日前公司同仁與美國桑迪亞國家實驗室(Sandia National Laboratories,SNL)工程師做交流,發現美國關鍵基礎設施普遍使用NIST CSF這套資訊安全標準,並且靈活運用。這邊就簡單介紹一下何謂NIST CSF!
網路安全架構(Cybersecurity Framework, CSF)是由美國國家標準暨技術研究院(NIST)所提出的一套資訊安全指南(而非檢查表),所以內容相當簡明扼要,如果組織訴求各細緻的技術性要求,CSF文件也提供一份對照表,讓用戶可以直接對照到ISO27001:2013(已出爐新版ISO27001:2022)、ISACA的COBIT、美國網際網路安全中心(CIS)所推出的關鍵安全控制(Critical Security Controls),以及NIST 自己的SP 800-53。
CSF有5大要素:識別(Identify)、防護(Protect)、檢測(Detect)、應變(Response)、復原(Recover),內容摘整如下:
一、識別(Identify):建構組織認知,從系統、人員、資產、資料、資源等面向管理網路安全威脅。
(一)資產管理(Asset Management)
目的:識別並管理所有資產,以符合目標與風險策略。
作法:盤點所有實體設備、系統、軟體、應用程式,包括外部資訊系統。
(二)營運環境(Business Environment)
目的:識別組織現況,制定所屬網路安全規範、責任與決策。
作法:識別組織在供應鏈、關鍵基礎設施與業界中自身定位,據此為工作環境與第三方建立網路安全要求和職責。
(三)治理(Governance)
目的:識別政策、程序、流程,以管理網路安全相關規範。
作法:建立與傳達網路安全政策,知悉並管理網路安全相關法令、規範。
(四)風險評估(Risk Assessment)
目的:識別不同類別之風險,以因應不同任務、資產與人員需求。
作法:識別並記錄各項風險與資產脆弱性,運用威脅性、脆弱性、可能性、衝擊性4大面向來評估風險。
(五)風險評估策略(Risk Assessment Strategy)
目的:識別並運用處理優序、限制因素、風險接受度,以支持風險決策。
作法:訂定風險可接受度,並將業界、關鍵基礎設施風險納入考量。
(六)供應鏈風險管理(Supply Chain Risk Management)
目的:建立流程,以識別、評估及管理供應鏈風險。
作法:評估、紀錄供應商和第三方所構成的網路供應鏈風險,並排列優序,據此偕同供應商和第三方規劃、測試應變與還原計畫。
二、防護(Protect):建構並實施適當防護措施,以確保如期交付關鍵服務。
(一)身分管理、驗證與存取控制(Identity Management, Authentication and Access Control)
目的:依據評估未經授權存取之風險,對使用者、程序及設備的授權進行限制與管理。
作法:對經授權的設備、使用者與程序進行身分與認證管理;依據個別身分應認證、限制其權限。
(二)認知與訓練(Awareness and Training)
目的:在工作場域提供網路安全認知教育,並訓練員工及伙伴實踐網路安全相關責任義務。
作法:訓練並告知所有使用者,確保其知悉相關要求與責任。
(三)資料安全(Data Security)
目的:確立資訊風險政策,保護資訊的機密性、完整性、可用性。
作法:對資產處理的所有階段(移除、移轉、汰除)進行管控;開發、測試、正式環境應予區隔。
(四)資訊保護作業辦法與程序(Information Protection Processes and Procedures)
目的:確保並運用安全政策、作業辦法、程序,以保護資訊系統和資產。
作法:建立組態設置基準,實作、維持並測試更新還原。
(五)維運(Maintenance)
目的:確保工業控制、資訊系統安全。
作法:實作、紀錄資產維運與修復,在遠端維運階段防止未經授權存取。
(六)防護技術(Protective Technology)
目的:運用技術性安全方法,以保護系統與資產安全。
作法:限制及保護可移除式媒體之使用;貫徹最基本功能(Least Functionality) (如:僅提供業務必要的功能,關閉不須使用之功能、埠、協定及服務)。
三、檢測(Detect):制定和實施適當的活動,以識別網路安全事件的發生。
(一)異常活動和安全事件(Anomalies and Events)
目的:檢測並了解異常活動的潛在影響。。
作法:從多個來源和傳感器收集和關聯事件數據,並建立事件告警之節點。
(二)安全持續監控(Security Continuous Monitoring)
目的:監控資訊系統和資產,以檢測網路安全事件,同時驗證保護措施之有效性。
作法:檢測惡意程式碼和未經授權的行動程式碼,執行監控以檢測未經授權之人員、連線、設備與軟體。
(三)檢測過程(Detection Process)
目的:維護及測試檢測過程和程序,以確保事件的發生能被發現。
作法:為檢測建構明確定義的規則和責任,傳達事件檢測資訊。
(四)員工與夥伴之角色
1、培訓人員和合作夥伴以識別和報告威脅或事件。
2、就網路安全事件和攻擊活動之識別,對人員和合作夥伴進行教育:如何識別風險、威脅與網路安全事件,包括如何通報、由誰通報。
3、先知快報。
四、應變(Response):制定並實施適當的活動,以針對檢測到的網路安全事件採取行動。
(一)應變計畫(Response planning)
目的:執行和維護應變流程和程序,以確保有效應變檢測到的網路安全事件。
作法:在網路安全事件期間或之後執行計劃。
(二)通訊(Communications)
目的:與內部和外部關注方(stakeholders)緊密協調。
作法:根據既定標準,進行事件通報。
(三)分析(Analysis)
目的:進行分析以確保有效應變並支援災害復原。
作法:調查來自檢測系統的警訊,並確認和瞭解資訊安全事件的衝擊。
(四)緩解(Mitigation)
目的:遏制、解決,以及緩解網路安全事件所帶來之衝擊。
作法:侷限及緩解資訊安全事件衝擊,紀錄新發現的弱點。
(五)改善(Improvements)
目的:通過吸收經驗教訓來改進應變措施。
作法:將經驗教訓納入應變計畫,持續更新應變策略。
五、復原(Recover):制定和實施適當的活動,以維護復原計劃,並恢復因網路安全事件而受損的能力或服務。
(一)復原計畫(Recovery planning)
目的:執行和維護復原程序,確保受影響的系統和資產得以重建。
作法:在網路安全事件期間或之後執行計劃。
(二)改進(Improvements)
目的:汲取經驗教訓,改進未來的復原計劃和流程。
作法:將經驗教訓納入計畫並持續更新。
(三)通訊(Communications)
目的:與內部和外部各方協調復原行動。
作法:管理公共關係,與內部和外部關注方與管理階層協調復原行動。
組織建置CSF步驟指引:
第一步:確定網路安全目標和優先事項。(範圍與優序)
第二步:識別相關系統和資產、法遵要求和總體風險。(方向)
第三步:自我檢視當前落實程度。(現況審查)
第四步:分析營運環境,確定網路安全事件的可能性和影響。(風險評估)
第五步:描述期望的網路安全目標。(設立目標)
第六步:比對當前落實程度與期望的網路安全目標,分析其差距程度。(分析差距)
第七步:調整現行做法,或提出新做法,以修正這些差距。(制定行動方案)