NIST 網(wǎng)絡(luò)安全框架 2.0 (CSF) 正在進(jìn)入 2024 年實施前的最后階段。在五月結(jié)束的框架決策公開討論期結(jié)束后，現(xiàn)在是時候更多地了解指南變化的預(yù)期了。

NIST 高級技術(shù)政策顧問 Cherilyn Pascoe 在 2023 年 RSA 會議上表示，更新后的 CSF 正在與拜登政府的國家網(wǎng)絡(luò)安全戰(zhàn)略保持一致。這建立了新的 CSF 來制定風(fēng)險管理策略。

帕斯科說，當(dāng)用作風(fēng)險管理資源時，CSF 可以在國家網(wǎng)絡(luò)安全戰(zhàn)略的五個支柱的背景下應(yīng)用。這些支柱是：

• 保衛(wèi)關(guān)鍵基礎(chǔ)設(shè)施
• 擾亂并消滅威脅行為者
• 塑造市場力量以推動安全性和彈性
• 投資一個有彈性的未來
• 建立國際伙伴關(guān)系以追求共同目標(biāo)。

CSF 的主要目標(biāo)之一是允許組織通過識別風(fēng)險和改進(jìn)風(fēng)險管理流程來制定網(wǎng)絡(luò)安全策略。更新后的框架將強(qiáng)調(diào)改進(jìn)風(fēng)險管理——這在現(xiàn)代網(wǎng)絡(luò)安全領(lǐng)域至關(guān)重要。

治理職能

原始CSF有五個功能：識別、保護(hù)、檢測、響應(yīng)和恢復(fù)。CSF 2.0 將添加第六個功能：治理。

這一功能提高了網(wǎng)絡(luò)安全風(fēng)險管理在業(yè)務(wù)和合規(guī)結(jié)果中的重要性。治理職能將重點關(guān)注政策和程序以及安全團(tuán)隊的角色和職責(zé)。組織期望的結(jié)果是根據(jù)策略評估風(fēng)險并確定風(fēng)險的優(yōu)先級，然后定義團(tuán)隊成員在解決潛在威脅方面的職責(zé)。

治理職能包括主要關(guān)注風(fēng)險管理的部分。在 CSF 的早期版本中，風(fēng)險管理涵蓋在不同的職能（識別）下，而現(xiàn)在它更完全地涵蓋在具有自己的子類別的治理職能下。CSF 2.0 的討論草案版本列出了以下指令：

• GV.RM-01：網(wǎng)絡(luò)安全風(fēng)險管理目標(biāo)由組織利益相關(guān)者制定并同意。
• GV.RM-02：網(wǎng)絡(luò)安全供應(yīng)鏈風(fēng)險管理策略已制定、組織利益相關(guān)者同意并進(jìn)行管理。
• GV.RM-03：風(fēng)險偏好和風(fēng)險承受能力聲明是根據(jù)組織的業(yè)務(wù)環(huán)境確定和傳達(dá)的。
• GV.RM-04：網(wǎng)絡(luò)安全風(fēng)險管理被視為企業(yè)風(fēng)險管理的一部分。
• GV.RM-05：建立并傳達(dá)描述適當(dāng)風(fēng)險應(yīng)對選項的戰(zhàn)略方向，包括網(wǎng)絡(luò)安全風(fēng)險轉(zhuǎn)移機(jī)制（例如保險、外包）、緩解投資和風(fēng)險接受。
• GV.RM-06：確定并傳達(dá)責(zé)任和問責(zé)制，以確保風(fēng)險管理策略和計劃得到資源、實施、評估和維護(hù)。
• GV.RM-07：審查和調(diào)整風(fēng)險管理策略，以確保覆蓋組織要求和風(fēng)險。
• GV.RM-08：
  組織領(lǐng)導(dǎo)者評估和審查網(wǎng)絡(luò)安全風(fēng)險管理策略和結(jié)果的有效性和充分性。

GV.RM-05 到 08 是 CSF 2.0 的新增內(nèi)容，是為此新功能而創(chuàng)建的。

領(lǐng)導(dǎo)

