美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)的標(biāo)準(zhǔn)，由于具有專業(yè)性，加上外部專家?guī)椭幹芅IST文件，使得其在眾多組織中發(fā)揮了關(guān)鍵作用——從最新的密碼要求(NIST 800-63)到制造商物聯(lián)網(wǎng)安全(NISTIR 8259)，NIST始終是個(gè)起點(diǎn)。NIST網(wǎng)絡(luò)安全框架(CSF)最初于2014年發(fā)布，上一次更新是在2018年。該框架使眾多組織能夠借助一套精心規(guī)劃且易于使用的框架，提高關(guān)鍵基礎(chǔ)設(shè)施的安全性和彈性。

CSF 在 SaaS大行其道時(shí)編寫和更新，如今伴隨 SaaS 的持續(xù)發(fā)展以及工作環(huán)境因新冠疫情出現(xiàn)的重大變化帶來了新的安全挑戰(zhàn)。組織可以使 CSF 更適應(yīng)基于 SaaS 的現(xiàn)代工作環(huán)境，從而更有效地應(yīng)對新風(fēng)險(xiǎn)。本文闡述 CSF 的關(guān)鍵要素，指出主要優(yōu)點(diǎn)，并給出具體實(shí)施方法和建議以確保 SaaS 安全。

NIST CSF概述

NIST CSF 列出了五項(xiàng)安全功能，并進(jìn)行分門別類，針對每個(gè)子類別， CSF 附有一系列知名標(biāo)準(zhǔn)和框架作為參照，比如 ISO 27001 、 COBIT 、 NIST SP 800-53 和 ANSI/ISA-62443 。這些參照標(biāo)準(zhǔn)幫助組織實(shí)施 CSF ，并與其他框架形成對比，比如說，無論一家企業(yè)需要遵守什么安全標(biāo)準(zhǔn)，安全經(jīng)理或其他團(tuán)隊(duì)成員都可以使用這些參照標(biāo)準(zhǔn)來證明其決定是否正確。NIST CSF 框架具有五個(gè)階段的核心功能：識別、保護(hù)、檢測、響應(yīng)和恢復(fù)，下面逐一介紹。

• 識別：NIST 對這項(xiàng)功能的定義為“幫助組織了解情況，以管理系統(tǒng)、資產(chǎn)、數(shù)據(jù)和能力面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。”在這項(xiàng)功能下面， NIST 包括資產(chǎn)管理、商業(yè)環(huán)境、治理、風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)管理策略、供應(yīng)鏈風(fēng)險(xiǎn)管理等控制類別。

• 保護(hù)：NIST對這項(xiàng)功能的定義為“制定并實(shí)施適當(dāng)?shù)谋Ｕ洗胧源_保提供關(guān)鍵基礎(chǔ)設(shè)施服務(wù)。”在這項(xiàng)功能下面，NIST包括訪問控制、意識和培訓(xùn)、數(shù)據(jù)安全、信息保護(hù)流程和程序、維護(hù)、防護(hù)技術(shù)等控制類別。

• 檢測：NIST 對這項(xiàng)功能的定義為“確定并實(shí)施適當(dāng)?shù)幕顒樱宰R別發(fā)生的網(wǎng)絡(luò)安全事件。”在這項(xiàng)功能下面， NIST 包括異常和事件、安全持續(xù)監(jiān)控、檢測流程等控制類別。

• 響應(yīng)：NIST 對這項(xiàng)功能的定義為“確定并實(shí)施適當(dāng)?shù)幕顒樱瑢z測到的網(wǎng)絡(luò)安全事件采取行動。”在這項(xiàng)功能下面， NIST 包括響應(yīng)規(guī)劃、溝通、分析、緩解、改進(jìn)等控制類別。

• 恢復(fù)：NIST 對這項(xiàng)功能的定義為“確定并實(shí)施適當(dāng)?shù)幕顒樱跃S持彈性計(jì)劃，并恢復(fù)因網(wǎng)絡(luò)安全事件而受損的任何能力或服務(wù)。”在這項(xiàng)功能下面， NIST 包括恢復(fù)規(guī)劃、改進(jìn)、溝通等控制類別。

NIST CSF 面臨的挑戰(zhàn)

盡管該框架是最佳實(shí)踐方面的模型之一，但實(shí)施起來有難度，主要體現(xiàn)在以下幾個(gè)方面。

1. 傳輸中的數(shù)據(jù)受保護(hù)(PR.DS-2)

使用 SaaS 服務(wù)的企業(yè)可能想知道這與它們有怎樣的關(guān)系。它們可能認(rèn)為合規(guī)是 SaaS提供商的責(zé)任。然而更深入的研究表明，許多 SaaS 提供商落實(shí)了安全措施，用戶有責(zé)任使用這些安全措施。比如說，管理員不該允許通過 HTTP 連接到 SaaS 服務(wù)，應(yīng)該只允許安全的 HTTPS 連接。

2. 防止數(shù)據(jù)泄露的機(jī)制已實(shí)施(PR.DS-5)

這可能看起來像一個(gè)小的子類別，而實(shí)際上很龐大，數(shù)據(jù)泄露極難預(yù)防。采用 SaaS 應(yīng)用程序使得這項(xiàng)工作更困難重重，因?yàn)槿藗兛梢詮氖澜缟先魏蔚胤焦蚕砗驮L問它們。管理員或 CISO 辦公室成員應(yīng)特別注意這種威脅。SaaS 中的 DLP 可能包括以下安全措施：共享文件鏈接，而不是實(shí)際文件;設(shè)置鏈接的到期日期;如果不需要，禁用下載選項(xiàng);阻止在數(shù)據(jù)分析 SaaS 中導(dǎo)出數(shù)據(jù)的功能;用戶身份驗(yàn)證加固;防止通信 SaaS 中的區(qū)域記錄;定義明確的用戶角色，擁有數(shù)量有限的超級用戶和管理員。

3. 為授權(quán)的設(shè)備、用戶和流程頒發(fā)、管理、驗(yàn)證、撤銷和審計(jì)身份和登錄信息(PR.AC-1)

隨著企業(yè)擴(kuò)大勞動力隊(duì)伍、加大 SaaS 的應(yīng)用，這個(gè)子類別變得更具挑戰(zhàn)性。管理僅使用五個(gè) SaaS 系統(tǒng)的 50000 個(gè)用戶，意味著安全團(tuán)隊(duì)需要管理 250000 個(gè)身份，這個(gè)問題真實(shí)而復(fù)雜。更具挑戰(zhàn)性的是，每個(gè) SaaS 系統(tǒng)有不同的方式來定義、查看和保護(hù)身份。同時(shí) SaaS 應(yīng)用程序并不總是相互集成，這意味著用戶可能發(fā)現(xiàn)自己在不同的系統(tǒng)中擁有不同的權(quán)限。這就會導(dǎo)致不必要的特權(quán)，從而帶來潛在的安全風(fēng)險(xiǎn)。

參考鏈接：https://thehackernews.com/2022/01/nist-cybersecurity-framework-quick.html

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文