8月初,美国国家标准与技术研究院(NIST)发布了一份草案 2.0版本 其地标性建筑 网络安全框架,首次发布于 2014 年。过去 10 年发生了很多变化,其中最重要的是原始文件旨在帮助关键基础设施防御的网络安全威胁水平不断上升。
虽然 CSF 旨在帮助降低关键基础设施的网络安全风险,但它已被私营和公共部门实体广泛采用。事实证明,仅仅依靠自愿遵守 CSF 不足以为关键基础设施建立足够的网络安全措施。这 勒索软件对殖民地管道的攻击 2021 年的情况就是一个明显的证据。因此,拜登政府的回应是在关键基础设施领域制定强制性网络安全标准,例如 石油和天然气管道, 轨, 航空及 水.
CSF 2.0将CSF的覆盖范围扩大到任何规模、技术堆栈和部门的所有软件生产商,强调网络安全治理,并强调网络供应链风险管理。此外,新框架在成功网络安全计划所需的原有五个支柱的基础上又增加了一个支柱。最初的五个是:识别、保护、检测、响应和恢复。 CSF 2.0 引入了第六种:治理。
在本文中,我们将尝试总结该框架的新增内容,并了解该框架如何帮助您启动或推进现有的网络安全风险管理计划。值得注意的是,这个新版本还不是最终版本。该草案在 2024 月初之前开放征求意见,并计划于 XNUMX 年初发布。这意味着,如果您有任何意见或希望添加的内容,您仍然有时间将其提供给 NIST 供考虑。
CSF 2.0的主要变化
这款 CSF 2.0草案 保留了原始框架的基本方面。 CSF 2.0 对私营部门来说是自愿的;它采用基于风险的网络安全方法(重点关注组织寻求的网络安全结果,而不是必须实施的具体控制措施);它保留了 CSF 的基本结构,由三个主要部分组成:
- 支柱 – CSF 的核心将预期的网络安全成果整合为五个“功能”或支柱:识别、保护、检测、响应和恢复。 (CSF 2.0 引入了第六个功能:治理。)这些功能是有效网络安全所需的组成部分。围绕主要 5 个支柱,最初的 CSF 包括预期网络安全结果的 23 个类别和 108 个子类别,以及数百个有用的参考资料,主要是其他框架和行业标准,围绕它们聚集。 2.0版本草案的范围更加广泛。
来源:CSF 2.0
- 框架层 – CSF 层级定义了公司如何管理网络安全风险。组织选择最能实现其目标、将网络风险降低到可接受的程度并且易于实施的层级。这些层提供了从 1 到 4(“部分”到“自适应”)的进步,并展示了不断增加的复杂程度。
- 框架简介 – CSF 配置文件可帮助公司找到适合其降低网络安全风险的路径。它们定义组织的“当前”和“目标”网络安全态势,并帮助他们从一种过渡到另一种。
CSF 2.0草案包含以下主要变化:
- 范围 – 新框架旨在供各种规模和行业的组织使用,包括中小企业。这一举措反映了2018年的事实 国会明确要求 NIST 解决与原始框架相关的小企业问题。修改文档的语言以删除对关键基础设施的引用并将其替换为包括所有组织,这反映了框架范围的扩展。
- 治理支柱 – CSF 2.0 扩展了 CSF 基于风险的网络安全方法。 CSF 2.0 承认,过去十年的巨大变化已将网络安全提升为企业风险(包括公司中断、数据泄露和财务损失)的关键来源。为了应对这些变化,CSF 2.0 增强了治理的相关性,并将网络风险与高级领导层的法律、财务和其他形式的企业风险置于同一水平。 新的治理职能 解决组织如何做出决策以支持其网络安全战略,其目的是为其他五个职能提供信息和支持。
- 供应链风险管理 – 控制与外部各方相关的网络安全风险所需的努力称为供应链风险管理(SCRM)。供应链使公司面临网络风险。恶意软件攻击(例如, 3CX木马攻击)、勒索软件攻击、数据泄露(例如 Equifax数据泄露),而网络安全漏洞都是常见的供应链网络危害。
第三方工具和代码在软件生产的几乎所有方面的使用都在增加,因此我们看到了相应的增长 软件供应链风险。任何有权访问组织系统的第三方,包括数据管理公司、律师事务所、电子邮件提供商、网络托管公司、子公司、供应商、分包商以及组织系统中使用的任何外部来源的软件或硬件,都可以发起供应链攻击。篡改、盗窃、未经授权将代码或组件引入软件或硬件以及不良的制造过程都是软件供应链的危险。没有充分管理软件供应链风险的组织更有可能遭受此类攻击。
