机房360首页
当前位置:首页 » 网络安全 » 网络安全框架解释

网络安全框架解释

来源:机房360 作者:Harris编译 更新时间:2024/12/4 6:46:37

摘要:网络安全框架乍一看似乎很复杂,但在应对不断变化的IT安全威胁和可能的解决方案时,它们实际上非常有用。

   网络安全框架乍一看似乎很复杂,但在应对不断变化的IT安全威胁和可能的解决方案时,它们实际上非常有用。
  
  大约在2013年,网络安全框架开始出现在IT和网络安全专业人士的雷达上,来自多个来源。一些最早的例子包括:
  
  •澳大利亚政府的澳大利亚信号局(ASD)确定了可有效缓解最常见网络安全威胁的“四大控制措施”。到2017年,这个项目已经发展到一个被称为“必不可少的八个新窗口”的基线,并继续更新和推广。
  
  •在2014年RSA大会上,业内资深人士TonySager简要介绍了关键安全控制(CSC)运动是如何在美国展开的。从2008年开始的“一个下午的小项目”,涉及10个在国家安全局工作的聪明人,到最初在信息安全行业非正式分享的前10名名单,它通过SANS研究所发展成为一个更广泛和更正式的协调——“SANS前20名”。在那之后,CSC从2013年开始从SANS转移到独立的非营利性网络安全委员会的管理下,然后在2015年转移到互联网安全中心(CIS),该中心今天继续托管和管理CIS关键安全控制。
  
  •2014年2月,美国国家科学技术研究所(NIST)发布了NIST网络安全框架打开了一个新窗口(NISTCSF1.0),其中介绍了现在众所周知的CSF五大核心功能(识别、保护、检测、响应和恢复)。2024年2月,NISTCSF2.0发布,并增加了重要的第六个CSF核心功能:治理。
  
  这些网络安全框架和控制举措背后的持续动机是什么?他们帮助解决了IT和网络安全专业人员的哪些需求?最大的挑战之一是从数百种复杂的网络安全解决方案类别中脱颖而出——来自成千上万的解决方案提供商,更不用说无数的开源替代方案了——这些解决方案已经可用,并将继续被引入。
  
  当然,这种水平的创新和投资证明了技术专业人员正在处理的网络安全问题的重要性。相反,拥有如此过多的选项可能会使排序变得非常困难,并为代表最适合给定组织特定场景的控制组合做出必要的选择。这包括:
  
  •计算基础设施
  
  •应用程序和数据
  
  •用户
  
  •所在的行业
  
  •监管要求
  
  •使命和战略
  
  •人员配置和预算
  
  •风险偏好
  
  如今的IT和网络安全专业人员面临着一项具有挑战性的任务,不仅要弄清楚要做什么,还要说服别人这是值得做的——然后实际去做,并在一个动态的、复杂的环境中长期维持这些活动。
  
  网络安全框架和关键安全控制运动背后的核心概念是,组织通过使用社区的力量来识别少量被证明在防止已知攻击方面具有高回报的安全控制,从而简化这一复杂的过程。
  
  CIS关键安全控制(CSC)v8.1
  
  最新的CIS关键安全控制打开一个新窗口(8.1版),描述了18项技术控制,然后扩展为153项具体的实施措施(互联网安全中心将这些措施称为保障措施):
  
  CIS关键安全控制v8.1#的安全措施
  
  CIS01:企业资产的盘点和控制
  
  (例如,设备、服务器
  
  CIS02:软件资产的库存和控制
  
  (例如,操作系统、应用程序
  
  CIS03:数据保护
  
  CIS04:企业资产和软件的安全配置
  
  CIS05:客户管理
  
  CIS06:访问控制管理
  
  CIS07:持续漏洞管理
  
  CIS08:审计日志管理
  
  CIS09:电子邮件和Web浏览器保护
  
  CIS10:恶意软件防御
  
  CIS11:数据恢复
  
  CIS12:网络基础设施管理
  
  CIS13:网络监控与防御
  
  CIS14:安全意识和技能培训
  
  CIS15:服务提供商管理
  
  CIS16:应用软件安全
  
  CIS17:事件响应管理
  
  CIS18:渗透测试
  
  对于那些需要它的人,CIS还提供了一个从关键安全控制到更通用(也更复杂)的NIST网络安全框架的新窗口。
  
  如何确定保障措施的优先顺序
  
  你不可能同时在所有地方实施所有的保护措施——那么哪一项应该首先实施呢?互联网安全中心认识到,没有任何组织可以简单地打开开关,同时实施所有153项CIS安全措施,以支持18项CIS关键安全控制,因此描述了三个不同的“实施组”(ig)——从基本网络安全卫生(CISIG1)到成熟的网络安全计划(CISIG3)。
  
