지난 8월 초 미국 국립표준기술연구소(NIST)는 초안을 발표했다. 2.0 버전 그 랜드마크의 사이버 보안 프레임워크, 2014년에 처음 출판되었습니다. 지난 10년 동안 많은 변화가 있었으며, 그 중 중요한 인프라를 방어하기 위해 원본 문서에서 설명한 사이버 보안 위협의 수준이 높아졌습니다.
CSF는 중요 인프라에 대한 사이버 보안 위험을 줄이는 데 도움이 되는 동시에 민간 및 공공 부문 기관 모두에서 널리 채택되었습니다. CSF의 자발적인 준수에만 의존하는 것은 중요 인프라에 대한 충분한 사이버 보안 조치를 확립하는 데 부적절한 것으로 입증되었습니다. 그만큼 Colonial Pipeline에 대한 랜섬웨어 공격 2021년은 그에 대한 눈부신 증거였습니다. 결과적으로 바이든 행정부는 다음과 같은 중요 인프라 부문에 의무적인 사이버 보안 표준을 제정함으로써 대응했습니다. 석유 및 가스 파이프 라인, 레일, 비행및 물.
CSF 2.0은 CSF의 범위를 모든 규모, 기술 스택 및 부문의 모든 소프트웨어 생산자로 확장하고 사이버 보안 거버넌스를 강조하며 사이버 공급망 위험 관리를 강조합니다. 또한, 새로운 프레임워크는 성공적인 사이버 보안 프로그램에 필요한 원래 2.0가지 요소에 하나의 요소를 더 추가합니다. 원래 XNUMX개는 식별, 보호, 감지, 대응, 복구였습니다. CSF XNUMX에는 여섯 번째 기능인 거버넌스가 도입되었습니다.
이 기사에서는 프레임워크에 새로 추가된 사항을 요약하고 프레임워크가 기존 사이버 보안 위험 관리 프로그램을 시작하거나 발전시키는 데 어떻게 도움이 될 수 있는지 살펴보겠습니다. 이 새 버전은 아직 최종 버전이 아니라는 점에 유의하는 것이 중요합니다. 초안은 2024월 초까지 의견을 수렴할 수 있으며 XNUMX년 초에 공개될 예정입니다. 즉, 추가하고 싶은 의견이나 추가 사항이 있는 경우 NIST에 제안하여 고려할 수 있는 시간이 아직 남아 있다는 의미입니다.
CSF 2.0의 주요 변경 사항
이 어플리케이션에는 XNUMXµm 및 XNUMXµm 파장에서 최대 XNUMXW의 평균 출력을 제공하는 CSF 2.0 초안 원래 프레임워크의 필수 측면을 유지합니다. CSF 2.0은 민간 부문을 위한 자발적인 것입니다. 사이버 보안에 대한 위험 기반 접근 방식을 취합니다(구현해야 하는 특정 통제보다는 조직이 추구하는 사이버 보안 결과에 중점을 둡니다). 그리고 세 가지 주요 구성 요소로 구성된 CSF의 필수 구조를 유지합니다.
- 기둥 – CSF의 핵심은 의도된 사이버 보안 결과를 식별, 보호, 탐지, 대응 및 복구라는 2.0가지 "기능" 또는 기둥으로 통합합니다. (CSF 5에서는 여섯 번째 기능인 거버넌스를 도입합니다.) 이러한 기능은 효과적인 사이버 보안에 필요한 구성 요소입니다. 주요 23개 기둥 주위에 원래 CSF에는 의도된 사이버 보안 결과에 대한 108개 범주와 2.0개 하위 범주가 포함되어 있을 뿐만 아니라 그 주위에 클러스터된 수백 개의 유용한 참조 자료, 대체로 다른 프레임워크 및 산업 표준이 포함되어 있습니다. 버전 XNUMX 초안은 훨씬 더 광범위합니다.
- 프레임워크 계층 – CSF 계층은 회사가 사이버 보안 위험을 관리하는 방법을 정의합니다. 조직은 목표를 가장 잘 달성하고, 사이버 위험을 허용 가능한 수준으로 줄이며, 쉽게 구현할 수 있는 계층을 선택합니다. 계층은 1에서 4까지('부분'에서 '적응') 진행을 제공하며 점점 더 정교해지는 수준을 보여줍니다.
- 프레임워크 프로필 – CSF 프로필은 기업이 사이버 보안 위험을 줄이는 데 적합한 경로를 찾는 데 도움이 됩니다. 이는 조직의 "현재" 및 "목표" 사이버 보안 상태를 정의하고 한 상태에서 다른 상태로 전환하는 데 도움을 줍니다.
CSF 2.0 초안에는 다음과 같은 주요 변경 사항이 포함되어 있습니다.
