业内专家对NIST 网络安全框架2.0的反响

写在前面：

2014年2月12日，NIST发布《改进关键基础设施网络安全框架》（the Framework for Improving Critical Infrastructure Cybersecurity）1.0版。该框架提供了创建、指导、评估或改进综合网络安全计划的结构。此次发布是美国网络安全史上具有里程碑意义的事件。

2018年4月16日，NIST发布CSF 1.1版，1.1版与1.0版完全兼容，添加了更全面的身份管理和供应链网络安全管理描述。

2024年3月1日，NIST发布网络安全框架2.0，这是十年来的最大更新。‍‍

NIST CSF是非常有名的治理、控制框架，在很多考试的教材中，都对其做过仔细介绍。本号前文数据安全成熟度模型，也是在CSF1.1的基础上完成的。估计随后也会据此进行更新。    ‍‍

在深入了解CSF2.0之前，先听听各路大咖的意见。

业内专家对NIST 官方发布网络安全框架2.0的评论

        本周，NIST发布其网络安全框架(CSF，Cybersecurity Framework ) 2.0版本。这是CSF自10年前1.0发布成立以来的首次重大更新。

        网络安全框架设计的初衷是为关键基础设施组织服务，但CSF 2.0希望帮助所有组织降低风险，无论其行业、规模或安全复杂程度。

        对于网络安全框架2.0，NIST扩展了核心指南，并创建了额外的资源，以帮助组织充分利用CSF的潜力。        

        CSF 2.0支持国家网络安全战略的实施，围绕六个关键领域：识别、保护、检测、响应、恢复以及新引入的“治理”。

        业界专业人士对网络安全框架2.0的各个方面发表了评论。一些人称赞了它的改进，而其他人则指出一个广泛使用的框架中仍然缺少的元素。

        专家的反馈如下：

Davis Hake, Co-Founder, Resilience：

        “CSF 2.0为组织提供了巨大的价值，尤其是在指导如何优化、评估和投资网络风险管理方面。值得一说的是，安全领导者之间似乎达成了一种共识，即将治理作为关键功能添加到CSF中，是使CSF对业务发挥作用的必要部分。报告强调，网络安全就像财务和声誉一样，是企业主要风险来源，企业必须提前考虑并制定计划。

        但要成功管理网络风险，重要的是要确定哪些是可接受的，哪些是需要减轻的，或者通过保险转移风险是否是适当的行动方案。虽然CST 2.0只是简单地讨论了风险转移，但很明显，它可以帮助组织保持弹性，因此NIST应该考虑在以后的修订版本中更多地关注这一点。同样，CST 2.0中缺少网络风险量化的重要性，这可以帮助组织更全面地看待他们的风险，并在技术安全和业务孤岛之间来对照风险。我相信，网络风险量化和优先级、网络威胁可见性和网络风险转移之间的平衡值得NIST在未来的更新中给予更多关注。”

Andrew Harding, Vice President, Security Strategy, Menlo Security：

        “我很高兴看到NIST的CSF 2.0对GenAI等新兴工具的描述。然而，我认为它过于关注网络基础设施，而这我们往往已经无法控制；以及端点系统，但在承包商、业务合作伙伴和BYOD环境中，企业已无法管理这些端点。为了解决混合工作环境和采用SaaS应用程序的问题，我们需要考虑网络基础设施和系统之外的因素。NIST关于零信任体系结构的指导，与基于部署的资源门户模型相关，仍然是可靠的。

        这个更新后的框架还远远不够：我们需要考虑不仅限于第一代浏览器隔离，还要解决管理本地浏览器的需求，保护用户免受网络钓鱼、恶意软件和身份盗窃，并以采用网络分离的方式提供访问。

        总的来说，检测和响应范例太少，也太迟了：我们需要通过深度防御来增强它，包括浏览器安全性和安全的云浏览，以完善这个框架。新框架在监控个人活动和分析潜在不良事件的技术使用方面取得了重要进展，在解决企业安全浏览方面取得了进步，这是一个重要的发展领域。”

Richard Caralli, Senior Cybersecurity Advisor, Axio：

        虽然CSF 2.0框架的改进是基于广泛的行业使用，但其主要更新侧重于强调治理作为一项重要的网络安全活动的作用，并承认第三方风险管理面临的日益严峻的挑战。

        随着组织意识到需要适当的高层管理和董事会监督，治理变得势在必行，而本次CSF更新与美国证券交易委员会最近的网络安全裁决非常吻合，即高层涉入更多，组织监督的更好。

        第三方风险管理(或供应链风险管理)内容的扩展毫不意外，即许多组织现在发现，由于使用基于互联网和云的技术，他们的信任圈正在扩大。外部合作伙伴变成团队合作方法中重要的一环，随着这种转变的发生，对网络安全依赖变得至关重要。  