  Aberdeen对这两个实现组之间差异的看法,基于与我们所说的8个核心网络安全能力相一致的CIS安全措施的总数。
  
  基本安全卫生和成熟网络安全计划最紧密结合的核心网络安全能力通常反映了许多人所说的基本拦截和解决:
  
  •管理我们的用户、他们的账户、他们对资源的访问——以及他们的行为。
  
  •保持系统和应用程序的安全配置。
  
  •保护并备份重要数据。
  
  •当出现问题时,我们处于响应和恢复的位置。
  
  相比之下,两个实施组在核心网络安全能力方面的差距最大,在组织范围内的可见性和监控方面更为明显,例如在高级网络运营中心(NOC)或安全运营中心(SOC)中发现的那些。
  
  CISCSC受欢迎是有原因的。它们可以帮助IT和网络安全从业者更快地驾驭丰富、复杂和不断变化的网络安全技术,并区分“有用的许多”和“至关重要的少数”。您和组织可以使用CISCSC作为起点,并以最适合环境和风险偏好的方式对其进行调整。
  
  CIS关键安全控制:关注8个核心功能
  
  为了应对不断变化的网络安全相关威胁、漏洞和攻击,技术控制和防护的组合将继续发展,但在这八项基本能力方面表现良好,将在长期内不断为组织服务。
  
  本着这一精神,18项独联体关键安全控制措施和153项相关的独联体保障措施实现的八项核心能力如下:
  
  1.我们了解在我们的环境中有哪些系统、应用程序和服务提供者。
  
  oCIS01:企业资产(如设备、服务器)的盘点和控制
  
  oCIS02:软件资产(如操作系统、应用程序)的盘点和控制
  
  oCIS15:服务提供商管理
  
  2. 我们保持系统和应用程序的安全配置。
  
  oCIS04:企业资产和软件的安全配置
  
  3. 我们保持我们的网络、系统和应用程序的补丁和最新。
  
  oCIS07:持续漏洞管理
  
  oCIS10:恶意软件防御
  
  oCIS16:应用软件安全
  
  4. 我们保护和备份我们的重要数据。
  
  oCIS03:数据保护
  
  oCIS11:数据恢复
  
  5. 我们保护我们的网络。
  
  oCIS12:网络基础设施管理
  
  oCIS13:网络监控和防御
  
  6. 我们管理我们的用户、他们的账户、他们对资源的访问——以及他们的行为。
  
  oCIS05:客户管理
  
  oCIS06:访问控制管理
  
  oCIS09:电子邮件和网页浏览器保护
  
  oCIS14:安全意识和技能培训
  
  7. 我们对环境中正在发生的事情保持可见性。
  
  oCIS08:审核日志管理
  
  oCIS15:服务提供商管理
  
  oCIS18:渗透测试
  
  8.当出现问题时,我们能够做出反应和恢复。
  
  oCIS17:事件响应管理
  
  oCIS11:数据恢复
  
  让结构发挥作用
  
  以下是IT和网络安全从业者如何使用此结构来更自信地定义和开发其组织的网络安全计划:
  
  •以问题的形式使用阿伯丁的八项核心网络安全能力,更广泛地思考组织的网络安全需求。例如,您当前以何种方式管理用户、他们的帐户、他们对资源的访问以及他们的行为?你目前用什么方法来保护和备份重要数据?等等......。
  
  •做差距分析。回答这些问题将产生一个组织当前网络安全控制和保障的有组织的清单。然后,您可以将这些建议与基于社区的建议进行比较,例如CIS关键安全控制建议的153项安全措施。
  