- 범위 – 새로운 프레임워크는 SMB를 포함하여 모든 규모와 산업의 조직에서 사용하도록 고안되었습니다. 이러한 움직임은 2018년의 사실을 반영합니다. 의회는 NIST에게 원래 프레임워크와 관련된 중소기업 문제를 해결하도록 명시적으로 요청했습니다.. 중요한 인프라에 대한 참조를 제거하고 프레임워크의 확장된 범위를 반영하여 모든 조직을 포함하도록 문서의 언어를 수정합니다.
- 거버넌스 기둥 - CSF 2.0은 CSF의 위험 기반 사이버 보안 방법론을 확장합니다. CSF 2.0은 지난 2.0년 동안의 극적인 변화로 인해 사이버 보안이 기업 위험(회사 중단, 데이터 침해 및 재정적 손실 포함)의 주요 원인으로 높아졌다는 점을 인정합니다. 이러한 변화를 해결하기 위해 CSF XNUMX은 거버넌스의 타당성을 강화하고 고위 리더십에 대한 법률, 재무 및 기타 형태의 기업 위험과 동일한 수준으로 사이버 위험을 배치합니다. 새로운 거버넌스 기능 조직이 사이버 보안 전략을 지원하기 위해 결정을 내리는 방법을 다루고, 다른 5가지 기능에 정보를 제공하고 지원하도록 설계되었습니다.
- 공급망 위험 관리 – 외부 당사자와 연결된 사이버 보안 위험을 통제하는 데 필요한 노력을 공급망 위험 관리(SCRM)라고 합니다. 공급망은 기업을 사이버 위험에 노출시킵니다. 악성 코드 공격(예: 3CX 트로이 목마 공격), 랜섬웨어 공격, 데이터 유출(예: Equifax 데이터 침해), 사이버 보안 위반은 모두 일반적인 공급망 사이버 위험입니다.
타사 도구 및 코드는 소프트웨어 제작의 거의 모든 측면에서 사용이 증가하고 있으며 이에 따라 소프트웨어 공급망 위험. 데이터 관리 회사, 법률 회사, 이메일 제공업체, 웹 호스팅 회사, 자회사, 공급업체, 하청업체 및 조직 시스템에 사용되는 외부 소스 소프트웨어나 하드웨어를 포함하여 조직의 시스템에 액세스할 수 있는 모든 제3자는 공급망 공격을 시작할 수 있습니다. 변조, 도난, 소프트웨어나 하드웨어에 코드나 구성 요소의 무단 도입, 잘못된 제조 절차는 모두 소프트웨어 공급망 위험입니다. 소프트웨어 공급망 위험을 적절하게 관리하지 않는 조직은 이러한 공격을 받을 가능성이 더 높습니다.
CSF 2.0은 소프트웨어 공급망 지침을 새로운 거버넌스 기능에 통합하여 제2.0자 위험에 대한 더 많은 정보를 추가하고 조직이 거버넌스뿐만 아니라 모든 프레임워크 기능을 수행하는 동안 소프트웨어 공급망의 사이버 보안 위험을 고려해야 함을 지정합니다. 새로운 SCRM 언어는 변경 사항 중 하나입니다. CSF XNUMX은 바람직한 SCRM 결과로 다음을 나열합니다.
- 공급업체는 "중요도에 따라 알려지고 우선순위가 지정"되어야 합니다(GV.SC-04).
- "공식적인 공급업체 또는 기타 제06자 관계를 체결하기 전에 위험을 줄이기 위해 계획 및 실사가 수행됩니다."(GV.SC-XNUMX)
- "공급망 보안 관행은 사이버 보안 및 기업 위험 관리 프로그램에 통합되어 있으며, 그 성과는 기술 제품 및 서비스 수명주기 전반에 걸쳐 모니터링됩니다." (GV.SC-09)
초안은 또한 기업이 CSF의 프레임워크 프로필을 사용하여 "공급업체와의 계약에 통합할 사이버 보안 표준 및 관행을 설명하고 해당 요구 사항을 공급업체에 전달하기 위한 공통 언어를 제공"하도록 권장합니다. NIST에 따르면 공급업체는 프레임워크 프로필 (위 참조) 사이버 보안 상태와 소프트웨어 공급망 위험에 관한 관련 표준 및 정책을 전달합니다.
- 클라우드 보안 – 원래 CSF에서는 클라우드 보안을 다루었지만 기업이 자체 클라우드 인프라를 유지 관리하고 보호하는 상황에만 해당됩니다. 이 사용 사례는 더 이상 가장 일반적이지 않습니다. 조직은 제3자 기업이 클라우드를 합법적이고 운영적으로 관리하는 클라우드 설정으로 빠르게 전환하고 있습니다. (예를 들어 기본 인프라 관리는 서비스형 플랫폼 및 서비스형 소프트웨어 클라우드 컴퓨팅 모델에서 아웃소싱됩니다.)
