然資訊安全談了很多年,但還是有很多企業,處於頭痛醫頭、腳痛醫腳的狀況,不論是導入資安管理標準與指引,建立資安事件應變小組,或是採購各式資安解決方案,都成為這幾年企業防護關注的焦點。

但最大問題在於,多數企業在網路安全管理面向上,往往還是欠缺整體通盤的考量,不過,這個由美國國家標準與技術研究所(NIST),所提出的網路安全框架,近年已被看做是企業提升企業資安防禦水平的新利器。不僅是因為其框架中所畫分的5大功能,包括識別、保護、偵測、回應與復原,將網路安全風險管理的生命週期涵蓋,更大的原因,是在此框架的規畫與實施方面,提供了結構相當清晰的策略,且相對容易實施,對於還未有完善資安規畫的企業而言,可以帶來明顯的幫助。

而且,這個網路安全框架還有一個優勢,就是提供應用彈性,可適用於不同領域的組織或企業,並具備資安成熟度的概念,能便於建立評估的基準,進一步提升資安防禦水準。

新版本已將供應鏈管理納入範圍,未來將會成為更通用的工具

關於這個NIST網路安全框架,大家也可直稱NIST Cybersecurity Framework,或是CSF,但它到底為何會受到高度重視?對於多數國內企業而言,可能都對它還是感到陌生。

這是一個由美國國家標準技術研究所(NIST),所提出的網路安全框架,原本是美國政府為改善關鍵基礎設施的資安需求而起,但也強調它不限於政府單位採用,對於企業而言,其實也是強化資安的優化工具。在2017年,美國政府更是要求聯邦政府機關,都要導入這個框架。

值得注意的是,不只美國聯邦政府使用這項框架,來管理網路安全風險。在今年開始舉行的Cybersec 101系列研討會上,勤業眾信風險諮詢公司總經理萬幼筠更是指出,這個框架其實還帶動了全球針對關鍵基礎設施,在立法保護上的潮流,包括歐洲、加拿大、巴西,以及韓國、日本、中國、澳洲、新加坡、馬來西亞、泰國與印度等亞洲各國,臺灣也不例外。

對於企業而言,更重要的是,2018年NIST網路安全框架新推出1.1版,由於新涵蓋了資訊供應鏈安全風險管理(Supply Chain Risk Management, SCRM),這影響到提供美國聯邦政府的供應商。

對於供應鏈安全風險管理的納入,萬幼筠更是認為,這個NIST網路安全框架,在國際上會越來越變成通用實作的項目,也就是大家都要依循。而且,開發、採購階段均能適用此框架。

事實上,像是Cisco等科技大廠,不僅將CSF概念套用於自家的解決方案,在今年初,於臺北舉行的Cisco Connect TPE大會上,該公司系統工程經理Michael Lin也建議,要檢視企業資安的整體現況,並找出需要優先需要改善的面向來規畫,NIST網路安全框架就是不錯的工具。

對於NIST網路安全框架的發展,萬幼筠特別提醒一件事,其實該框架處處都在提醒企業,資安沒有百分百安全這件事,重點是可以把組織的資安韌性(Resilience)提高,業務可以快速復原,並有相關配套,像是NIST也將保險Cyber Insurance視為重要一環。

這是因為,安全強化還有一些不是技術能力不及的問題,還要考量到預算,做到最適化的資安。他強調,NIST所聚焦的就一件事,就是要不斷評估找到關鍵風險,強化資安韌性。

而他也認為,NIST網路安全框架,將會成為一個通用語言的工具,可以橫向自我解釋的工具,有助於提升組織或企業的資安防禦水準。

CSF是基於風險為基礎的架構,優勢在於具有靈活彈性且容易切入

不過,對於企業而言,市面上各種不同的資安框架或標準,讓企業有所選擇參考,但也可能無所適從。例如,國內企業較熟悉的資安認證標準ISO 27001,近年興起的MITRE ATT&CK框架,以及澳洲政府提出的ACSC Essential Eight。

因此,企業該如何看待這些資安框架與標準?NIST網路安全框架又有什麼特殊之處?BSI英國標準協會臺灣分公司客戶經理花俊傑表示,每個標準都有擅長的地方,以及適合使用的組織與情境。

以ISO 27001而言,它是目前國際公認的資訊安全管理體系,能夠讓組織建立完整的管理制度,並且從風險的角度來實施所需的控制措施。

而NIST CSF也是以風險為基礎,但它的優勢在於靈活彈性且易於實施。若是企業現有環境人力資源不足,或是對ISO標準認知還不夠,也許NIST CSF是一個相對較為容易切入的作法。

即便已經導入像是ISO 27001的組織,也能藉此框架的控制類別,與成熟度評估的方式,進一步強化網路安全。

至於近年興起的MITRE ATT&CK框架,主要提供了結構化的方式來解讀攻擊手法和行為,藉此強化企業防禦評估;而ACSC Essential Eight是透過八項最有效的安全控制措施,來緩解網路攻擊事件的發生。一個針對入侵流程,一個聚焦系統安全,相較之下,NIST CSF並不是著重特定領域或單點的作法,因此兩者並不衝突。

成熟度評估是持續落實網路安全的關鍵之一,中小企業也能適用

此外,過去企業可能難以評估自身資安做的好或不好,而在NIST網路安全框架設計中,所包含的成熟度概念相當重要,而這也是近年資安發展的一大趨勢,像是上述的ACSC Essential Eight,也具有成熟度的設計。

當資安工作以成熟度來展現時,將可利於盤點資安現況,規畫資安目標,並讓企業能有一個基準,可以比較自己在各個項目的作法,進而從風險、成本與業務特性來考量,找出需優先改善的面向,同時,要逐年自我檢視才能不斷精進,做到資安防禦水準的提升。額外一提的是,框架目標也包含了與內部或外部的利害關係人溝通網路安全風險。

而且,NIST的文件內容都是公開的,當中也已說明,這是不論企業規模大小都可適用的工具,儘管美國所指的小企業與臺灣的小企業,人數規模可能還是有些落差,但從現實案例來看,也是有熟悉組織業務與安全的人,可以一個人來完成檢核表的評估作業。無論如何,這都將是臺灣企業值得參考的工具。

以風險為基礎的NIST Cybersecurity Framework 1.1版中,可協助企業與組織建立通盤的網路安全管理策略。當中包含5大構面,並有23個類別與108個子類別(圖中括號部分),同時將搭配描繪資安防禦現況與目標,以及成熟度的概念,以找出優先強化的順序。資訊來源:NIST,iThome整理,2019年9月

 相關報導  NIST網路安全框架當紅


Advertisement

更多 iThome相關內容