  •评估并确定下一步的优先顺序。基于差距分析,您可以更容易地评估实现最相关的增量控制和保障的成本(例如,构建与购买,产品与服务)和收益(例如,降低风险,操作效率,业务支持),并确定要追求的优先级。
  
  阿伯丁战略与研究还提供了一份正式的知识简报,打开了一个新的窗口,IT专业人员的实用指南:你是否拥有这8个核心网络安全能力?,以及关于这些话题的非正式对话播客。
  
  NIST网络安全框架(CSF)2.0
  
  许多IT和网络安全专业人员使用NIST网络安全框架(NISTCSF)打开了一个新的窗口,帮助他们建立和执行组织的网络安全计划。
  
  NIST网络安全框架于2014年2月首次发布(CSF1.0),并于2024年2月更新(CSF2.0)。除此之外,NISTCSF2.0扩展并提升了众所周知的CSF五大核心功能(识别、保护、检测、响应和恢复),并增加了重要的第六项功能:治理。
  
  NISTCSF2.0增加了第六个功能
  
  我们的网络安全风险管理期望、战略和政策都是明确制定、良好沟通和密切监控的。
  
  识别我们的计算资产(例如,硬件,软件,数据,系统,设施,服务,人员,供应链)的风险被识别并优先排序,与我们建立的治理一致。
  
  保护能力(即政策和控制)到位,以防止或降低不利网络安全事件的可能性和负面影响,并增加有利业务机会的可能性和积极影响。
  
  侦测功能能够及时发现和分析异常情况、入侵指标以及其他可能显示正在发生的网络安全攻击和事件的事件。
  
  具备响应能力,以控制检测到的网络安全攻击和事件的影响;这些包括调查、分析、缓解、报告和沟通。
  
  恢复能力能够及时恢复我们的计算资产,并恢复受网络安全事件或事件影响的运营。
  
  来源:改编自NISTCSF2.0,Aberdeen,2024年10月
  
  Aberdeen的基准研究表明,在所有受访者中,对NISTCSF2.0核心功能的六个当前成熟度的自我评估总体上倾向于积极的方向。许多IT专业人士将Protect视为最强大的领域,这反映了对技术控制的传统关注。他们认为响应和恢复是最需要改进的,这凸显了现代计算基础设施的复杂性和动态性,以及网络安全对手的不幸成功。Identify为Govern奠定了基础,这解释了为什么专业人士认为这两个领域尽管存在差异,但在当前的成熟度上是紧密结合在一起的。
  
  在六个NISTCSF2.0核心功能中,当前成熟度的自我评估通常是积极的
  
  事实上,值得注意的是,这种成熟程度是在NISTCSF1.0推出十多年后出现的。毫无疑问,NISTCSF是复杂的!为了列举,NISTCSF2.0中的六个核心功能分为22个类别,这些类别又分为106个具体要求:
  
  •管理:6个类别,31个要求
  
  •识别:3个类别,21个要求
  
  •保护:5个类别,22个要求
  
  •检测:2类,11项要求
  
  •回应:4个类别,13个要求
  
  •回收:2类,8项要求
  
  NISTCSF通常受到高度重视,但在Aberdeen看来,它导致了对活动与结果的普遍混淆。首先,假设我们的年度网络安全预算请求是基于我们NIST基于csc的项目日益成熟。在这种情况下,我们需要考虑增长的规模。这个量表可以是定性的,也可以是伪定量的。问题出现了:组织的高级领导团队在什么基础上做出资源分配决策?它纯粹是基于直觉和直觉吗?同样,在网络安全治理方面做得更好,可以帮助IT和网络安全从业者更直接地谈论我们的NISTCSF项目的价值,即证明投资的合理性:降低风险(避免成本)、运营效率(节省成本)和实现组织的战略目标(业务实现)。
  
  在Aberdeen看来,NISTCSF2.0通过增加“治理”功能很好地服务于市场,除了传统的技术活动外,它还提高了网络安全的可视性,并专注于网络安全的战略和业务导向成果。
  
