2.1 NIST CSF
2.1.1 什么是NIST CSF框架
NIST CSF(National Institute of Standards and Technology Cyber Security Framework)即美国国家标准与技术研究院网络安全框架,是目前全球最受欢迎的安全框架之一,重点是指导企业进行云安全的建设和运营。如今,NIST CSF作为NIST于2005年开发的800-53安全标准的替代品,已被广泛接受。NIST 800-53 本质上是2002 年的FISMA(Federal Information Security Management Act,联邦信息安全管理法案)的具体实施纲要,该法案之所以获得通过,是因为在“9·11”之后需要更好地保护网络免受威胁。然而,NIST 800-53相对比较复杂并包含大量基于传统数据中心架构的安全要求,对一般企业上云的指导意义有限,因此为了适应企业上云的需要,NIST CSF应运而生。
NIST CSF不是强制监管标准,也没有任何审计机构能对其进行认证。企业采用NIST CSF的意义在于能切实将设计目标建立在基于安全风险的建设上,并以结果为导向。如果你深入研究该框架的各个部分,就能够体会到它的指导性和实用性。
在实践中,并非所有的企业都面临相同的威胁或持有对风险相同的态度和反应,如一些公司努力推动创新并可以接受一定的风险,而另一些公司则希望提供高可靠的服务来为客户提供支持,而此框架通过形式化的过程使企业可以灵活地根据业务目标、风险偏好、预算和资源限制等情况来实施适宜的安全战略,也能很容易被企业管理层或各个相关部门理解。
NIST CSF并不是一个独立的框架,在某种意义上,它是FISMA,HIPAA(Health Insurance Portability and Accountability Act)等许多其他标准的基础。如今,随着全球各国在网络空间安全能力建设和制度创新上的突飞猛进,一些国家已经根据实际情况建立了适用于本国网络安全的法律和制度,并相继出台了指导企业进行安全能力建设的要求和指南等,但对于需要更好的安全性保护的一般企业而言,NIST CSF更容易被理解和采用,并且已经被包括亚马逊在内的主流云平台作为指导客户进行安全建设的重要依据。
CSF的诞生最早应追溯到2012年,美国国土安全部(Homeland Security)的报告显示当年的网络安全事件比上一年增加了52%,在网络安全不断恶化的形式下,美国时任总统奥巴马于2013年签署了第13636号行政命令,以提升关键信息基础设施的网络安全能力。这个行政令要求隶属于商务部的 NIST(美国国家标准与技术研究院),基于已有的标准和指导来研究和制定美国联邦关键基础设施的安全标准,随后在2014年的网络安全增强法(Cybersecurity Enhancement Act)中巩固了NIST的地位。由NIST的3000多位来自政府、学术界和各行业的网络安全专业人士共同研究和编写,并于2014年2月12日发布了SP 800-53《信息系统与组织的安全和隐私控制框架》的1.0版本。CSF 是一组标准和最佳实践指导,可以帮助组织管理网络安全的风险,提升业务效率。
2017年5月11日,美国时任总统特朗普签署了13800号行政令,将CSF纳入联邦政府策略范畴,要求联邦机构执行CSF网络安全框架,以支持组织的网络安全保护和风险管理。在过去的几年中,CSF 不仅在保护关键信息基础设施上发挥了重大作用,而且已经成为全球许多政府、行业与组织参考和采用的通用框架和标准。根据Gartner的报告,CSF在更新后的第一年—2019年已被超过30%的私营机构采用,目前已成为全球最流行的安全建设框架参考指导之一。
2018年2月在国际标准化组织(International Organization for Standardization,ISO)发布的ISO/IEC 27103标准报告中,辉映了CSF的网络安全框架与最佳实践,在识别、保护、检测、响应和恢复的五个阶段,利用已有的标准、认证和框架,聚焦组织的安全成果输出。2018年4月16日,NIST又发布了《提升关键信息基础设施网络安全框架》的1.1版本,其提供了更全面的身份认证、供应链安全、网络攻击生命周期、物联网、安全软件开发、企业安全风险治理等内容,并沿用至今。
2.1.2 CSF的作用
