NIST 網(wǎng)絡(luò)安全框架 2.0 (CSF) 正在進(jìn)入 2024 年實(shí)施前的最后階段。在五月結(jié)束的框架決策公開討論期結(jié)束后，現(xiàn)在是時(shí)候更多地了解指南變化的預(yù)期了。

NIST 高級(jí)技術(shù)政策顧問(wèn) Cherilyn Pascoe 在 2023 年 RSA 會(huì)議上表示，更新后的 CSF 正在與拜登政府的國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略保持一致。這建立了新的 CSF 來(lái)制定風(fēng)險(xiǎn)管理策略。

帕斯科說(shuō)，當(dāng)用作風(fēng)險(xiǎn)管理資源時(shí)，CSF 可以在國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略的五個(gè)支柱的背景下應(yīng)用。這些支柱是：

• 保衛(wèi)關(guān)鍵基礎(chǔ)設(shè)施
• 擾亂并消滅威脅行為者
• 塑造市場(chǎng)力量以推動(dòng)安全性和彈性
• 投資一個(gè)有彈性的未來(lái)
• 建立國(guó)際伙伴關(guān)系以追求共同目標(biāo)。

CSF 的主要目標(biāo)之一是允許組織通過(guò)識(shí)別風(fēng)險(xiǎn)和改進(jìn)風(fēng)險(xiǎn)管理流程來(lái)制定網(wǎng)絡(luò)安全策略。更新后的框架將強(qiáng)調(diào)改進(jìn)風(fēng)險(xiǎn)管理——這在現(xiàn)代網(wǎng)絡(luò)安全領(lǐng)域至關(guān)重要。

治理職能

原始CSF有五個(gè)功能：識(shí)別、保護(hù)、檢測(cè)、響應(yīng)和恢復(fù)。CSF 2.0 將添加第六個(gè)功能：治理。

這一功能提高了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理在業(yè)務(wù)和合規(guī)結(jié)果中的重要性。治理職能將重點(diǎn)關(guān)注政策和程序以及安全團(tuán)隊(duì)的角色和職責(zé)。組織期望的結(jié)果是根據(jù)策略評(píng)估風(fēng)險(xiǎn)并確定風(fēng)險(xiǎn)的優(yōu)先級(jí)，然后定義團(tuán)隊(duì)成員在解決潛在威脅方面的職責(zé)。

治理職能包括主要關(guān)注風(fēng)險(xiǎn)管理的部分。在 CSF 的早期版本中，風(fēng)險(xiǎn)管理涵蓋在不同的職能（識(shí)別）下，而現(xiàn)在它更完全地涵蓋在具有自己的子類別的治理職能下。CSF 2.0 的討論草案版本列出了以下指令：

• GV.RM-01：網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理目標(biāo)由組織利益相關(guān)者制定并同意。
• GV.RM-02：網(wǎng)絡(luò)安全供應(yīng)鏈風(fēng)險(xiǎn)管理策略已制定、組織利益相關(guān)者同意并進(jìn)行管理。
• GV.RM-03：風(fēng)險(xiǎn)偏好和風(fēng)險(xiǎn)承受能力聲明是根據(jù)組織的業(yè)務(wù)環(huán)境確定和傳達(dá)的。
• GV.RM-04：網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理被視為企業(yè)風(fēng)險(xiǎn)管理的一部分。
• GV.RM-05：建立并傳達(dá)描述適當(dāng)風(fēng)險(xiǎn)應(yīng)對(duì)選項(xiàng)的戰(zhàn)略方向，包括網(wǎng)絡(luò)安全風(fēng)險(xiǎn)轉(zhuǎn)移機(jī)制（例如保險(xiǎn)、外包）、緩解投資和風(fēng)險(xiǎn)接受。
• GV.RM-06：確定并傳達(dá)責(zé)任和問(wèn)責(zé)制，以確保風(fēng)險(xiǎn)管理策略和計(jì)劃得到資源、實(shí)施、評(píng)估和維護(hù)。
• GV.RM-07：審查和調(diào)整風(fēng)險(xiǎn)管理策略，以確保覆蓋組織要求和風(fēng)險(xiǎn)。
• GV.RM-08：
  組織領(lǐng)導(dǎo)者評(píng)估和審查網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理策略和結(jié)果的有效性和充分性。

GV.RM-05 到 08 是 CSF 2.0 的新增內(nèi)容，是為此新功能而創(chuàng)建的。

領(lǐng)導(dǎo)

