如何跟上NIST 的安全转型

人类的任何转型都是痛苦的，但是历史的车轮不会因为我们对过去的迷恋而停步，比如新冠疫情以来数字化与我们更加紧密了。健康码、核酸检测结果通过一部手机联系着我们的出行与规划，所以新冠疫情期间发生了一次更加有力的数字化转型。

从个人角度，三年期间有些工作是窝在家里，面对着电脑完成。世界范围内远程工作迫使公司将数字技术（从云计算服务到人工智能/机器学习）集成到整个业务运营中，以使员工能够保持高生产和效率标准。

现在企业和消费者已经适应了数字化转型的新常态，是时候制定安全转型策略了。

应对变化的速度

不断发展的技术环境意味着安全需求和系统不断变化。举一个简单的例子，看看网络安全必须以多快的速度改变才能适应生成人工智能。在不到一年的时间里，组织和网络安全分析师正在寻找使用生成式人工智能来改进网络防御的方法，而威胁行为者已经找到了发起更复杂、更难以检测的攻击的方法（更不用说针对人工智能工具本身） ）。

与任何转型一样，问题在于知道从哪里开始以及需要更新什么。幸运的是，安全转型有可遵循的蓝图，首先是美国国家标准与技术研究院 (NIST) 网络安全框架 (CSF)。从那里，组织可以使用参考点，例如最近关于网络安全准备情况的白宫行政命令以及州、联邦、行业和国际数据隐私合规性法规。网络安全保险要求提供了更有用的指南。

与数字化转型一样，安全转型也将不断发展以满足您组织的需求。可能会有一些推动快速行动的动力——例如，您希望尽早针对勒索软件攻击制定保护措施或策略。然而，最好有条不紊地确保您正在构建适合您需求的正确安全计划。

NIST CSF 更新为您的转型提供了示例

最初的NIST CSF于2014 年发布，旨在提高关键基础设施的安全性。时任美国商务部标准与技术副部长兼 NIST 主任帕特里克·D·加拉格尔 (Patrick D. Gallagher) 表示，它是根据奥巴马白宫 2013 年发布的一项行政命令制定的，旨在“对全面网络安全计划所需内容提供一致的描述” 。

然而，在数字社会中，十个月已经是很长的一段时间了，更不用说十年了。NIST CSF 1.0 的推出对于当时的时代来说是革命性的。它也发生在云计算成为每个商业环境的一部分之前、勒索软件导致医院和赌场关闭之前以及 API 成为主要攻击媒介之前。事实上，智能手机还处于早期发展阶段，BYOD 还是一个相当新的术语。

该框架的首席开发人员 Cherilyn Pascoe 告诉Cybersecurity Dive： “NIST 正在更新该框架，以适应网络安全形势的变化，包括威胁、技术和标准的变化。”

新指南将 NIST 带入未来

CSF 2.0 是一次有条不紊的更新。2022 年 2 月，NIST 提出了信息请求，要求科技和网络安全公司就如何最好地更新 CSF 以及解决供应链风险方面日益增长的威胁提供指导。随后，在 CSF 2.0 最终版本上线之前，NIST 开放了公众意见框架。

尽管 CSF 1.0 是为构成关键基础设施的行业（例如公用事业、天然气和石油）而设计的，但它仍被用作跨行业的指南，试图找出如何最好地将网络安全引入其组织。CSF 2.0建立在原始版本的基础上，同时添加了“扩展的范围、添加的第六个功能、治理以及改进和扩展的实施 CSF 的指南，尤其是创建配置文件。”

NIST 认识到，虽然 CSF 1.0 增加了价值，但它已无法满足当今行业面临的网络安全挑战。NIST 正在遵循类似的框架路径来解决人工智能的安全问题。白宫行政命令阐述了零信任模型的价值，国防部于2020 年推出了网络安全成熟度模型认证，以确保国防承包商满足网络安全标准，但 CMMC 框架仍在不断发展和变化。

为什么组织需要有条不紊的安全转型

这些政府举措有两个重要的收获。首先，联邦政府看到了保护对企业运营和消费者个人安全至关重要的敏感信息的全国标准的重要性。其次，虽然涉及政府时任何事情都不会很快发生，但这种创建和更新这些框架的系统系统表明，安全转型需要大量的思考、大量的规划和大量的时间。

完成你的组织也应该以有条不紊、深思熟虑的方式完成。正如安全分析师不断重复的那样，不存在一刀切的解决方案。存在相似的风险，并且威胁行为者确实有偏爱的攻击向量和攻击类型。但是，您的组织面临的威胁是您独有的，是时候转变您的安全计划以满足您的需求了。

从哪里开始

它首先对您要保护的内容、您的行业和业务运营的最大风险因素、您需要遵循的法规遵从性以及您过去处理过的威胁和攻击类型进行全面评估。提供对基础设施的全面可见性并提供身份管理解决方案的工具是一个起点。部署最小权限原则和 MFA 可以立即解决当今最严重的安全问题之一——凭据盗窃。

您可能需要托管安全服务提供商来帮助您进行安全转型。MSSP 可以提供一系列工具，例如数据丢失防护 (DLP)、扩展检测和响应 (EDR) 以及身份和访问管理 (IAM)。

这是评估您的安全意识计划的好时机。有一些新的安全意识方法可以将学习游戏化或将培训影片视为娱乐以更好地保留。

从何处以及如何开始安全转型将取决于您组织的安全成熟度。从那里开始，它既可以增强你的优势，也可以解决你的弱点（你可能会首先选择后者）。目标是与威胁行为者会面，了解他们当前的攻击目标，然后预测他们的攻击将如何针对您的行业演变。

编译整理自：IBM网站

— 欢迎关注 —

原文始发于微信公众号（祺印说信安）：如何跟上NIST 的安全转型