虽然资讯安全谈了很多年,但还是有很多企业,处于头痛医头、脚痛医脚的状况,不论是导入资安管理标准与指引,建立资安事件应变小组,或是采购各式资安解决方案,都成为这几年企业防护关注的焦点。
但最大问题在于,多数企业在网络安全管理面向上,往往还是欠缺整体通盘的考量,不过,这个由美国国家标准与技术研究所(NIST),所提出的网络安全框架,近年已被看做是企业提升企业资安防御水平的新利器。不仅是因为其框架中所画分的5大功能,包括识别、保护、侦测、回应与复原,将网络安全风险管理的生命周期涵盖,更大的原因,是在此框架的规划与实施方面,提供了结构相当清晰的策略,且相对容易实施,对于还未有完善资安规划的企业而言,可以带来明显的帮助。
而且,这个网络安全框架还有一个优势,就是提供应用弹性,可适用于不同领域的组织或企业,并具备资安成熟度的概念,能便于建立评估的基准,进一步提升资安防御水准。
新版本已将供应链管理纳入范围,未来将会成为更通用的工具
关于这个NIST网络安全框架,大家也可直称NIST Cybersecurity Framework,或是CSF,但它到底为何会受到高度重视?对于多数国内企业而言,可能都对它还是感到陌生。
这是一个由美国国家标准技术研究所(NIST),所提出的网络安全框架,原本是美国-为改善关键基础设施的资安需求而起,但也强调它不限于-单位采用,对于企业而言,其实也是强化资安的优化工具。在2017年,美国-更是要求联邦-机关,都要导入这个框架。
值得注意的是,不只美国联邦-使用这项框架,来管理网络安全风险。在今年开始举行的Cybersec 101系列研讨会上,勤业众信风险咨询公司总经理万幼筠更是指出,这个框架其实还带动了全球针对关键基础设施,在立法保护上的潮流,包括欧洲、加拿大、巴西,以及韩国、日本、中国、澳洲、新加坡、马来西亚、泰国与印度等亚洲各国,台湾也不例外。
对于企业而言,更重要的是,2018年NIST网络安全框架新推出1.1版,由于新涵盖了资讯供应链安全风险管理,这影响到提供美国联邦-的供应商。
对于供应链安全风险管理的纳入,万幼筠更是认为,这个NIST网络安全框架,在国际上会越来越变成通用实作的项目,也就是大家都要依循。而且,开发、采购阶段均能适用此框架。
事实上,像是Cisco等科技大厂,不仅将CSF概念套用于自家的解决方案,在今年初,于台北举行的Cisco Connect TPE大会上,该公司系统工程经理Michael Lin也建议,要检视企业资安的整体现况,并找出需要优先需要改善的面向来规划,NIST网络安全框架就是不错的工具。
对于NIST网络安全框架的发展,万幼筠特别提醒一件事,其实该框架处处都在提醒企业,资安没有百分百安全这件事,重点是可以把组织的资安韧性(Resilience)提高,业务可以快速复原,并有相关配套,像是NIST也将保险Cyber Insurance视为重要一环。
这是因为,安全强化还有一些不是技术能力不及的问题,还要考量到预算,做到最适化的资安。他强调,NIST所聚焦的就一件事,就是要不断评估找到关键风险,强化资安韧性。
而他也认为,NIST网络安全框架,将会成为一个通用语言的工具,可以横向自我解释的工具,有助于提升组织或企业的资安防御水准。
CSF是基于风险为基础的架构,优势在于具有灵活弹性且容易切入
不过,对于企业而言,市面上各种不同的资安框架或标准,让企业有所选择参考,但也可能无所适从。例如,国内企业较熟悉的资安认证标准ISO 27001,近年兴起的MITRE ATT&CK框架,以及澳洲-提出的ACSC Essential Eight。
因此,企业该如何看待这些资安框架与标准?NIST网络安全框架又有什么特殊之处?BSI英国标准协会台湾分公司客户经理花俊杰表示,每个标准都有擅长的地方,以及适合使用的组织与情境。
以ISO 27001而言,它是目前国际公认的资讯安全管理体系,能够让组织建立完整的管理制度,并且从风险的角度来实施所需的控制措施。
而NIST CSF也是以风险为基础,但它的优势在于灵活弹性且易于实施。若是企业现有环境人力资源不足,或是对ISO标准认知还不够,也许NIST CSF是一个相对较为容易切入的作法。
即便已经导入像是ISO 27001的组织,也能借此框架的控制类别,与成熟度评估的方式,进一步强化网络安全。
至于近年兴起的MITRE ATT&CK框架,主要提供了结构化的方式来解读攻击手法和行为,借此强化企业防御评估;而ACSC Essential Eight是透过八项最有效的安全控制措施,来缓解网络攻击事件的发生。一个针对入侵流程,一个聚焦系统安全,相较之下,NIST CSF并不是着重特定领域或单点的作法,因此两者并不冲突。
成熟度评估是持续落实网络安全的关键之一,中小企业也能适用
此外,过去企业可能难以评估自身资安做的好或不好,而在NIST网络安全框架设计中,所包含的成熟度概念相当重要,而这也是近年资安发展的一大趋势,像是上述的ACSC Essential Eight,也具有成熟度的设计。
当资安工作以成熟度来展现时,将可利于盘点资安现况,规划资安目标,并让企业能有一个基准,可以比较自己在各个项目的作法,进而从风险、成本与业务特性来考量,找出需优先改善的面向,同时,要逐年自我检视才能不断精进,做到资安防御水准的提升。
而且,NIST的文件内容都是公开的,当中也已说明,这是不论企业规模大小都可适用的工具,尽管美国所指的小企业与台湾的小企业,人数规模可能还是有些落差,但从现实案例来看,也是有熟悉组织业务与安全的人,可以一个人来完成检核表的评估作业。无论如何,这都将是台湾企业值得参考的工具。
以风险为基础的NIST Cybersecurity Framework 1.1版中,可协助企业与组织建立通盘的网络安全管理策略。当中包含5大构面,并有23个类别与108个子类别(图中括号部分),同时将搭配描绘资安防御现况与目标,以及成熟度的概念,以找出优先强化的顺序。资讯来源:NIST,iThome整理,2019年9月
相关报导 NIST网络安全框架当红
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11
最新资讯
- YouTube更新违反规定政策,提升惩处透明度和一致性2023-12-31 14:00:52
- 美国法院裁定阿里须为Squishmallows玩具侵权案答辩2023-12-28 19:59:34
- 小米汽车传员工3700人 雷军称小米汽车不可能卖9万92023-12-28 19:41:57
- 吉利飙逾6% 电动车品牌极氪新车款极氪007昨上市 预售价格22.99万元2023-12-28 19:30:28
- 日本丰田汽车厂11月全球产量创新高2023-12-28 19:26:02
手机
- 中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
- 荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
- 美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
- 苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
- 香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
- 华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
- 腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
- 三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
- 三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
- vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
- 中兴受美国制裁事件 被罚了20亿美元过程事件始末 中兴被制裁后公司现状2023-11-02 22:12:46
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09