CSF 2.0增加了更多有关第三方风险的信息,将软件供应链指南纳入新的治理功能中,并规定组织在执行所有框架功能(而不仅仅是治理)时应考虑软件供应链中的网络安全风险。新的SCRM语言就是变化之一。 CSF 2.0 列出了以下理想的 SCRM 成果:
- 供应商应该“被了解并按重要性划分优先级”(GV.SC-04)
- “在建立正式的供应商或其他第三方关系之前,进行规划和尽职调查以降低风险”(GV.SC-06)
- “供应链安全实践已集成到网络安全和企业风险管理计划中,并且其性能在整个技术产品和服务生命周期中受到监控。” (GV.SC-09)
该草案还邀请公司使用 CSF 的框架配置文件“来描述网络安全标准和实践,将其纳入与供应商的合同中,并提供一种通用语言来向供应商传达这些要求。”根据 NIST 的说法,供应商可以利用 框架简介 (见上文)传达其网络安全态势以及有关软件供应链风险的相关标准和政策。
- 云安全 – 最初的 CSF 解决了云安全问题,但仅限于企业维护和保护自己的云基础设施的情况。这种用例不再是最常见的。组织正在迅速过渡到由第三方公司合法且可操作地管理云的云环境。 (例如,底层基础设施的管理在平台即服务和软件即服务云计算模型中外包。)
通过改进的治理和供应链风险管理规定,CSF 2.0使企业能够更好地使用该框架与云服务提供商构建共享责任模型,并促进对云托管设置的某种程度的控制。
- 扩大实施指南 – 为了帮助公司实现框架中概述的网络安全成果,CSF 2.0 提供了额外的“实现示例“和”信息丰富的参考文献”。虽然这些资源被视为框架的一部分,但 NIST 会将它们分开,以便进行更定期的升级。
实施示例提供了有关如何将框架付诸实践的更多信息。它们并没有描述为实现特定目标而可以采取的所有行动,而是“以行动为导向的示例”,旨在帮助企业理解“核心”结果以及为实现这些结果而可能采取的首要活动。
使用 CSF 2.0
与 NIST 的其他框架一样,CSF 很少提及如何实施其建议的具体细节。没有完整或部分清单可供您用作设置或扩展组织网络安全风险管理的第一步。在仔细考虑了“期望结果”的广泛清单后,该框架仍然将实施的负担留给了各个公司。其逻辑是,由于每家公司的技术堆栈、现有威胁和风险都是独一无二的,因此没有简单或全面的方法来定制“一个列表适合所有”网络威胁解决方案框架。
尽管如此,该框架并非没有用处。一方面,框架中提供的配置文件和层级提供了一种好方法,至少可以开始规划公司的网络安全响应计划和风险管理。它向公司管理层明确表明,网络风险应与任何其他主要风险类别(如法律或金融)同等对待,理论上,这应帮助 CISO 获得处理风险所需的资金和人力为他们的组织映射。最后,有一个新添加的部分涉及 SCRM 表明公司应该认真考虑潜在软件供应链攻击或破坏中固有的各种威胁。
事实上,NIST 打算提供一个更强大且经常更新的包含示例的实施指南,这是朝着正确方向迈出的一步。它到底有多么广泛和有帮助还有待观察。如果没有至少一个具备网络安全知识的人员,您仍然很有可能无法吸收和应用这个旧/新框架。
至少对于软件供应链风险部分来说, 抄写员平台 为您提供保障。 Scribe 有一个免费套餐,您现在就可以开始尝试,我们所有的广泛功能都触手可及。这包括开始生成和存储 SLSA 来源和细粒度 物料清单 为您的构建。如果您对 Scribe 为您提供定制用户策略来管理 SDLC 流程的能力感兴趣,我邀请您查看 本文.
不管怎样,我鼓励你 尝试我们的平台 并检查 Scribe 随时间积累和分析的安全信息的有用性。
此内容由领先的端到端软件供应链安全解决方案提供商 Scribe Security 为您提供 - 为整个软件供应链中的代码工件以及代码开发和交付流程提供最先进的安全性。 了解更多
相关文章
