根據(jù)公司需要調(diào)整美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)的安全路線圖的可操作建議。

美國國家標(biāo)準(zhǔn)與技術(shù)研究所網(wǎng)絡(luò)安全框架( NIST CSF )第一版于2014年發(fā)布，旨在幫助各類組織機(jī)構(gòu)加強(qiáng)自身網(wǎng)絡(luò)安全防御，最近更新到了1.1版。該框架是在奧巴馬總統(tǒng)授意下，由來自政府、學(xué)術(shù)界和各行各業(yè)的網(wǎng)絡(luò)安全專業(yè)人士編撰的，特朗普?qǐng)?zhí)政后納入了聯(lián)邦政府策略范疇。

盡管絕大多數(shù)公司企業(yè)都認(rèn)識(shí)到了這項(xiàng)改善所有企業(yè)網(wǎng)絡(luò)安全的有益協(xié)作的價(jià)值，調(diào)整和實(shí)現(xiàn)該框架確實(shí)說起來容易做起來難。NIST CSF 的內(nèi)容都是公開的，誰都可以查閱，此處不再贅述。這里要討論的，是可以幫助公司企業(yè)根據(jù)自身情況現(xiàn)實(shí)應(yīng)用 NIST CSF 的五個(gè)步驟。

步驟 1：設(shè)定目標(biāo)

在開始考慮實(shí)現(xiàn) NIST CSF 之前，公司企業(yè)必須先著眼設(shè)置自己的目標(biāo)。過程中遇到的第一個(gè)困難通常是在公司范圍內(nèi)就風(fēng)險(xiǎn)承受水平達(dá)成一致。在風(fēng)險(xiǎn)的可接受水平由什么組成這個(gè)問題上，高級(jí)管理層和IT部門之間通常存在斷層。

首先，制訂一份關(guān)于治理的協(xié)議草案，明確到底哪種風(fēng)險(xiǎn)水平是可以接受的。在進(jìn)行到下一步前所有人都必須就此達(dá)成共識(shí)。另外，規(guī)劃預(yù)算、設(shè)立實(shí)現(xiàn)優(yōu)先級(jí)和需重點(diǎn)關(guān)注的部門也非常重要。

從公司里單個(gè)部門或少數(shù)幾個(gè)部門入手意義重大。你可以通過試運(yùn)行了解到哪些方法有效而哪些是無用功，還可以為后續(xù)的廣泛部署發(fā)掘出正確的工具和最佳操作。試運(yùn)行項(xiàng)目可以幫你構(gòu)建更深入的實(shí)現(xiàn)，更精準(zhǔn)地估測預(yù)算。

步驟 2：創(chuàng)建詳細(xì)的配置文件

下一步就是根據(jù)公司具體業(yè)務(wù)需求深挖并調(diào)適框架。NIST的框架實(shí)現(xiàn)層可以幫你了解自身當(dāng)前位置和需要到達(dá)的地方。分為3個(gè)領(lǐng)域：

風(fēng)險(xiǎn)管理過程

集成風(fēng)險(xiǎn)管理項(xiàng)目

外部參與

與 NIST CSF 大部分內(nèi)容一致，這些也不是一成不變的東西，可以根據(jù)公司具體需求來調(diào)整。你也可以將之歸類為人員、過程和工具，或者往框架中加上兩個(gè)自己的類別。

上述3個(gè)領(lǐng)域都有4個(gè)層次。

第1層 - 不全面的：一般表示一種不協(xié)調(diào)、不一致的反應(yīng)式網(wǎng)絡(luò)安全站位。

第2層 - 風(fēng)險(xiǎn)指引型：有一些風(fēng)險(xiǎn)感知，但規(guī)劃還是一致的。

第3層 - 可重復(fù)的：表明覆蓋公司范圍的CSF標(biāo)準(zhǔn)和一致的策略。

第4層 - 自適應(yīng)的：指的是主動(dòng)式威脅檢測與預(yù)測。

層次越高，CSF標(biāo)準(zhǔn)的實(shí)現(xiàn)越完整，但最好調(diào)整這些層次以確保它們與自身目標(biāo)相貼合?？梢杂米远x的層次來設(shè)置目標(biāo)得分，但要確保在推進(jìn)前征得所有利益相關(guān)者的同意。最有效的實(shí)現(xiàn)是針對(duì)具體公司和業(yè)務(wù)仔細(xì)調(diào)適過的那種。

步驟 3：評(píng)估當(dāng)前狀態(tài)