CSF 可以指导企业根据其业务目标、需求、风险承担能力和资源情况来确定安全防御和风险管理的优先级,具体来说,企业可以确认哪些措施对保障业务安全最重要。这将有助于对企业的安全规划和投入进行优先排序,最大限度地提高单位投入的安全投资回报,在此过程中企业也能不断改进。总的来说,CSF具有通用性、指导性、自发性和灵活性等优点。
首先,对企业而言,CSF 是一个公开的自愿性框架,是一个基于现有标准、实践的自愿性指导文件,目的在于帮助组织更好地进行安全治理与风险管理。CSF 并不创建任何新标准体系或语言,而是充分利用已有的安全技术和标准,根据客户需求组织和建立一套更加一致的框架。它虽然不是一个完全意义上的标准,但却是一套很好的可以帮助组织理解目前网络安全态势的方法。在识别跨组织业务的网络安全风险后,企业便可以构建适合自己的控制能力。
其次,在企业使用该框架时,可以根据自身情况进行定制,以寻找最适合自身风险状况和需求的方案。由于不同的企业面临着独特的风险、威胁和承受能力,因此在实践中,它们期待实现的安全防御效果也会有所不同。无论是关键基础设施运营者,还是企事业单位,都不应该把CSF当作核查清单来全面实施框架中的各项要求,而应该充分发挥其指导性和灵活性的特点,将框架中的标准描述与自身的网络安全防御和风险管理进行比较,以确定安全优先级和改善措施。
与此同时,它也提供了一种解决网络安全风险管理的通用语言,其有助于促进内部和外部组织所有利益相关者关于风险和网络安全管理的沟通,也将改善包括IT部门、建设部门、运维部门,以及高级管理团队之间的沟通和理解。在外部客户和服务商的沟通中,企业也可以利用该框架介绍和传递安全保障能力和安全建设期望等信息。
CSF 不仅可以作为企业风险管理全生命周期的框架指导,在企业迁移至云上时,还可以作为一个操作性非常强的优良架构的最佳实践参考。图2-1-1列出了CSF的主要特点。
图2-1-1
无论是对于安全防护能力较为成熟的企业,还是刚刚开始考虑网络安全的企业,都可以考虑使用该框架,区别是每个企业的当前安全状态和安全建设的优先级有所不同。从合规层面上来讲,一些企业还可以利用CSF 的规范来协调或消除与企业内外部政策间的冲突。CSF框架被用作评估风险和措施的一个战略规划工具,这在一些政府和大型企业的应用案例中表现得非常有价值,如沙特亚美集团(Saudi Aramco)利用CSF来评价自身安全的成熟度,以改进网络安全管理能力;国际信息系统审计协会(Information System Auditing and Control Association,ISACA)通过内部传递 CSF 框架提升认证人员对网络安全重要性的认识,并将其作为实践指南;在日本,CSF被用来作为日本大型企业网络安全管理人员与世界网络安全从业人员交流和沟通的重要依据。
CSF 在行业标准上也有广泛的应用,如医疗行业的健康保险携带和责任法案(Health Insurance Portability and Accountability Act,HIPAA),该法案对多种医疗健康产业都具有规范作用,包括规则、机构的识别、医护与病人的身份识别、医疗信息安全、隐私和健康计划等要求。其中涉及网络安全的规则部分没有明确的具体控制措施和指标,但这些规则的管理流程、服务和机制与CSF有一致的对应关系,因此大多数的安全在提到HIPAA合规时,其安全建设的参考依据就是CSF的控制项。
2.1.3 CSF的核心
CSF 提供了一套简单但有效的安全框架结构,核心部分由安全核心(Core)、安全层级(Tiers)和安全档案(Profile)三部分组成。下面着重介绍CSF的核心部分和其在云环境下的遵从和应对等问题。
1.安全核心
CSF 的安全核心部分是针对关键信息基础设施的一组通用的网络安全措施、预期成果和参考。该核心在从执行层到管理层的不同层面上都提供了行业标准、准则和实践,是一系列的安全实践、技术和运营的管理措施,从识别(Identify)、保护(Protect)、检测(Detect)、响应(Respond)、恢复(Recover)五个功能维度来建议,其中每个维度都分别包含类别、子类别和信息参考。类别代表安全能力目标,而子类别是进一步描述安全目标,信息参考则是部分列举目前已有的标准、指南和实践,以供企业参考。在框架开发过程中,常常被企业引用的是指南。需要注意的是,子类别中汇集的安全标准并不是全集,而是只列出了NIST建议参考的部分控制措施。当企业进行云上建设时,可以将核心部分与每个关键类别、子类别中的参考信息进行匹配,作为实践的参考指南。图2-1-2所示为CSF安全核心的部分体系。
