IBM探讨拆解NIST网络安全框架2.0

NIST 网络安全框架 (CSF) 帮助组织使用侧重于业务驱动因素的通用语言来改进风险管理，以增强网络安全。

NIST CSF 1.0于2014年 2月发布，1.1版本于 2018年4月发布。2024年 2月，NIST发布了最新的CSF版本：2.0。CSF 2.0之旅始于2022年2月的信息请求 (RFI)。在接下来的两年中，NIST 通过分析、研讨会、评论和草案修订与网络安全社区互动，以完善现有标准并创建反映不断发展的新模型安全挑战。

虽然CSF的核心保持不变，但新版本有一些值得注意的补充。以下是企业需要了解的有关新框架的信息、它如何影响运营以及IT团队如何有效地将CSF 2.0版应用到日常运营中。

NIST 2.0 的新功能：治理功能

首先是“治理”功能的引入，它支撑着原始NIST框架的所有五个功能：识别、保护、检测、响应和恢复。正如原始CSF 1.0文档所述，“这些功能并非旨在形成串行路径或导致静态的所需最终状态。相反，这些功能可以同时、连续地执行，以形成一种解决动态安全风险的运营文化。”

因此，这些功能通常被描述为围绕中心 CST 框架的五部分圆。每个功能都会引导下一个功能，没有一个功能是独立于另一个功能的。

NIST CSF 2.0 保留了这些功能，但添加了 Govern 作为位于五个外部功能下方的完整内环。治理的重点是确保其他功能符合业务需求，由运营团队定期衡量并由安全主管管理。

换句话说，戈文希望将领导力带入安全对话中。虽然大多数企业已经发生这种情况，但 CSF 2.0 使其成为优先事项。

扩展最佳实践

前两个 CSF 版本优先考虑关键基础设施。虽然其他行业和机构采用了该框架，但其主要目的是减少关键基础设施领域网络安全事件的影响。

然而，该框架的广泛采用表明，实践和流程适用于所有部门和行业的公共和私营组织。因此，NIST CSF 2.0 提供了广泛适用于任何规模和类型的企业的扩展最佳实践。

例如，新的 CSF 建议所有企业创建组织档案来描述当前和目标网络安全状况。这使得公司既可以设定目标，又可以定义实现这些目标所需的实践。新框架还强调了社区概况的作用。创建这些配置文件是为了解决占据同一部门或子部门、使用类似技术或经历类似威胁类型的多个组织的共同网络安全利益和目标。

充分利用新的 NIST 指南

新的 NIST CSF 专注于加强治理和扩展最佳实践，可以帮助企业增强安全性并降低风险。为了有效实施该框架，组织可以从四管齐下的方法中受益。

1. 使用可用的建议和资源

CSF 2.0 范围和规模的扩大可能使任何规模的企业都难以有效实施新建议。对于较小的公司来说，有限的 IT 支持可能会影响新实践的开发，而较大的组织可能会因 IT 环境的复杂性而苦苦挣扎。

为了帮助简化流程，企业应充分利用可用资源，例如：

创建组织配置文件的 CSF 2.0 快速入门指南
CSF 2.0 可搜索参考工具
NIST 信息参考目录
CSF 2.0实施示例

2. 让领导者了解情况

接下来的任务是让领导者参与进来。虽然 CSF 2.0 的设计考虑了治理和监督，但许多非技术高管对该框架及其影响的了解可能有限。因此，对于 IT 领导者（例如 CTO、CIO 和 CISO）及其团队来说，与董事会成员坐下来讨论 CSF 2.0 的影响是一个好主意。这也是确保业务目标和安全策略保持一致的机会。

此外，这些会议还提供了定义关键安全指标、确定如何收集这些指标以及创建详细的收集、报告和行动计划的机会。通过让领导者从实施 CSF 之初就参与对话，公司为持续的可见性奠定了基础。

3. 评估外部合作伙伴关系

作为新治理功能的一部分，CSF 2.0 包括有关供应商和供应商管理的新小节。例如，GV.SC-04 侧重于根据供应商对运营的重要性来了解供应商并确定供应商的优先级，而 GV.SC-06 则涉及建立第三方关系之前所需的规划和尽职调查。最后，GV.SC-10 小节可以帮助公司规划供应商或合作伙伴关系的终止。

鉴于第三方妥协的风险和影响日益增加，这些评估至关重要。如果有权访问关键公司数据的供应商或供应商由于不良的网络安全实践而受到损害，则组织将面临风险，无论其自身是否符合 CSF 2.0。

4. 部署管理和监控工具

为了支持所有五个现有功能并提供为新的治理工作提供信息所需的数据，公司需要能够检测潜在威胁、跟踪妥协指标 (IOC) 并采取行动降低总体风险的管理和监控工具。

例如，威胁情报工具可以帮助组织查明常见的攻击模式和目标，进而为团队提供创建和部署有效对策所需的数据。这些数据还有助于将安全支出与可衡量的业务成果联系起来。