiliency Engineering Aid—The Updated Cyber ResiliencyEngineering Framework and Guidance on Applying Cyber Resiliency Techniques)》;
2016年3月6日,MITRE发布《风险管理框架与网络弹性(the risk managementframework and cyber resiliency)》;
2016年3月16日,MITRE发布《结构化网络弹性分析方法(structured cyberresiliency analysis methodology)》;
2017年3月22日,MITRE发布《网络弹性设计原则(cyber resiliency designprinciples)》;
2018年9月3日,MITRE发布《网络弹性指标目录(cyber resiliency metricscatalog)》和《网络弹性指标、有效性度量和评分(cyber resiliency metrics,measures of effectiveness, and scoring)》;
2018年,美国国防部在《国防部网络战略2018》中提出“提升美国关键基础设施弹性”的战略途径;
2018年,美国国土安全部和情报总监办公室发布《网络弹性和响应-2018分析交流计划》;
2019年11月,美国国家标准和技术协会NIST正式发布SP800-160(卷2)《开发网络弹性系统:一种系统安全工程方法(Developing Cyber Resilient Systems-A Systems Security EngineeringApproach)》;
2019年11月,美国国土安全部和国务院共同发布《关键基础设施安全和弹性指南》;
2020年,兰德公司发布报告《度量网络空间安全和网络弹性》;
2021年12月24日,中国软件行业协会发布《系统安全工程网络弹性构建指南》;
2022年9月15日,欧盟委员会发布网络安全法规提案《网络弹性法案》(Cyber Resilience Act,CRA);
2023年1月,紫金山实验室发布《基于系统架构评估的网络弹性度量技术白皮书》;
2023年3月15日,MITRE发布《关键操作的自适应网络弹性(adaptive cyberresiliency for critical operations)》;
2024年1月5日,MITRE发布《网络弹性框架和网络存活属性(cyber resiliencyframework and cyber survivability attributes)》。
恭喜你,又看完了一篇文章。从今天起,和我一起洞察安全本质,这里是锐安全,今天就到这里,咱们下周四再见。
[1] 锐安全.“Log4j2”启示录:新合规框架下的对抗新模式,2022-02-07.https://mp.weixin.qq.com/s/6TPdVH74PxABJFozcrmvXQ
[2] MITRE.building secure, resilientarchitectures for cyber missionassurance,2010-10-01.https://www.mitre.org/news-insights/publication/building-secure-resilient-architectures-cyber-mission-assurance
[3] MITRE.Building Secure, Resilient Architectures for Cyber Mission Assurance,2010-10-29.https://www.mitre.org/news-insights/publication/building-secure-resilient-architectures-cyber-mission-assurance
[4] MITRE.cyber resiliency engineeringframework,2011-01-01.https://www.mitre.org/news-insights/publication/cyber-resiliency-engineering-framework
[5] MITRE.Cyber Resiliency Engineering Aid—TheUpdated Cyber Resiliency Engineering Framework and Guidance on Applying CyberResiliency Techniques,2015-03-15.https://www.mitre.org/news-insights/publication/cyber-resiliency-engineering-aid-updated-cyber-resiliency-engineering
[6] MITRE.cyber resiliency designprinciples,2017-03-22.https://www.mitre.org/news-insights/publication/cyber-resiliency-design-principles
[7] MITRE.cyber resiliency metricscatalog,2018-09-03.https://www.mitre.org/news-insights/publication/cyber-resiliency-metrics-catalog
[8] MITRE.cyber resiliency metrics, measures ofeffectiveness, andscoring,2018-09-03.https://www.mitre.org/news-insights/publication/cyber-resiliency-metrics-measures-effectiveness-and-scoring
[9] MITRE.the risk management framework and cyberresiliency,2016-03-06.https://www.mitre.org/news-insights/publication/risk-management-framework-and-cyber-resiliency
[10] MITRE.structured cyber resiliency analysismethodology,2016-03-16.https://www.mitre.org/news-insights/publication/structured-cyber-resiliency-analysis-methodology
[11] MITRE.adaptive cyber resiliency for criticaloperations,2023-03-15.https://www.mitre.org/news-insights/impact-story/adaptive-cyber-resiliency-critical-operations
[12] E安全.解析RSAC 2021(附大会PPT下载), 2021-05-25.https://www.secrss.com/articles/31427
[13] 中国软件行业协会.系统安全工程 网络弹性构建指南,2021-12-24
[14] 信通院知产中心.中国信通院张俊霞:欧盟《网络弹性法案》简介及借鉴意义,2023-04-10.https://weibo.com/ttarticle/p/show?id=2309404889010551259425
[15] 2023.1-紫金山实验室 - 基于系统架构评估的网络弹性度量技术白皮书.pdf
[16] MITRE.cyber resiliency framework and cybersurvivabilityattributes,2024-01-05.https://www.mitre.org/news-insights/publication/cyber-resiliency-framework-and-cyber-survivability-attributes
- 08-33:引入弹性架构,到底是为什么?3403:59
- 08-32:弹性,到底经历了哪些重要里程碑?2604:34
- 08-31:自主计算在网络安全领域到底如何应用?3104:29
- 08-30:自主计算:到底如何帮助企业实现技术与业务的无缝对接?4404:32
- 08-29:可信计算到底有啥用?3704:15
- 08-28:可信计算到底有什么故事?8105:12
- 08-27:当我们谈论风险时,到底是在谈什么?7004:48
- 08-26:2024年2月29日星期四:28年前后的安全世界到底长啥样?8704:05
- 08-25:安全方法论总论:安全方法论到底有什么用?6004:34
- 08-24:数字安全范式全景图的八个认知到底知多少?6704:22
© 2014-2024 喜马拉雅 版权所有
本来以为能学点新东西,结果感觉不尽如人意,课题扯得有点远。
晓兵Jason 回复 @老俊杰: 本来是想着把安全架构里的要素都分析一下,可能架子拉得太大了,我也收一收