图2-1-2
(1)识别
识别功能是CSF核心维度的第一项,包含资产管理、商业环境、治理、风险管理策略和供应链风控。企业通过信息系统、人员、资产、数据等信息形成对组织层面的理解,可以提升对风险的识别和管理能力,通过了解资产状态、业务环境、支持关键业务的资源情况,以及所涉及的安全风险,能够专注于根据风险管理策略和业务需求进行优先级排序。
识别和管理IT资产是企业进行安全治理的首要环节,但由于网络分层、分级等原因,资产清点工作和维持准确的资产账目都并非易事,这就可能导致资产被忽略,而无法及时进行管理和更新,留下安全隐患。但在云环境下,不仅传统IT环境中客户费力的维护物理设备的工作将被省去,而且资产云化对资产和数据将会带来极大的可管理性。无论云上负载是否在运行,还是网络结构如何分层、分级,客户都可以利用云原生的管理工具来快速地识别、分类、标记或采用需要的策略并对逻辑资产进行盘点和管理。企业在云上也更容易针对风险级别和重要性操作进行自动化管理,云原生服务可以最大化地避免人为误操作和误判断带来的安全意外,由此,云上的IT资源、访问权限、访问行为都可以更加可视化地被呈现和管理。
(2)保护
企业可以通过制定和实施适当的防护措施,来确保关键服务的安全。保护功能旨在控制和限制网络安全的威胁和安全事件的影响范围,包含身份管理和访问控制、安全意识与培训、数据安全、信息保护过程与步骤、运维和安全防护技术。
当涉及威胁和安全防护时,我们一般会从业务的可用性、保密性和完整性等角度去考虑。相比传统的数据环境,云服务能够带来更高的服务可用性,这主要是由于企业可以将应用部署在逻辑隔离的不同区域,云平台的容量管理弹性能够很好地处理数据中心的中断等问题。在保密方面,云平台需要能够对数据流转和保存的全生命周期进行加密,同时也需要具备TLS/SSL 等可支持建立虚拟专用网络或其他安全传输通道的能力来保障云与外部环境信息通信的保密性。在完整性方面,云平台需要通过各类管理工具对保护对象(数据、日志、操作行为等)进行完整性检查和状态改变监控。与此同时,云上用户需要既能轻松管理身份访问控制,也能使用第三方提供的身份权限验证,以便安全和方便地管理客户到云平台的访问环境。针对云上的安全意识培训,云平台也应该能够提供针对不同云上角色的培训,同时还需要具备通过生态向客户提供特色安全培训服务的能力。
(3)检测与监控
检测与监控是指制定并实施措施来持续检测和发现安全事件,功能包括异常行为和事件检测、持续的安全监控及监控流程保持。
这部分要求企业具备收集、分析和预警安全事件并能够进行风险管理的能力,云平台可以自动进行账户级的操作审计,这是因为云平台都是通过向客户提供API来调用云资源的。当然,海量的数据分析是一个很大的挑战,因此能够对日志、流量等海量数据进行快速和自动化的分析以响应安全事件,同时过滤误报和低风险告警是考量云平台的指标。当企业对异常行为或安全事件分析时,结合威胁情报、数据重要性等多维度数据的关联性分析必不可少,因此,云平台的人工智能与机器学习服务也可能会被利用起来进行深度实时分析。
(4)响应
通过采取措施来对检测到的网络安全事件及时响应,也是安全建设非常重要的环节。响应的作用在于限制威胁蔓延和安全事件的影响范围,包括响应计划、内外部沟通、分析、缓解和改进五个子类别。
对于任何一个企业,对威胁的响应速度都至关重要,云平台恰好可以提供对复杂响应计划和流程的自动化处理能力,缩短从威胁发现到响应的时间。比如,对于可疑的云实例,其可以快速隔离、留存快照、通过安全分析工具进行分析处置,这种自动化流程在云端会更加具备一致性和可重复性。云平台也可以引入人工操作对安全事件进行调查,整个自动化和人工分析过程都可以被记录下来,以便回顾和复盘。
(5)恢复
恢复是安全核心部分的最后一个环节,但也是企业安全建设的根本要求,即在遇到安全事件时,可以恢复提供服务,保证业务正常运行。恢复包括恢复计划、改善和内外部沟通机制三部分,其目的是最大限度地减小网络安全事件的影响。
在恢复阶段,客户需要对自身的数据和应用的恢复负责,前面已经提到云平台的可用性可以很好地解决客户自我恢复的问题。同时,云平台也需要为客户提供各类具有自我修复功能的工具。除了技术恢复手段,客户还可以通过各类管理手段进行对外沟通,使商誉损失最小化。