明確定義的領(lǐng)導(dǎo)角色與治理職能密切相關(guān)。標(biāo)準(zhǔn) GV.RR-01 在其角色和責(zé)任部分指出，“組織領(lǐng)導(dǎo)層對與網(wǎng)絡(luò)安全風(fēng)險相關(guān)的決策負(fù)責(zé)，并建立一種具有風(fēng)險意識、以道德方式行事并促進(jìn)持續(xù)改進(jìn)的文化。”

供應(yīng)鏈

一段時間以來，供應(yīng)鏈及其安全風(fēng)險成為熱門話題。幾年前，NIST 在 CSF 中添加了有關(guān)供應(yīng)鏈安全的指南。在CSF 2.0中，指南將擴(kuò)展至涵蓋供應(yīng)鏈風(fēng)險管理。此前，政府還采取了其他措施來增強(qiáng)供應(yīng)鏈的安全性。盡管 CSF 尚未提供供應(yīng)鏈風(fēng)險管理的具體參數(shù)，但不同的場景可能會提供旨在應(yīng)對威脅的風(fēng)險和功能的示例。

風(fēng)險管理層級

CSF 的這些可能的變化和更新將增強(qiáng)四個框架實施層，NIST將其定義為“一個觀察組織風(fēng)險方法特征的透鏡——組織如何看待網(wǎng)絡(luò)安全風(fēng)險以及管理該風(fēng)險的流程” ”。

這些層級涵蓋組織風(fēng)險管理計劃的四個不同級別：部分、風(fēng)險知情、可重復(fù)和適應(yīng)性。這些層級衡量組織如何將其圍繞網(wǎng)絡(luò)安全風(fēng)險的決策整合到整體業(yè)務(wù)風(fēng)險中。該框架的實施還著眼于公司如何與第三方共享風(fēng)險信息。

組織對其風(fēng)險管理過程進(jìn)行自我管理。他們確定最適合滿足業(yè)務(wù)目標(biāo)的當(dāng)前風(fēng)險治理級別的層級。然而，這些層級不僅僅是網(wǎng)絡(luò)安全成熟度的定義。相反，它們使公司能夠更廣泛地了解其整體網(wǎng)絡(luò)安全風(fēng)險承受能力。當(dāng)組織遵循該框架時，它可以構(gòu)建風(fēng)險概況并制定要努力實現(xiàn)的目標(biāo)概況。

CSF 2.0將如何繼續(xù)發(fā)展？

更新后的CSF 2.0更加強(qiáng)調(diào)風(fēng)險管理。通過強(qiáng)調(diào)供應(yīng)鏈風(fēng)險和安全，它還遵循聯(lián)邦政府其他部門發(fā)布的指導(dǎo)方針。從表面上看，美國的網(wǎng)絡(luò)安全方法似乎終于有了凝聚力，特別是為政府機(jī)構(gòu)和私營行業(yè)的網(wǎng)絡(luò)安全風(fēng)險管理開辟了利基市場。

這并不意味著 CSF 2.0 是完美的。有些風(fēng)險領(lǐng)域仍然需要關(guān)注，例如遠(yuǎn)程工作的治理。風(fēng)險管理標(biāo)準(zhǔn)并不是為了解決完全遠(yuǎn)程或混合勞動力的問題而設(shè)計的。

正如 CSF 2.0 認(rèn)識到供應(yīng)鏈安全正在給組織帶來更高級別的風(fēng)險一樣，它也需要加緊應(yīng)對來自人工智能（特別是生成式 AI）的新興威脅。在 CSF 2.0 進(jìn)程順利進(jìn)行后，生成式 AI 突然出現(xiàn)。現(xiàn)在，這是不可能忽視的。

也許現(xiàn)在就人工智能的潛在風(fēng)險提供明確的指導(dǎo)并提供安全框架為時已晚，但也不能擱置太久。潛在的威脅迫在眉睫，組織很快就會尋找有關(guān)如何管理這項新技術(shù)帶來的風(fēng)險的指南。