圖片來源: 

NIST

對許多企業而言,擔心資安防護不知從何著手,或是推動多年難以評估成效,近年來,NIST網路安全框架(Cybersecurity Framework,CSF)的應用,正成為企業關注的焦點,最大原因是,它能夠快速幫助企業找到方向,並具有靈活彈性、易於實施的特性,為企業在規畫與執行網路安全時,能有一個容易遵循的方式。

為了能夠建立通用的網路安全架構,其實,美國國家標準與技術研究所(NIST)做了不少的努力,像是在這個核心框架中,是以風險為基礎來設計,與ISO 27001精神相同,並是基於現有標準、指引與最佳實務作法而成,是一個通用且易於單位實施的架構,進而幫助組織與企業,都能依據自身環境彈性使用,更好地管理與降低網路安全風險。

基本上,CSF是由三個需要持續的要素組成,分別是:

● 框架核心(Framework Core)

● 框架層級(Framework Tiers)

● 框架輪廓(Framework Profiles)

或許,框架的概念對於許多人來說,可能還是有點抽象,因此這次我們先從第一個要素「框架核心」中,內容條列結構較清晰的資安工作檢核表談起,幫助大家能夠更好去理解,再來一步步說明如何使用。

CSF框架核心就是資安工作檢核表

關於NIST網路安全框架,主要包含5大功能面向,提供一個網路安全生命週期的管理策略。在此資安工作檢核表中,5大功能下具有23個類別與108個子類別,方便企業或組織能夠依循這些項目,評估各子類別可採行的安全措施與行動,並提供了許多參考資訊,可以對應到國際共通的標準與指引。同時,NIST也提供了Excel檔案格式的內容,方便組織或企業可以直接下載使用。圖片來源/NIST

框架核心具有5大功能,檢核表細分為108個控制措施

首先,CSF基於其核心所展現的資安工作檢核表,就是實用的工具。為了便於使用,NIST已經提供了一份Excel檔案格式的表格。簡單來說,在表格的最上方一列,是核心框架的組成要素與結構,包括功能、類別、子類別與參考資訊;而在表格最左側一欄,則是列出了框架核心的5大功能,分別是:識別(Identify)、保護(Protect)、偵測(Detect)、回應(Respond)與復原(Recover)。

基本上,這裡呈現的5大核心功能就是重點,定義了企業建構網路安全防護時,所需要重視的5大構面,讓企業在管理安全風險時,能夠對應到事前、事中與事後的環節,提供網路安全生命週期的管理策略。

在這CSF的5大功能之下,目前的1.1版總共定義出23個類別,以及108個子類別。基本上,主要類別是較為明確的管理方向,而更細分出的子類別項目,是企業可採行的安全措施與活動。

例如,在第一個「識別」的功能之下,包含了6個類別,分別是資產管理、企業環境、治理、風險評估、風險管理策略與供應鏈風險管理。

而類別之下的子類別內容,就是可供企業逐一檢視自身防禦的控制措施,如此簡易的表列工具,可讓企業執行網路安全防護的工作時,更容易聚焦。例如,第一個項目是,組織內的實體設備和系統列入清單,第二個是,組織內的軟體平臺和應用程式列入清單,接下去還包括資料流量的管理、資訊系統編目列管、資源調度的優先順序,以及與供應商之間的資安任務等,這些項目也等於是較為明確的內容。

換言之,在此檢核表之下,企業就能作為落實網路安全的參考與依據,而且不論企業規模大小都能適用。

建立網路安全計畫,企業需考量業務、風險與資源來決定優先級別

關於組織、企業在框架輪廓的描繪上,NIST提供了簡單的說明,可以依據本身的業務營運要求,從優先級別、風險評鑑之差異分析,以及所需要的資源,來決定安全現況改善的實施順序,讓企業每次強化都能夠最大化地提升網路安全防護水準。圖片來源/NIST