2.安全层级
安全层级代表企业的网络安全管理能力,类似于企业的安全能力成熟度模型。它描述了企业在网络安全风险管理实践中,基于风险、威胁感知、可重复和适应性的成熟度。安全层级包含从被动式的1级到自适应的4级,不断提升。在层级选择过程中,企业应根据当前的风险管理实践、威胁环境、法律法规和商业目标,以及企业的一些约束来选择。
虽然类似,但安全层级并不是代表成熟度的标准,而是为企业提供有关网络安全风险管理和运营风险管理的指导,即企业从整体出发评估当前的网络安全风险管理活动,并根据内部规定、法规和风险承受能力,来确认其是否充分。当具备成本效益并能降低网络安全风险时,企业可以将安全层级升级到更高级别。
在描述安全层级时,一般会从风险管理流程、综合风控计划和外部参与的角度对企业的安全状态进行描述。由于这部分会因企业状态的不同而有所差异,因此这里只列出层级和其概括性的描述。
● 部分的(Partial):临时性的,组织策略不一致的,不参与外部协作的安全层级;
● 风险指引(Risk Informed):基于一定风险感知,内部策略不一致,较少参与外部协作的安全层级;
● 可重复(Repeatable):具备一致性组织策略和流程,理解生态系统中企业安全态势的安全层级;
● 自适应(Adaptive):有一致的组织策略,主动的且基于企业业务目标的,并能完成生态中安全协作的自适应安全层级。
3.安全档案
安全档案是企业期望的网络安全效果和产出,企业可以通过从类别和其子类别中选择基于适合的项来进行规划。安全档案可以被认为是一种标准,即指导和实践在特定场景中的实施方案和应用。企业可以将当前状态与目标状态进行比较并分析差距,来改善网络安全状况。在具体实践中,企业可以根据业务驱动因素和自身的风险评估倾向来确定最重要的类别和子类别,还可以根据情况添加类别,以解除组织的风险。
2.1.4 CSF在云治理中的作用
在CSF中,云服务商在识别方面需要严格执行对数据中心和信息访问的管理,在员工和供应商不需要访问物理机房的特权时就立即撤销,并针对物理机房的所有访问定期进行记录和审核,同时严格控制、管理和持续监控对系统和数据的访问。如果客户在云上的数据和服务器逻辑上需要进行隔离,对于某些特权用户就需要遵从 ISO,SOC 等要求的独立的第三方进行审计。云平台系统也需要针对系统开发的生命周期来进行威胁建模和风险评估,对平台的风险定期采取内外部的评估方案进行测评。同时,在采购和供应商管理方面,云平台需要遵循ISO27001等标准。在防护阶段,云平台员工的权限需要基于最小权限进行管理,而在访问物理环境时,需要根据职责对个体进入数据中心的层级、时长等进行细粒度的管理。云平台也需要依据商业目的对第三方的访问进行最小权限管理,而这部分应该与对应的云平台厂商的接口部门进行责任连带的绑定,因为接口部门的员工有责任对第三方的行为进行管理。大规模的云平台应该具备更强的专业性和完善的能力来运营、维护、控制、部署、监控任何基础设施环境的变化,并提供冗余、紧急响应、数据擦除等专业服务,以确保安全防护措施的有效性。
另外,在检测环节中,云平台应该提供各类工具来帮助客户进行失陷检测和发现潜在的安全问题,应该通过有经验的安全团队来确定安全阈值和告警机制,应该将在逻辑和物理环境中由监控系统获取的信息进行关联,以增强平台的安全性。在响应阶段,云平台应该支持用户部署一个完整的事件响应策略和计划,包括启动应急、通知流程、恢复流程和重建阶段。另外,云平台还应该进行应急响应的自测,通过演练发现平台的问题,测试安全团队在检测、分析、遏制、消除、恢复等阶段的能力,并不断优化响应计划和流程,以提升响应能力。最后,在恢复阶段,云天然的弹性架构和自动化的处理流程可以帮助企业快速从事件中恢复,降低安全事件对业务的干扰。
近年来,日本、意大利、以色列、英国等国家都把CSF作为构建网络安全能力的指导和参考。而随着越来越多的政府机构和企业承认CSF的价值,其将会逐渐成为机构安全建设和风险管理的通用参考和工具,而世界主流的云服务商也开始结合该框架给客户提供完整的网络安全服务。尽管大多数企业都认识到改善企业网络安全有益于协作价值的提升,但制定和实施CSF说起来容易做起来难,企业还在不断持续迭代和验证、不断修正,以使其更加贴合业务需求。