향상된 거버넌스 및 공급망 위험 관리 조항을 통해 CSF 2.0은 기업이 프레임워크를 더 잘 사용하여 클라우드 서비스 공급자와 공동 책임 모델을 구축할 수 있도록 하며 클라우드 호스팅 설정에서 어느 정도 제어를 용이하게 합니다.
- 확장된 구현 지침 – 기업이 프레임워크에 설명된 사이버 보안 결과를 달성하도록 지원하기 위해 CSF 2.0은 추가 "구현 예"및"유익한 참고자료.” 이러한 리소스는 프레임워크의 일부로 간주되지만 NIST는 보다 정기적인 업그레이드를 허용하기 위해 이를 별도로 유지합니다.
구현 예제는 프레임워크를 실행하는 방법에 대한 자세한 정보를 제공합니다. 이는 특정 목표를 달성하기 위해 취할 수 있는 모든 조치를 설명하는 것이 아니라, 기업이 "핵심" 결과를 이해하고 그러한 결과를 달성하기 위해 취할 수 있는 첫 번째 활동을 이해하는 데 도움을 주기 위한 "행동 중심의 예"입니다.
CSF 2.0 사용
NIST의 다른 프레임워크와 마찬가지로 CSF는 제안 사항을 구현하는 방법에 대한 정확한 세부 사항을 매우 간략하게 설명합니다. 조직의 사이버 보안 위험 관리를 설정하거나 확장하는 첫 번째 단계로 활용할 수 있는 전체 또는 부분 체크리스트는 없습니다. '원하는 결과'의 광범위한 목록을 검토한 후에도 프레임워크는 여전히 개별 회사에 구현 부담을 남깁니다. 논리는 각 회사가 기술 스택, 기존 위협 및 위험이 고유하기 때문에 '모든 것에 적합한 단일 목록' 사이버 위협 솔루션 프레임워크를 맞춤화하는 쉽고 포괄적인 방법이 없다는 것입니다.
하지만 프레임워크에 용도가 없는 것은 아닙니다. 우선, 프레임워크에서 제공되는 프로필과 계층은 최소한 회사의 사이버 보안 대응 계획과 위험 관리가 있어야 할 계획을 시작할 수 있는 좋은 방법을 제공합니다. 이는 사이버 위험이 다른 주요 위험 범주(예: 법률 또는 금융)와 동등하게 고려되어야 한다는 명확한 표시를 회사 경영진에게 제공합니다. 이는 이론적으로 CISO가 위험을 처리하는 데 필요한 자금과 인력을 확보하는 데 도움이 됩니다. 조직에 맞게 매핑되었습니다. 마지막으로 관련 섹션이 새로 추가되었습니다. SCRM은 기업이 잠재적인 소프트웨어 공급망 공격이나 침해에 내재된 다양한 위협을 얼마나 심각하게 고려해야 하는지를 보여줍니다.
NIST가 예제를 포함하여 더욱 강력하고 자주 업데이트되는 구현 가이드를 제공하려는 의도는 올바른 방향으로 나아가는 단계입니다. 그것이 실제로 얼마나 광범위하고 유용한지는 아직 알 수 없습니다. 사이버 보안에 대한 지식이 있는 사람이 한 명 이상 없이는 이 기존/신규 프레임워크를 수집하고 적용할 수 없을 가능성이 여전히 높습니다.
적어도 소프트웨어 공급망 위험 부분에 관해서는, Scribe의 플랫폼 당신을 보호하십시오. Scribe에는 지금 바로 사용해 볼 수 있는 광범위한 기능을 모두 사용할 수 있는 무료 계층이 있습니다. 여기에는 SLSA 출처 및 세분화된 데이터 생성 및 저장 시작이 포함됩니다. SBOM 당신의 빌드를 위해. SDLC 프로세스를 관리하기 위해 맞춤형 사용자 정책을 제공하는 Scribe의 능력에 관심이 있다면 확인해 보시기 바랍니다. 이 문서.
어느 쪽이든, 나는 당신이 우리 플랫폼을 사용해 보세요 그리고 Scribe가 제공할 수 있는 보안정보가 시간이 지남에 따라 축적되고 분석되면서 그 유용성을 검토합니다.
이 콘텐츠는 소프트웨어 공급망 전반에 걸쳐 코드 아티팩트와 코드 개발 및 전달 프로세스에 최첨단 보안을 제공하는 선도적인 엔드투엔드 소프트웨어 공급망 보안 솔루션 제공업체인 Scribe Security에서 제공합니다. 자세히 알아보기.