明確定義的領(lǐng)導(dǎo)角色與治理職能密切相關(guān)。標(biāo)準(zhǔn) GV.RR-01 在其角色和責(zé)任部分指出，“組織領(lǐng)導(dǎo)層對(duì)與網(wǎng)絡(luò)安全風(fēng)險(xiǎn)相關(guān)的決策負(fù)責(zé)，并建立一種具有風(fēng)險(xiǎn)意識(shí)、以道德方式行事并促進(jìn)持續(xù)改進(jìn)的文化?！?/p>

供應(yīng)鏈

一段時(shí)間以來(lái)，供應(yīng)鏈及其安全風(fēng)險(xiǎn)成為熱門話題。幾年前，NIST 在 CSF 中添加了有關(guān)供應(yīng)鏈安全的指南。在CSF 2.0中，指南將擴(kuò)展至涵蓋供應(yīng)鏈風(fēng)險(xiǎn)管理。此前，政府還采取了其他措施來(lái)增強(qiáng)供應(yīng)鏈的安全性。盡管 CSF 尚未提供供應(yīng)鏈風(fēng)險(xiǎn)管理的具體參數(shù)，但不同的場(chǎng)景可能會(huì)提供旨在應(yīng)對(duì)威脅的風(fēng)險(xiǎn)和功能的示例。

風(fēng)險(xiǎn)管理層級(jí)

CSF 的這些可能的變化和更新將增強(qiáng)四個(gè)框架實(shí)施層，NIST將其定義為“一個(gè)觀察組織風(fēng)險(xiǎn)方法特征的透鏡——組織如何看待網(wǎng)絡(luò)安全風(fēng)險(xiǎn)以及管理該風(fēng)險(xiǎn)的流程” ”。

這些層級(jí)涵蓋組織風(fēng)險(xiǎn)管理計(jì)劃的四個(gè)不同級(jí)別：部分、風(fēng)險(xiǎn)知情、可重復(fù)和適應(yīng)性。這些層級(jí)衡量組織如何將其圍繞網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的決策整合到整體業(yè)務(wù)風(fēng)險(xiǎn)中。該框架的實(shí)施還著眼于公司如何與第三方共享風(fēng)險(xiǎn)信息。

組織對(duì)其風(fēng)險(xiǎn)管理過(guò)程進(jìn)行自我管理。他們確定最適合滿足業(yè)務(wù)目標(biāo)的當(dāng)前風(fēng)險(xiǎn)治理級(jí)別的層級(jí)。然而，這些層級(jí)不僅僅是網(wǎng)絡(luò)安全成熟度的定義。相反，它們使公司能夠更廣泛地了解其整體網(wǎng)絡(luò)安全風(fēng)險(xiǎn)承受能力。當(dāng)組織遵循該框架時(shí)，它可以構(gòu)建風(fēng)險(xiǎn)概況并制定要努力實(shí)現(xiàn)的目標(biāo)概況。

CSF 2.0將如何繼續(xù)發(fā)展？

更新后的CSF 2.0更加強(qiáng)調(diào)風(fēng)險(xiǎn)管理。通過(guò)強(qiáng)調(diào)供應(yīng)鏈風(fēng)險(xiǎn)和安全，它還遵循聯(lián)邦政府其他部門發(fā)布的指導(dǎo)方針。從表面上看，美國(guó)的網(wǎng)絡(luò)安全方法似乎終于有了凝聚力，特別是為政府機(jī)構(gòu)和私營(yíng)行業(yè)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理開辟了利基市場(chǎng)。

這并不意味著 CSF 2.0 是完美的。有些風(fēng)險(xiǎn)領(lǐng)域仍然需要關(guān)注，例如遠(yuǎn)程工作的治理。風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)并不是為了解決完全遠(yuǎn)程或混合勞動(dòng)力的問(wèn)題而設(shè)計(jì)的。

正如 CSF 2.0 認(rèn)識(shí)到供應(yīng)鏈安全正在給組織帶來(lái)更高級(jí)別的風(fēng)險(xiǎn)一樣，它也需要加緊應(yīng)對(duì)來(lái)自人工智能（特別是生成式 AI）的新興威脅。在 CSF 2.0 進(jìn)程順利進(jìn)行后，生成式 AI 突然出現(xiàn)?，F(xiàn)在，這是不可能忽視的。

也許現(xiàn)在就人工智能的潛在風(fēng)險(xiǎn)提供明確的指導(dǎo)并提供安全框架為時(shí)已晚，但也不能擱置太久。潛在的威脅迫在眉睫，組織很快就會(huì)尋找有關(guān)如何管理這項(xiàng)新技術(shù)帶來(lái)的風(fēng)險(xiǎn)的指南。