前面2步走完，就到了執(zhí)行細(xì)致的風(fēng)險(xiǎn)評(píng)估以建立自身當(dāng)前狀態(tài)的時(shí)候了。最好既有具體職能部門的內(nèi)部評(píng)估，又有針對(duì)整個(gè)公司的獨(dú)立評(píng)估。尋找能評(píng)測你目標(biāo)領(lǐng)域的開源工具和商業(yè)軟件并訓(xùn)練員工使用這些工具軟件，或者雇傭第三方來做風(fēng)險(xiǎn)評(píng)估。比如說，漏洞掃描器、CIS基線測試、網(wǎng)絡(luò)釣魚測試、行為分析等等。要確保的是，執(zhí)行風(fēng)險(xiǎn)評(píng)估的人不知道你的目標(biāo)得分是多少。

CSF實(shí)現(xiàn)團(tuán)隊(duì)要在呈交給關(guān)鍵利益相關(guān)者之前收集并核對(duì)最終得分。評(píng)估過程的目的是讓公司明確了解自身運(yùn)營(包括使命、職能、形象或聲譽(yù))、資產(chǎn)和人員所面臨的安全風(fēng)險(xiǎn)。此過程應(yīng)發(fā)現(xiàn)并完整記錄漏洞與威脅。

舉個(gè)例子，下面的圖表中，公司標(biāo)出了3個(gè)職能領(lǐng)域：策略、網(wǎng)絡(luò)和應(yīng)用。這些可能分布在混合云上，也可能被打散到不同環(huán)境以便能在更細(xì)致的層次上跟蹤——這種情況下需要另外考慮不同部門領(lǐng)導(dǎo)是否需對(duì)現(xiàn)場及云端部署負(fù)責(zé)。

左側(cè)熱度圖列出了不同CSF功能，可被擴(kuò)展到任意粒度。采用4級(jí)量表，綠色表示一切OK，黃色代表該領(lǐng)域還需要做些工作，紅色說明尚需認(rèn)真分析和校正。這里，出于跨業(yè)務(wù)部門核心小組比較評(píng)估分?jǐn)?shù)的目的，“識(shí)別”核心功能被打散了。SME和核心得分是根據(jù)企業(yè)目標(biāo)平均的，然后再計(jì)算風(fēng)險(xiǎn)缺口。缺口大說明需要加快修復(fù)。這張表中，該公司的“防護(hù)”和“響應(yīng)”功能是最弱的。

步驟 4：缺口分析行動(dòng)計(jì)劃

有了對(duì)風(fēng)險(xiǎn)和潛在業(yè)務(wù)影響的深入認(rèn)知，便可以開展缺口分析了。要將自身實(shí)際得分與目標(biāo)得分做對(duì)比，或許可以考慮采用熱度圖以直觀易懂的方式來呈現(xiàn)結(jié)果。任何顯著差異都會(huì)立即凸顯出你應(yīng)加以關(guān)注的領(lǐng)域。

你得找出補(bǔ)足當(dāng)前得分與目標(biāo)得分間差距所需要完成的工作，發(fā)現(xiàn)一系列可以用來提升得分的動(dòng)作，并與所有關(guān)鍵利益相關(guān)者商討執(zhí)行這些動(dòng)作的優(yōu)先順序。具體項(xiàng)目要求、預(yù)算考量和人員配備水平可能都會(huì)影響到你的計(jì)劃。

步驟 5：實(shí)現(xiàn)行動(dòng)計(jì)劃

上面4步為你帶來了自身防御現(xiàn)狀的清晰圖景、一套貼合公司情況的目標(biāo)、全面的缺口分析和一系列修復(fù)動(dòng)作，于是你終于走到了實(shí)現(xiàn) NIST CSF 這一步。將你的第一次實(shí)現(xiàn)當(dāng)做為后續(xù)廣泛實(shí)現(xiàn)記錄過程和創(chuàng)建培訓(xùn)資料的機(jī)會(huì)。

行動(dòng)計(jì)劃的實(shí)現(xiàn)并不是終結(jié)，你還需設(shè)置標(biāo)準(zhǔn)來測試其有效性，并不斷重新評(píng)估該框架以確保符合預(yù)期。這里面就應(yīng)包含持續(xù)的迭代和與關(guān)鍵決策者進(jìn)行驗(yàn)證的過程。為收獲最大益處，你需要精煉實(shí)現(xiàn)過程，進(jìn)一步校正 NIST CSF，使其更加貼合你的業(yè)務(wù)需求。