可對應到國際共通的標準與指引,並且是IT與OT環境都能適用

特別的是,在檢核別的最右側一欄,CSF還列出了各子類別的參考資訊。對於企業而言,這不僅是讓使用框架的人,能夠方便將CSF的子類別,對應到不同重要標準之下的控制措施,讓不夠理解內容的人能有更進一步的參考資料,另一方面,這其實也顯示出,CSF與其他資安架構的互通性。

關於這些參考資訊的內容,主要包括5大標準與引指,例如,ISO/IEC 27001:2013、CIS CSC、NIST SP 800-53 Rev. 4,以及ISA 62443-2-1:2009、ISA 62443-3-3:2013,還有COBIT 5。

其中的ISO/IEC 27001,是常見資訊安全管理標準;CIS CSC是非營利組織網路安全中心(CIS),發展出的資安防護架構CIS Critical Security Controls(CSC),或稱為CIS Controls;SP 800-53則是由NIST提出,針對聯邦資訊系統的安全性和隱私權規範。

同時,還有近年OT安全領域常提到的ISA 62443,它是國際自動化協會(International Society of Automation,ISA)提出,針對工業自動化和控制系統網路安全的標準。

基本上,這些都是與整體網路安全有關的資安架構,不僅如此,當中也包含了COBIT 5,這是國際電腦稽核協會(ISACA)所提出的企業IT資訊治理框架。特別的是,從這些參考資訊的內容來看,也可看出這個網路安全框架在IT、OT環境都適用的特性。

透過框架輪廓與實施層級,可評估資安防護現況與成熟度

在這個框架核心的檢核表之外,還有兩個重要的概念,也是執行上的關鍵,那就是一開始提到的CSF組成要素──框架輪廓與實施層級。

簡單來說,框架輪廓就是一種組織側寫,一種現況與目標的描述。主要將依據組織與企業本身的業務營運,以及風險容忍度,還有資源成本,來建立適合企業本身環境的網路安全活動計畫。

而要盤點的項目,就是根據前面提到的108項子類別,各別依照這個組織輪廓,來了解自己的網路安全現況,並與設定的下一個目標理想狀況相比較,來找出防禦強化上的優先順序。

而實施層級方面,則是可以幫助組織評估執行的程度。基本上,NIST也為了此框架,定義了4個實施層級(Tier),來代表各項子類別的落實程度,第一層是部份實施,第二層為察覺風險,第三層為重複評估,第四層為完全適應。

簡單來說,透過實施層級,企業就可以大概知道現有的資安現況與樣貌。因此,企業可以針對108項子類別去檢視與落實,瞭解自己是部分完成,還是已經實施,更進一步,或是已經能重複進行,甚至可以做到最佳化。

雖然,實施層級越高,一般也就表示CSF標準的實現越完整。不過,最好要能設定與自身業務營運相符合的目標,而這也顯示出此框架所提供的彈性。

不過,其實NIST也有提醒,這個實施層級不一定代表成熟度等級。因此,關鍵原則在於,要從企業自身的角度來評估,根據任務、監管要求與風險偏好,來確定現在實踐的網路安全風險管理,是否與業務活動可以充分整合。

有助於評估總體資安實施成效,易於找出企業優先補強之處

對於NIST網路安全框架這樣的議題,國內也有一些資安相關專家,已經在關注這個網路安全框架,並呼籲大家重視。例如,在今年9月開始舉行的Cybersec 101系列研討會上,勤業眾信風險諮詢公司總經理萬幼筠表示,其架構包含了組織、策略管理,以及類似ISO 27001的框架,而他更是強調,此框架所談的就是成熟度的布建,他並以內功來比喻CSF的架構。

基本上,這是一個以風險為導向、持續運作的管理架構。論及NIST網路安全框架的內涵時,針對核心功能所包含的產業標準、指引與最佳實作部分,萬幼筠指出產業知識、風險分析的重要性。例如,以一臺Unix作業系統而言,在不同環境下的風險分析,應該要有差別,像是用在電力分配分布的電腦,還是放在路邊讓人查詢的Kiosk。

