潘世鳴(Peter Pan)│ BSI台灣資通安全客製化查核/NIST CSF網路安全框架/金融合規產品經理
美國身為全球網路安全Cybersecurity議題領導國家,近年來因應不斷升級的資安攻擊,持續調整網路安全相關策略。美國拜登總統於2023年3月2日公布「國家網路安全戰略」(National Cybersecurity Strategy),強調網路安全問題已成為當務之急,不僅是國家安全的問題,也是企業發展的社會責任與關鍵因素。在此之前,美國國家標準技術研究院(NIST)於2023年1月發布公開討論版「網路安全框架(Cybersecurity Framework)2.0概念文件」,引起全球企業與資安從業人員的高度關注,並將於2024年冬季正式公告的新一代網路安全框架,預計將對企業網路安全防禦的策略產生重要影響。
以下介紹網路安全框架CSF 2.0版之概念文件,將帶來的網路安全框架新改變。
1. 將更明確界定其用途與適用範圍
在「網路安全框架CSF 1.1版」,其文件名稱為「提升關鍵基礎設施網路安全框架(Framework for Improving Critical Infrastructure Cybersecurity)」,容易造成外界對於此框架使用上的誤解。因此,NIST將更改CSF的標題與文本敘述,以明確界定其用途和適用範圍,以消除各方面可能存在的應用不明確性。此外,網路安全框架原先作為關鍵基礎設施的範例與應用仍將保留,以及擴展適用於特定關鍵基礎設施上之類別與子類別。同時,將強化與ISO國際標準或其他國家區域性標準的融合性,期望幫助更多不同企業、類型與規模的組織應對網路安全挑戰。
舉例來說,網路安全框架(Cybersecurity Framework),包含識別(Identify)、防護(Protect)、偵測(Detect)、回應(Response)與復原(Recover)五個功能,已正式將此5個功能之防禦概念,放入ISO/IEC 27002:2022資訊安全、網路安全及隱私保護的控制措施中。
2. CSF 2.0將保持框架的形式,提供現有標準與資源的全景與其他框架連接
NIST CSF旨在提供高層次的框架,並且可以擴展至任何組織,但可能導致CSF的子類別想要呈現的意圖難以理解。對於網路安全框架CSF 2.0版,NIST將用更為「簡單明確與行動導向」的流程呈現,並使用範例,讓組織可具體瞭解如何實現子類別的預期結果,以確保其對於各種組織的規模與靈活性都能適用。期望通過CSF 六大功能,透過利用與連接全球公認的標準與指南,但不取代它們的方式,產生組織所其期望資訊安全的價值。例如:風險管理框架、隱私框架及MITRE ATT&CK 威脅模型框架等,都將可各自保持獨立的框架。因為,每個框架都專注於值得專門指導的具體主題。舉例來說,許多企業在實際運用中,利用NIST CSF網路安全框架與MITRE ATT&CK 框架整合,以幫助企業實現所需的安全合規結果與目標。這種整合可以使高階管理層輕鬆評估其公司的安全狀況與成熟度。MITRE ATT&CK矩陣可以讓具有豐富IT網路技術知識的資訊安全部門與人員深入瞭解攻擊者的攻擊手法,以及如何檢測與緩解網路上的任何入侵嘗試,幫助公司擬定反制措施。
3. 將會有全新的治理(Governance)功能
網路安全框架(Cybersecurity Framework),包含識別(Identify)、防護(Protect)、偵測(Detect)、回應(Response)與復原(Recover)五個功能,已被許多企業作為對網路攻擊與反應的網路安全策略。ISO國際標準組織亦正式將此5個功能之防禦概念,放入ISO/IEC 27002:2022資訊安全、網路安全及隱私保護的控制措施中,在「網路安全框架CSF 1.1版」中,「商業環境(ID.BE)」、「治理(ID.GV)」與「風險管理(ID.RM)」被歸類於現有的「治理類別」,但這種歸類並未充分凸顯組織在網路安全治理中的重要性。為了強調治理在制定網路安全政策與計畫中的重要性,並協助企業評估與優先處理風險,以及明確定義角色與責任,新版本中的「治理功能」將被新增為第6項功能。此外,新版本將擴大對治理相關主題的廣度與深度,以便融合未來其他發展中標準或框架的治理功能,如「人工智慧風險管理框架(Artificial Intelligence Risk Management Framework,AI RMF)」或其他管理框架主題。因此,企業將能夠更全面地應對網路安全挑戰,並有效地實現網路安全目標。
4. 擴展網路安全供應鏈風險管理(Cybersecurity Supply Chain Risk Management)
在2018年,NIST將「供應鏈風險管理(ID.SC)」納入「網路安全框架CSF 1.1版」中。NIST計劃在CSF 2.0中更加重視「網路安全供應鏈風險管理(C-SCRM)」。雖然NIST未提供2.0版本的具體細節,但預計應會整合「SP 800-161網路安全供應鏈風險管理指南(Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations)」,將18個控制措施,包括存取控制、意識與培訓、稽核與問責、安全評估與授權、組態管理、緊急應變計畫、識別與認證、事件回應、維護、媒體保護、實體與環境保護、規劃、計畫管理、人員安全、風險評估、系統與服務採購、系統與通訊保護、系統與資訊完整性等,延伸至整個網路安全框架中,以管理相關供應鏈風險。
5. 將強化對網路安全測量與評估
CSF 2.0將明確指出,如何透過運用網路安全框架,組織可以擁有一套共同的詞彙與術語,以便在量測與評估網路安全風險管理過程時進行溝通。無論潛在的風險管理過程如何,所有組織的主要目標都是確定它們如何有效地管理資訊安全風險,以及它們是否在持續改進。其次,由於每個組織的風險、優先事項和系統都是獨特的,因此用於實現框架所描述的核心結果的方法和行動也會因情況而異。因此,結果的測量與評估會因組織全景而異。實務上,不會僅有單一方法能來測量與評估網路安全,因此NIST未來並不會在CSF 2.0中提出單一評估方法,以繼續保持組織實施框架的靈活性。相對於單一方法,CSF 2.0會提出組織如何運用CSF來評估與溝通其資訊安全能力的範例,可能包括組織如何結合風險管理策略與成熟度模型,使用CSF來回答關於其網路安全計劃有效性的問題,以及組織如何了解其跨系統的網路安全狀態。
美國國家標準技術研究院(NIST)仍持續整合與網路安全相關的標準與技術,旨在幫助企業建立一個組織化與系統化的方法,以定義、實施、管理和維護網路安全的過程,同時簡化網路安全策略的指南與實務。例如:NIST正在修改數位身份鑑別指南(NIST SP 800-63),並未來將在CSF中的存取控制類別(PR.AC)整合與優化數位身分安全鑑別與管理;或是強化CSF與零信任架構(NIST SP 800-207)原則之間的關係。我們將持續關注網路安全框架CSF 2.0版的相關議題,協助企業充分瞭解其特定風險,建立與有效實施網路安全框架,強化數位時代的零信任架構與網路安全風險管理,從而提高組織的韌性與資安成熟度,確保企業的資產、客戶資料的安全。
參考資料:
1. https://www.nist.gov/cyberframework/updating-nist-cybersecurity-framework-journey-csf-20
2. NIST Cybersecurity Framework 2.0 Concept Paper: Potential Significant Updates to the Cybersecurity Framework
