正文

历经十年,美国网络安全框架CSF迎来重大升级

admin
admin V管理员 /0 评论 /154 阅读
0307
此篇文章发布距今已超过197天,您需要注意文章的内容或图片是否可用!

1、序言

2024年2月26日,美国国家标准与技术研究院(NIST)对广泛使用的网络安全框架(Cybersecurity Framework,简称“CSF”)进行重要更新,自2014年发布的网络安全框架CSF1.0,历经十年以后,迎来了重大更新。

新的CSF2.0版本极大扩展了适用范围,重点关注治理和供应链问题,并提供了丰富的资源以加速框架实施。CSF2.0旨在为所有受众、行业领域和组织类型提供参考,不论组织的网络安全成熟度如何皆可适用,涵盖了从最小型的学校、非营利性组织到最大的集团型企业与机构,旨在更有效地减少网络安全风险。

2、NIST介绍

美国国家标准与技术研究院(National Institute of Standards and Technology,NIST)的前身为美国国家标准局,现直属美国商务部,从事物理、生物和工程方面的基础和应用研究,以及测量技术和测试方法方面的研究,提供标准、标准参考数据及有关服务,在国际上享有很高的声誉。

NIST在信息技术与网络安全方面主要有九大重点研究领域,分别是:网络安全和隐私保护,风险管理,密码算法及密码验证,前沿网络安全研究及应用开发安全,网络安全意识、培训、教育及劳动力发展,身份和访问管理,通信基础设施保护,新兴技术,安全测试和测量工具研究。   

从历史数据看,NIST的大部分输出物主要是为美联邦政府机构开发,这些机构根据法规和政策来使用该研究院所出版的网络安全标准和指南。虽然说是为政府机构开发,但是,在美国,许多私营部门的网络安全从业人员、产品供应商和集成商、州和地方机构、以及其他看到NIST信息和服务价值的人也都在广泛地使用并依赖于NIST的研究成果。实际上,这些研究成果多年来也一直是全球其他国家在网络安全标准编写过程中的重要参考。

3、CSF2.0详解

3.1 CSF的历史

2013年2月12日,美国发布第13636号行政命令(EO)—“改善关键基础设施网络安全”。NIST自此开始与美国私营部门合作,旨在“确定现有的自愿共识标准和行业最佳实践,以将其构建成网络安全框架”。

2014年2月12日,NIST发布《改进关键基础设施网络安全框架》(the Framework for Improving Critical Infrastructure Cybersecurity)1.0版。

2018年4月,CSF更新为1.1版本,题为《Framework for Improving Critical Infrastructure Cybersecurity》。此框架以风险为基础,由框架核心(the Core)、框架实现层(Implementation Tiers)、概要(Profiles)三个主要组件组成。   

2024年2月26日,发布10年之久的CSF迎来了重大更新,版本升级为V2.0。

3.2 CSF2.0的主要升级

  • NIST CSF2.0进一步扩大了目标受众,不再只针对关键基础设施领域组织,而是面向几乎所有受众、行业部门和组织类型,从最小的学校和非营利组织到最大规模的机构、公司和国家关键基础设施,无论其网络安全系统的复杂程度如何;

  • NIST CSF2.0的核心部分进行了更新,“治理”成为核心功能,包括组织如何制定和执行有关网络安全策略的决策,并强调网络安全是企业风险的主要来源,高级领导者应将网络安全与财务和声誉等其他风险一起考虑;

  • NIST CSF2.0的实施路径变的更加丰富,提供了实施框架所需的大量工具和指导资源。其中还包括针对特定受众的快速入门指南,企业安全最佳实践案例,以及可搜索的信息参考目录等资源等,用户可以将这些资源与其他50多个网络安全文件进行交叉参考。

3.2.1适用范围变大:从关键基础设施扩大到所有组织

网络安全框架2.0版本被美国总统拜登的《国家网络安全战略》和几项新兴政府网络安全政策声明引用,其关注范围从保护关键基础设施(例如医院和发电厂)扩展到所有行业的组织,从最小的学校和非营利组织到最大规模的机构、公司和国家关键基础设施,无论其网络规模如何,网络安全系统的复杂程度如何,均可参照CSF2.0,按照其提供的工具和指导资源,加强自身的网络安全建设,降低网络安全风险。

为此,新框架版本放弃了之前版本使用的“改进关键基础设施网络安全框架”的名称,改为“网络安全框架(CSF)”。   

3.2.2核心功能增加:增加了第六个关键功能——“治理”

CSF 1.1版本已经针对IPDRR功能提供了较为全面的定义

CSF 2.0最重要的结构性变化是增加了第六个关键功能——“治理GOVERN”,此前版本的五个关键功能“识别IDENTIFY”、“保护PROTECT”、“检测DETECT”、“响应RESPOND”和“恢复RECOVER”都围绕着该功能展开。

“治理”的定义:治理(GV)功能是跨领域的,并提供结果以告知组织将如何在其使命和干系人期望的背景下实现其他五个功能的结果并对其进行优先级排序。治理活动对于将信息安全纳入组织更广泛的企业风险管理策略至关重要,且对组织环境的理解,信息安全战略的制定与信息安全供应链风险管理,角色、职责和权限,政策、过程和程序,以及对信息安全战略的监督都具有很强的指导作用。

“治理”涵盖的内容包含组织环境和风险管理的各个方面:

  • 风险管理策略
  • 信息安全供应链的风险管理
  • 角色,责任及授权
  • 政策,过程及步骤
  • 监管

NIST表示,增加“治理”功能的目的是将所有网络安全风险管理活动提升到组织的高管和董事会层面。“我认为2.0版本的一大亮点是将治理提升为一个功能,”网络安全公司CyberSaint的创始人兼首席创新官Padraic O’Reilly指出:“我认为现在业界已经普遍认识到,如果没有积极的治理参与,网络安全工作就只会原地打转。”    

3.2.3关注重点扩展:供应链安全受到更多重视  

随着企业网络基础设施和业务需求不断增长,供应链管理和攻击面管理面临越来越大的安全挑战,加上云计算、人工智能、物联网和移动设备等新技术广泛应用,进一步增大了供应链和攻击面的规模和范围,最终导致全球范围内供应链攻击数量呈稳步增长趋势。最为典型的供应链攻击就是SolarWinds 攻击,其被视作几年来规模最大的供应链攻击,尤其是从受影响实体中包括政府组织机构和大型企业来看更是如此。

为了应对日益增多的供应链攻击,CSF2.0整合并扩展了1.1版本中的供应链风险管理成果,并将其中大部分归入“治理”功能之下。框架指出,“鉴于该生态系统复杂且相互关联,供应链风险管理(SCRM)对组织至关重要。网络安全供应链风险管理(C-SCRM)是一个系统化的过程,用于管理整个供应链中的网络安全风险暴露,并制定适当的响应策略、政策、流程和程序。网络安全框架C-SCRM类别[GV.SC]下的子类别提供了一种将纯粹关注网络安全和关注C-SCRM的成果联系起来的方式。”

将供应链风险管理纳入“治理”功能只是解决网络安全棘手问题迈出的第一步。“供应链问题缠身,”O’Reilly说,“之所以供应链安全问题如此复杂,是因为供应链本身就非常复杂。我认为NIST将一部分供应链纳入治理范畴,是因为需要从上层进行更多管理。因为目前,一些做法虽然勉强说得过去,但只能解决大约一半的问题。”

3.2.4实施路径聚焦:完善的参考工具、资料、指南和资源整合

CSF2.0版本提供了更新的“参考资料”,即现有的标准、指南和框架,以帮助充实网络安全框架包含的技术细节和步骤,为组织如何实施23个类别下的106个子类别提供进一步的指导。   

为了解决网络安全框架可能带来的实施困难,NIST在CSF2.0版本中加入了一系列关于不同主题的“快速入门指南”,包括如何创建网络安全框架配置文件和层级,以及如何开始管理供应链安全风险和创建社区配置文件,以供拥有共同利益的社区描述共识观点。

CSF2.0版本的参考工具简化了组织实施框架的方式,允许用户以人类和机器可读的格式浏览、搜索和导出CSF核心指南中的数据和详细信息。

为了提供更实用的框架实施指南,CSF2.0还提供了“实施示例”。这些实施示例代表了NIST将被动书写的成果转换为组织可以采取的更积极可操作步骤的努力。

CSF2.0版本还改进了与其他广泛使用的NIST资源的集成,这些资源处理企业风险管理、ERM和ICT风险管理计划,包括:

  • SP 800-221,信息和通信技术风险对企业的影响:治理和管理企业风险组合中的ICT风险计划
  • SP 800-221A,信息和通信技术(ICT)风险结果:将ICT风险管理计划与企业风险组合相集成
  • SP 800-37,信息系统和组织的风险管理框架
  • SP 800-30,以及NIST风险管理框架(RMF)进行风险评估的指南

4、CSF2.0带来的思考——

多措并举加强网络安全管理

作为一个网络安全框架,CSF2.0在全球范围内都具有重要意义,也为我国网络安全建设提供了借鉴和启示,促使我国在网络安全领域加强标准化建设、跨部门合作、网络安全意识培养以及技术创新应用,从而构建更加健全和安全的网络环境。   

  • 标准化与规范化持续性建设:CSF2.0提供了一个系统化的框架,可以帮助组织规范网络安全建设,强调标准化和合规性。在我国针对网络安全的标准规范体系相对完善,在国家顶层标准规范的指导下,各行业和企业的标准也逐步完善与落地,标准化与规范化持续性建设能够帮助企业和政府部门更好地规划和实施网络安全策略。
  • 加大跨部门合作与信息共享:CSF2.0强调跨部门合作是加强网络安全的关键。在我国,促进各部门之间的信息共享和协作,建立更加紧密的网络安全联合防线,对于有效防范网络安全威胁至关重要。
  • 进一步强化网络安全意识:CSF2.0的推广可以促使更多的机构和个人认识到网络安全的重要性,加强网络安全意识教育。在我国,加强网络安全意识的培训和宣传工作,可以有效提升整个社会对网络安全的重视程度。
  • 重视技术创新与应用:CSF2.0鼓励技术创新,并将其应用于网络安全领域。中国作为一个网络科技发展迅速的国家,可以积极借鉴CSF2.0的理念,推动网络安全技术的创新与应用,提升网络安全防护水平。
  • 加强网络安全管理工作:CSF2.0最为核心的变化是引入了“治理GOVERN”,“治理GOVERN”即网络安全管理。在网络安全领域中,一直有一个重要的实践原则——“三分技术、七分管理”,70%的网络安全问题无法通过纯技术手段解决,而是需要依靠企业严格的安全管理制度和检查措施去规避。通过有效的网络安全管理,企业可以规范所有员工的网络使用行为,减少不安全的风险因素,降低安全事件的发生率。   


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下