根據(jù)公司需要調(diào)整美國國家標準與技術(shù)研究所(NIST)的安全路線圖的可操作建議。

美國國家標準與技術(shù)研究所網(wǎng)絡(luò)安全框架( NIST CSF )第一版于2014年發(fā)布，旨在幫助各類組織機構(gòu)加強自身網(wǎng)絡(luò)安全防御，最近更新到了1.1版。該框架是在奧巴馬總統(tǒng)授意下，由來自政府、學(xué)術(shù)界和各行各業(yè)的網(wǎng)絡(luò)安全專業(yè)人士編撰的，特朗普執(zhí)政后納入了聯(lián)邦政府策略范疇。

盡管絕大多數(shù)公司企業(yè)都認識到了這項改善所有企業(yè)網(wǎng)絡(luò)安全的有益協(xié)作的價值，調(diào)整和實現(xiàn)該框架確實說起來容易做起來難。NIST CSF 的內(nèi)容都是公開的，誰都可以查閱，此處不再贅述。這里要討論的，是可以幫助公司企業(yè)根據(jù)自身情況現(xiàn)實應(yīng)用 NIST CSF 的五個步驟。

步驟 1：設(shè)定目標

在開始考慮實現(xiàn) NIST CSF 之前，公司企業(yè)必須先著眼設(shè)置自己的目標。過程中遇到的第一個困難通常是在公司范圍內(nèi)就風險承受水平達成一致。在風險的可接受水平由什么組成這個問題上，高級管理層和IT部門之間通常存在斷層。

首先，制訂一份關(guān)于治理的協(xié)議草案，明確到底哪種風險水平是可以接受的。在進行到下一步前所有人都必須就此達成共識。另外，規(guī)劃預(yù)算、設(shè)立實現(xiàn)優(yōu)先級和需重點關(guān)注的部門也非常重要。

從公司里單個部門或少數(shù)幾個部門入手意義重大。你可以通過試運行了解到哪些方法有效而哪些是無用功，還可以為后續(xù)的廣泛部署發(fā)掘出正確的工具和最佳操作。試運行項目可以幫你構(gòu)建更深入的實現(xiàn)，更精準地估測預(yù)算。

步驟 2：創(chuàng)建詳細的配置文件

下一步就是根據(jù)公司具體業(yè)務(wù)需求深挖并調(diào)適框架。NIST的框架實現(xiàn)層可以幫你了解自身當前位置和需要到達的地方。分為3個領(lǐng)域：

風險管理過程

集成風險管理項目

外部參與

與 NIST CSF 大部分內(nèi)容一致，這些也不是一成不變的東西，可以根據(jù)公司具體需求來調(diào)整。你也可以將之歸類為人員、過程和工具，或者往框架中加上兩個自己的類別。

上述3個領(lǐng)域都有4個層次。

第1層 - 不全面的：一般表示一種不協(xié)調(diào)、不一致的反應(yīng)式網(wǎng)絡(luò)安全站位。

第2層 - 風險指引型：有一些風險感知，但規(guī)劃還是一致的。

第3層 - 可重復(fù)的：表明覆蓋公司范圍的CSF標準和一致的策略。

第4層 - 自適應(yīng)的：指的是主動式威脅檢測與預(yù)測。

層次越高，CSF標準的實現(xiàn)越完整，但最好調(diào)整這些層次以確保它們與自身目標相貼合。可以用自定義的層次來設(shè)置目標得分，但要確保在推進前征得所有利益相關(guān)者的同意。最有效的實現(xiàn)是針對具體公司和業(yè)務(wù)仔細調(diào)適過的那種。

步驟 3：評估當前狀態(tài)

前面2步走完，就到了執(zhí)行細致的風險評估以建立自身當前狀態(tài)的時候了。最好既有具體職能部門的內(nèi)部評估，又有針對整個公司的獨立評估。尋找能評測你目標領(lǐng)域的開源工具和商業(yè)軟件并訓(xùn)練員工使用這些工具軟件，或者雇傭第三方來做風險評估。比如說，漏洞掃描器、CIS基線測試、網(wǎng)絡(luò)釣魚測試、行為分析等等。要確保的是，執(zhí)行風險評估的人不知道你的目標得分是多少。

CSF實現(xiàn)團隊要在呈交給關(guān)鍵利益相關(guān)者之前收集并核對最終得分。評估過程的目的是讓公司明確了解自身運營(包括使命、職能、形象或聲譽)、資產(chǎn)和人員所面臨的安全風險。此過程應(yīng)發(fā)現(xiàn)并完整記錄漏洞與威脅。

舉個例子，下面的圖表中，公司標出了3個職能領(lǐng)域：策略、網(wǎng)絡(luò)和應(yīng)用。這些可能分布在混合云上，也可能被打散到不同環(huán)境以便能在更細致的層次上跟蹤——這種情況下需要另外考慮不同部門領(lǐng)導(dǎo)是否需對現(xiàn)場及云端部署負責。

左側(cè)熱度圖列出了不同CSF功能，可被擴展到任意粒度。采用4級量表，綠色表示一切OK，黃色代表該領(lǐng)域還需要做些工作，紅色說明尚需認真分析和校正。這里，出于跨業(yè)務(wù)部門核心小組比較評估分數(shù)的目的，“識別”核心功能被打散了。SME和核心得分是根據(jù)企業(yè)目標平均的，然后再計算風險缺口。缺口大說明需要加快修復(fù)。這張表中，該公司的“防護”和“響應(yīng)”功能是最弱的。

步驟 4：缺口分析行動計劃

有了對風險和潛在業(yè)務(wù)影響的深入認知，便可以開展缺口分析了。要將自身實際得分與目標得分做對比，或許可以考慮采用熱度圖以直觀易懂的方式來呈現(xiàn)結(jié)果。任何顯著差異都會立即凸顯出你應(yīng)加以關(guān)注的領(lǐng)域。

你得找出補足當前得分與目標得分間差距所需要完成的工作，發(fā)現(xiàn)一系列可以用來提升得分的動作，并與所有關(guān)鍵利益相關(guān)者商討執(zhí)行這些動作的優(yōu)先順序。具體項目要求、預(yù)算考量和人員配備水平可能都會影響到你的計劃。

步驟 5：實現(xiàn)行動計劃

上面4步為你帶來了自身防御現(xiàn)狀的清晰圖景、一套貼合公司情況的目標、全面的缺口分析和一系列修復(fù)動作，于是你終于走到了實現(xiàn) NIST CSF 這一步。將你的第一次實現(xiàn)當做為后續(xù)廣泛實現(xiàn)記錄過程和創(chuàng)建培訓(xùn)資料的機會。

行動計劃的實現(xiàn)并不是終結(jié)，你還需設(shè)置標準來測試其有效性，并不斷重新評估該框架以確保符合預(yù)期。這里面就應(yīng)包含持續(xù)的迭代和與關(guān)鍵決策者進行驗證的過程。為收獲最大益處，你需要精煉實現(xiàn)過程，進一步校正 NIST CSF，使其更加貼合你的業(yè)務(wù)需求。