他並強調,這個框架其實與產業別、資訊供應鏈,並且關係到規畫到採購,以及預算成本考量。

而從實施層級方面來看,萬幼筠也更明確指出,這裡講的完全就是風險管理流程,要管理風險,建立風險,以及考量風險。

關於CSF框架對於企業的幫助,BSI英國標準協會臺灣分公司客戶經理花俊傑,也進一步解釋該框架的應用優勢。例如,若是企業不知道如何進行網路安全防護,就可以從這五個主要的功能來做,參照其中的子類別要求來評估,幫助企業建立基礎。而且,這裡隱含了成熟度的概念在其中。

在落實資安防禦上,一般企業往往可能不知從何做起?或是不知道做得好還是不好?花俊傑表示,透過使用CSF,將可以看出組織現有的資安現況,之後,就能依照組織特性,考量風險與企業現有的資源,再訂出目標,決定日後要採取補強的策略。

對於評估現有和目標的框架輪廓,花俊傑指出其重要性,並舉例說明,像是現有網路的設備管控不足,或是系統身分驗證機制比較薄弱,企業將可透過評估現有的輪廓與目標的輪廓,進行差異分析,來決定要做哪些實質的資安管控作法,以降低風險。

已有規畫工具可為企業參考,持續執行將是一大關鍵

在這個NIST網路安全框架的使用上,NIST還有提供了7個建議步驟,讓組織能持續落實。簡單來說,這7個步驟就是從優先級別與範圍、業務流程目標確認,到建立現況輪廓、風險評估、建立目標輪廓,再從優先級別與差異來分析與決定,並實施行動計畫。

換言之,根據這些步驟,企業或組織就能依據業務特性,一步一步來建立新的網路安全計畫,不論是盤點安全現況輪廓,以及自訂想要達成的目標輪廓,以及做到持續強化與改善。

值得一提的是,對於這個檢核表的規畫方式,其實NIST也提供了簡單的說明,以便將組織資安防禦落實的現況,以及目標進行比較,並了解兩者之間的差距。例如,可以建立優先級別(Priority)、風險差異(Gap)、估計成本(Budget),以及每年活動(Activities)的欄位。

當然,對於企業而言,如果能有實際的參考範例,會更理想。因此,我們看到一些資安專家與資安業者,都分享了一張圖表,是由美國奧勒岡州波特蘭市的資安長Christopher Paidhrin所製作,而這個規畫工具,其實也是他實際在市府實施框架時所使用。

簡單而言,在這個圖表中,前面三欄的項目,與NIST提供的Excel表格一致,就是功能、類別與子類別,接下來的一些重點,就是建立了風險等級評估、預算、成熟度,以及年度行動計畫的欄位。

其中,在風險等級評估方面,這裡搭配了CIS CSC的指引,來確認風險優先級別;在預算方面則分成了3欄,可便於規畫未來3個年度的估計成本;而成熟度的欄位可依定義的層級數量而定;至於年度計畫與初步行動的欄位,可以制定3年以上的進度,並以每欄就是一季的方式來展現。因此,以這樣的檢核表內容而言,其實也就能看出評估時,所要考量的重點。

整體而言,這套NIST 網路安全框架的執行,不僅能夠幫助建立新的網路安全計畫,或是為現有計畫帶來改進與幫助,同時,企業也要注意,要能有自我評估的方法,做到持續性的檢視,並不是做完一次就能一勞永逸的工作。

最後要提醒的是,行動計劃的實施並不是結束。對於安全計畫的有效性,花俊傑提醒,持續的概念相當重要,才能讓企業維持健康的狀態,而且,一旦目標達成之後會變成現況,因此又會有下階段的目標。如此一來,透過持續與改進,將能拉高企業資安防禦水準。

 相關報導  NIST網路安全框架當紅


Advertisement

更多 iThome相關內容