美國國家標準與技術研究所(NIST)的標準，由于具有專業(yè)性，加上外部專家?guī)椭幹芅IST文件，使得其在眾多組織中發(fā)揮了關鍵作用——從最新的密碼要求(NIST 800-63)到制造商物聯(lián)網(wǎng)安全(NISTIR 8259)，NIST始終是個起點。NIST網(wǎng)絡安全框架(CSF)最初于2014年發(fā)布，上一次更新是在2018年。該框架使眾多組織能夠借助一套精心規(guī)劃且易于使用的框架，提高關鍵基礎設施的安全性和彈性。

CSF 在 SaaS大行其道時編寫和更新，如今伴隨 SaaS 的持續(xù)發(fā)展以及工作環(huán)境因新冠疫情出現(xiàn)的重大變化帶來了新的安全挑戰(zhàn)。組織可以使 CSF 更適應基于 SaaS 的現(xiàn)代工作環(huán)境，從而更有效地應對新風險。本文闡述 CSF 的關鍵要素，指出主要優(yōu)點，并給出具體實施方法和建議以確保 SaaS 安全。

NIST CSF概述

NIST CSF 列出了五項安全功能，并進行分門別類，針對每個子類別， CSF 附有一系列知名標準和框架作為參照，比如 ISO 27001 、 COBIT 、 NIST SP 800-53 和 ANSI/ISA-62443 。這些參照標準幫助組織實施 CSF ，并與其他框架形成對比，比如說，無論一家企業(yè)需要遵守什么安全標準，安全經(jīng)理或其他團隊成員都可以使用這些參照標準來證明其決定是否正確。NIST CSF 框架具有五個階段的核心功能：識別、保護、檢測、響應和恢復，下面逐一介紹。

• 識別：NIST 對這項功能的定義為“幫助組織了解情況，以管理系統(tǒng)、資產(chǎn)、數(shù)據(jù)和能力面臨的網(wǎng)絡安全風險。”在這項功能下面， NIST 包括資產(chǎn)管理、商業(yè)環(huán)境、治理、風險評估、風險管理策略、供應鏈風險管理等控制類別。

• 保護：NIST對這項功能的定義為“制定并實施適當?shù)谋Ｕ洗胧?，以確保提供關鍵基礎設施服務。”在這項功能下面，NIST包括訪問控制、意識和培訓、數(shù)據(jù)安全、信息保護流程和程序、維護、防護技術等控制類別。

• 檢測：NIST 對這項功能的定義為“確定并實施適當?shù)幕顒樱宰R別發(fā)生的網(wǎng)絡安全事件。”在這項功能下面， NIST 包括異常和事件、安全持續(xù)監(jiān)控、檢測流程等控制類別。

• 響應：NIST 對這項功能的定義為“確定并實施適當?shù)幕顒?，對檢測到的網(wǎng)絡安全事件采取行動。”在這項功能下面， NIST 包括響應規(guī)劃、溝通、分析、緩解、改進等控制類別。

• 恢復：NIST 對這項功能的定義為“確定并實施適當?shù)幕顒?，以維持彈性計劃，并恢復因網(wǎng)絡安全事件而受損的任何能力或服務。”在這項功能下面， NIST 包括恢復規(guī)劃、改進、溝通等控制類別。

NIST CSF 面臨的挑戰(zhàn)

盡管該框架是最佳實踐方面的模型之一，但實施起來有難度，主要體現(xiàn)在以下幾個方面。

1. 傳輸中的數(shù)據(jù)受保護(PR.DS-2)

使用 SaaS 服務的企業(yè)可能想知道這與它們有怎樣的關系。它們可能認為合規(guī)是 SaaS提供商的責任。然而更深入的研究表明，許多 SaaS 提供商落實了安全措施，用戶有責任使用這些安全措施。比如說，管理員不該允許通過 HTTP 連接到 SaaS 服務，應該只允許安全的 HTTPS 連接。

2. 防止數(shù)據(jù)泄露的機制已實施(PR.DS-5)

這可能看起來像一個小的子類別，而實際上很龐大，數(shù)據(jù)泄露極難預防。采用 SaaS 應用程序使得這項工作更困難重重，因為人們可以從世界上任何地方共享和訪問它們。管理員或 CISO 辦公室成員應特別注意這種威脅。SaaS 中的 DLP 可能包括以下安全措施：共享文件鏈接，而不是實際文件;設置鏈接的到期日期;如果不需要，禁用下載選項;阻止在數(shù)據(jù)分析 SaaS 中導出數(shù)據(jù)的功能;用戶身份驗證加固;防止通信 SaaS 中的區(qū)域記錄;定義明確的用戶角色，擁有數(shù)量有限的超級用戶和管理員。

3. 為授權的設備、用戶和流程頒發(fā)、管理、驗證、撤銷和審計身份和登錄信息(PR.AC-1)

隨著企業(yè)擴大勞動力隊伍、加大 SaaS 的應用，這個子類別變得更具挑戰(zhàn)性。管理僅使用五個 SaaS 系統(tǒng)的 50000 個用戶，意味著安全團隊需要管理 250000 個身份，這個問題真實而復雜。更具挑戰(zhàn)性的是，每個 SaaS 系統(tǒng)有不同的方式來定義、查看和保護身份。同時 SaaS 應用程序并不總是相互集成，這意味著用戶可能發(fā)現(xiàn)自己在不同的系統(tǒng)中擁有不同的權限。這就會導致不必要的特權，從而帶來潛在的安全風險。

參考鏈接：https://thehackernews.com/2022/01/nist-cybersecurity-framework-quick.html

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文