美国国家标准与技术研究院(NIST) 最近决定将“治理”作为其网络安全框架(CSF) 的核心功能,这为企业建立和维护强大的安全态势提供了急需的额外指导。据美国Gartner称,对于希望实现信息安全和风险管理成功的组织来说,无论其规模、垂直行业、信息安全和风险管理经验如何,NIST CSF 仍然是最重要的结构之一。因此,组织必须了解六大核心功能(识别、保护、检测、响应、恢复和治理)如何协同工作,为网络安全奠定坚实的基础。
这些功能相互关联和协同工作的方式与专业运动队在赛场上作为一个团队一起表现和克服挑战的方式非常相似。
- 识别:就像足球队可能在比赛前查看对手的录像以确定其优势和劣势一样,对于安全团队来说,识别功能涉及了解组织的资产、风险和漏洞。通过区分关键资产、潜在威胁和总体风险偏好,团队可以为有效的安全措施奠定基础。有了这些信息,球队就可以就在哪里分配资源和精力做出明智的决定,就像足球教练可以根据他知道竞争对手在防守线上有差距的地方来制定进攻战术一样。拥有正确的资产管理、漏洞扫描和风险评估工具对于帮助安全团队制定安全工作策略至关重要。
- 保护:在足球中,球场上最重要的资产之一是四分卫,保护该球员的工作主要落在进攻线上。四分卫根据收集到的有关对手如何阻止传球的信息来发起进攻,同时防线知道如何根据进攻指令进行机动,最终防止防守突破防线并接近四分卫。所有这些都必须同步进行,并且不会干扰四分卫的表现。同样,安全团队必须基于识别阶段收集的信息来实施保障措施,以预防或防范潜在威胁。可用于保护系统的访问控制、加密、培训程序、安全策略和技术在这里发挥着关键作用。
- 检测:即使采取了强有力的保护措施,一些攻击仍然可能发生,就像比赛中仍然可能发生一些四分卫擒杀一样。检测功能涉及建立监控和识别异常活动或可能的违规行为的机制。入侵检测系统 (IDS)、安全事件和事件管理 (SIEM) 解决方案以及持续监控是此阶段的重要方面。如果安全团队能够及早发现威胁,他们就可以快速响应并将影响降至最低。
- 响应:制定明确的事件响应计划和相应的程序是此阶段的关键。了解如何遏制和缓解事件,然后与利益相关者进行有效沟通将有助于组织更快地恢复正常运营。可以将此功能想象为球场上一场失败的比赛后团队的聚集。教练或四分卫对上一场比赛中发生的情况进行快速分析,并指导下一步该做什么,以确保采取最佳的进攻或防守行动,以取得成功。
- 恢复:在拥挤之后,球员必须迅速恢复并就位,为下一场比赛做好准备。同样,组织的“恢复”功能包括在安全事件发生后最大限度地减少停机时间并快速恢复系统和操作,同时确保导致事件的漏洞得到解决。在此阶段,拥有正确的备份和恢复解决方案以及云和虚拟恢复工具至关重要。
- 治理:NIST CSF的最新功能,也是最重要的功能之一,“治理”提供了一个指导和支持所有功能的总体框架。在一支足球队中,是教练组参与最多的地方。尽管他们可能没有穿着制服并在场上排队,但教练在提供指导和监督方面所扮演的角色是他们从之前所有职能中收集的知识转变为他们可以为球队制定的策略。最终目标(或业务目标)是 W。对于安全团队来说,治理需要制定政策和程序,以确保网络安全工作与业务目标保持一致。治理也是帮助证明基础设施在任何给定时间点持续遵守您的策略的关键。
正如职业足球队需要协调、策略和适应性来确保在球场上获胜一样,全面的网络安全策略也必须应对特定的挑战和威胁。如果 NIST CSF 的所有六个职能能够整合并与持续评估程序以及组织内不同团队(从 IT 到法律到执行团队)之间的协作一起工作,以实现真正全面且有效的网络安全方法,则可以实现这一目标。