美国国家标准与技术研究院(NIST)标准,由于其专业性以及在编写NIST文件时有外部专家的帮助,使其发挥作用在许多组织中扮演关键角色——从最新的加密要求(NIST800-63)到制造商的物联网安全(NISTIR8259),NIST始终是起点。NIST网络安全框架(CSF)最初于2014年发布,最后一次更新于2018年。该框架使组织能够通过精心规划且易于使用的框架来提高关键基础设施的安全性和弹性。CSF是在SaaS风靡一时时编写和更新的,现在随着SaaS的持续发展以及COVID-19导致工作环境发生重大变化,出现了新的安全挑战。通过使CSF适应基于SaaS的现代工作环境,组织可以更有效地应对新风险。本文介绍了CSF的关键要素,指出了主要优势,并给出了具体的实现方法和建议,以确保SaaS的安全性。NISTCSF概述NISTCSF列出了五种安全功能并将它们分类。对于每个子类别,CSF都附加了一系列众所周知的标准和框架作为参考,例如ISO27001、COBIT、NISTSP800-53和ANSI/ISA-62443。例如,这些基准有助于组织实施CSF并与其他框架进行对比,并且无论组织需要遵守什么安全标准,安全经理或其他团队成员都可以使用这些基准来证明其决策的合理性。NISTCSF框架的核心功能分为识别、保护、检测、响应和恢复五个阶段,下面一一介绍。识别:NIST将此功能定义为“帮助组织获得可见性,以管理系统、资产、数据和功能的网络安全风险。”在此职能下,NIST包括资产管理、商业环境、治理、风险评估、风险管理策略、供应链风险管理和其他控制类别。保护:NIST将此功能定义为“开发和实施适当的保护措施以确保提供关键基础设施服务”。在此功能下,NIST包括访问控制、意识和培训、数据安全、信息保护流程以及程序、维护和保护技术等控制类别。检测:NIST将此功能定义为“确定并实施适当的活动以在网络安全事件发生时识别它们。在此功能下,NIST包括异常和事件、安全持续监控和检测过程等控制类别。响应:NIST将此功能定义为“确定并实施适当的活动以采取行动以响应检测到的网络安全事件”。“在此功能下,NIST包括控制类别,例如响应计划、沟通、分析、缓解和改进。恢复:NIST将此功能定义为“识别和实施适当的活动以维护弹性计划并恢复任何受到损害的能力或服务一起安全事件。“在这个功能下,NIST包括了恢复计划、改进、沟通等控制类别。NISTCSF面临的挑战虽然该框架是最佳实践模型之一,但实施难度较大,主要表现在以下几个方面:1.数据在TransitisProtected(PR.DS-2)使用SaaS服务的企业可能想知道这与他们有什么关系。他们可能认为合规性是SaaS提供商的责任。但是,更深入的研究表明,许多SaaS提供商都采取了安全措施,使用这些安全措施是用户的责任。例如,管理员不应允许通过HTTP连接到SaaS服务,而应只允许安全的HTTPS连接。2.实施防止数据泄漏的机制(PR.DS-5)这可能看起来是一个很小的子类别,但它实际上是巨大的,并且数据泄露极难预防。采用SaaS应用程序使工作变得更加困难,因为人们可以Sh是并访问它们。CISO办公室的管理员或成员应该特别注意这种威胁。SaaS中的DLP可能包括以下安全措施:共享文件链接,而不是实际文件;设置链接的到期日期;如果不需要选项,则禁用下载;阻止在数据分析SaaS中导出数据的能力;用户身份验证强化;防止区域登录通信SaaS;具有有限数量的超级用户和管理员的定义明确的用户角色。3.对于授权设备、用户和流程来发布、管理、验证、撤销和审计身份和登录(PR.AC-1)随着企业扩大员工队伍和增加SaaS的采用,该子类别变得更具挑战性。管理仅使用五个50,000名用户在SaaS系统上意味着250,000个身份由安全团队管理。这个问题是真实而复杂的。更具挑战性的是,每个SaaS系统都有不同的方式来定义、查看和保护身份。同时,SaaS应用程序并不总是相互集成,这意味着用户可能会发现自己在不同系统中具有不同的权限。这可能会导致不必要的特权,从而带来潜在的安全风险。参考链接:https://thehackernews.com/2022/01/nist-cybersecurity-framework-quick.html【本文为专栏作者“安全牛”原创文章,转载请通过安全牛(微信公众号)id:gooann-sectv)获取授权】戳这里看作者更多好文