  NISTCSF2.0的变化
  
  NIST于2024年2月发布了CSF2.0。它在2014年2月NIST发布的CSF1.0基础上扩展和升级了原有的五个CSF核心功能。这五种功能分别是识别、保护、检测、响应和恢复。新版本引入了重要的第六个功能:治理。在阿伯丁看来,这一举措提高了网络安全战略和业务成果的可见度和关注度。这种变化也强调了传统的技术活动。此外,NISTCSF2.0增加了41%的具体要求。
  
  在高层次上,治理是一个过程,通过这个过程,组织的网络安全风险管理期望、策略和政策得以建立、沟通和监控。
  
  在较小的组织中,谁来处理IT和网络安全的这两个重要方面并不总是有太大的区别。无论主题是网络、存储、服务器、云服务、端点、应用程序、数据还是网络安全都无关紧要。同一位IT专业人员同时处理管理和治理的情况并不罕见。管理涉及技术活动。治理指的是关于这些活动的业务决策。
  
  大到足以拥有专职网络安全人员的组织往往会明确区分这两个方面。通常,一个团队管理被称为网络安全的业务功能。同时,还有另一个团队负责管理与网络安全相关的人员、流程和技术。这种区别在拥有专职网络安全领导者的组织中尤为明显。
  
  对于这两个基本任务之间的联系,不同的组织自然会处于不同的成熟阶段。无论哪种方式,网络安全治理和网络安全管理都一直在进行。不幸的是,在所有合适的参与者的参与下,这并不一定会发生。
  
  将技术活动与战略成果联系起来的战略地图
  
  早在NISTCSF1.0发布之前,Aberdeen就一直在撰写有关如何将技术活动与业务成果联系起来的文章。“IT和网络安全专业人员的战略地图”是阿伯丁对平衡计分卡框架应用的有用可视化。
  
  自1992年以来,组织已经使用这个框架来描述、交流和执行他们的战略。它通过关注技术活动和业务结果之间的因果关系来做到这一点。框架通常是从上到下定义的,首先考虑战略业务结果。然而,它总是自下而上执行的。
  
  上面的图表显示了平衡计分卡框架的四个层次是如何连接的。您可以通过以下方式将结果、利益相关者的看法、关键能力和活动应用于网络安全:
  
  •第1行:结果-网络安全团队成立的原因:
  
  o管理无回报风险(避免成本)
  
  o优化运营效率(节约成本)
  
  o实现战略机会(业务实现)
  
  •第二行:感知-网络安全团队应如何努力让关键利益相关者看到:
  
  o主题专家(技术技能)
  
  o值得信赖的顾问(商业头脑)
  
  •第三行:关键能力——网络安全团队必须擅长的功能,以交付感知和成果:
  
  o网络安全治理(例如,NISTCSF:治理)
  
  •第4行:活动-关键能力卓越所需的人员、流程和启用技术;
  
  o网络安全管理(例如,NISTCSF:识别、保护、检测、响应和恢复)
  
  十年来,NIST网络安全框架强调有效网络安全所需的基本技术活动。NIST将这些活动分为五个核心功能:识别、保护、检测、响应和恢复。NISTCSF2.0的发布显示了网络安全实践的持续改进。增加对治理功能的新关注对于适当监督网络安全行动至关重要。
  
  在基于nist的网络安全项目之外,Aberdeen建议技术专业人员也继续扩展和成熟他们的技能。两个明显的例子是:
  
  •被视为不仅是一个主题专家,而且是一个值得信赖的顾问
  
  •识别来自网络安全相关活动的贡献。专业人员应该超越传统的成本避免领域,还要考虑成本节约和业务支持。
  
  在Aberdeen看来,框架并不是严格遵循的清单,而是考虑其他人已经做出的成功选择的更快路径。组织应该以最适合您自己的环境和您自己的风险偏好的方式调整框架。
  
  编辑:Harris

机房360微信公众号订阅
扫一扫,订阅更多数据中心资讯

本文地址:http://www.jifang360.com/news/2024124/n7176157909.html 网友评论: 阅读次数:
版权声明:凡本站原创文章,未经授权,禁止转载,否则追究法律责任。
转载声明:凡注明来源的文章其内容和图片均为网上转载,非商业用途,如有侵权请告知,会删除。
相关评论
正在加载评论列表...
评论表单加载中...
  • 我要分享
推荐图片