        最后，采用CSF 2.0的组织还有一些工作要做。现有的评估和程序执行对1.0 版本的依赖意味着组织必须将他们的程序和评估结果置于一个新的框架中。这可能预示着以前可能不存在的新的空白区域出现了。此外，如果CSF被用作董事会报告和程序成功的基础，那么在2.0中保证程序完成可能需要在下次董事会会议或高级管理层更新时进行一些调整和支持性解释。”

Chad McDonald, CISO, Radiant Logic：

        “在网络安全计划的一个重要里程碑中，NIST已经强调了在真正的风险管理实践中进行治理的需求。自上一个NIST网络安全框架以来，攻击手法不断变化，实施的数字化转型要求我们在做出安全决策时了解组织背景。CSF 2.0引入了“治理”作为一个新的核心功能，以便组织开始衡量和管理其他五个功能预期的结果。治理使安全主管能够优先考虑、管理和沟通整体安全策略。

        在其基础上，治理依赖于身份管理来提供一个了解角色、责任和权限的窗口。正是这种组织背景促进了安全计划的优先级，并实现了真正衡量战略网络成果。财务中的用户是否供应过度？谁在使用未打补丁的VPN？这个入侵帐户可以访问哪些系统和数据？基于身份信息的上下文数据可以降低整体风险，并真正了解组织的安全状况。”

Jose Seara, CEO, Founder, DeNexus：

        “新的CSF框架中一个更有趣的部分是要求更多地关注供应链网络风险。供应商通过保留设备访问权限和需要及时升级固件以修补漏洞，这增加了组织的网络风险，在OT环境中，这一挑战被放大，因为停机时间带来了极高的成本。

        忽视第三方网络风险会导致业务中断，当供应商接入导致事件、或者其自己的停机造成服务故障，导致电力行业、制造业或运输公司损失数百万美元。严格的供应商访问控制和固件升级对于限制组织的网络暴露至关重要。在当今互联的世界中，CSF 2.0为传统上被忽视的所有组织提供了额外的考虑和保护，特别是在OT环境中。

        NIST CSF 2.0带来了一种更加规范化的方法，允许组织以自己的速度采用框架，从部分采用(第1层)开始，到风险通知(第2层)，最后是可重复(第3层)和自适应(第4层)。NIST CSF 2.0更丰富，为新手和小型企业提供了示例、模板和简化版本。指出公司首先了解网络风险的重要性，以制定更有效的网络安全战略，并为最紧迫的安全弱点分配网络安全预算。”

Jordan Tunks, Manager, Cybersecurity Solutions, Pathlock：

        “像NIST CSF这样的框架适用于各种规模和行业的组织，因为它们不是绝对解决方案或强制性流程，而是为多种网络安全方法提供了一个共同的组织结构。CSF提供了不同的功能层，逻辑上从高级的基线一直到特定的控制项。这确保了所有管理层之间的知情参与，以实现互联的网络安全流程和最佳实践。

        越来越多的数字攻击面导致行业和政府机构要求提高监管严格性，随着这些不断增加的监管要求，组织对这些标准的忧虑也随之而来。在十年之前，网络安全经常被忽视，不被认为是董事会层面的问题，但现在是许多高层业务决策的前沿。网络安全重要性的这种明显变化使许多组织不知道从哪里开始，也不知道如何将网络安全最佳实践融入公司文化。

        值得庆幸的是，NIST及其监管框架和指南帮助组织实施一个过程，无论网络安全成熟度如何，以及随着组织的增长(包括规模和网络安全成熟度)不断扩展，进行初步评估，并一致地定义最终目标。”

Jason Soroko, Senior Vice President of Product, Sectigo:

        “NIST的角色是不要过度规定技术。在美国，网络安全立法通常参考NIST的指导，这是一个很好的策略，因为法律很快就会过时。如果人们指望NIST为他们独特的企业环境设计定制的安全体系结构，那就大错特错了。NIST网络安全框架2.0重新定义了任何正在构建或重构安全体系的人都需要关注的关键思想。

        也许最重要的变化是使身份管理成为框架中的头等大事。安全实践的最终真实来源必须是一个计划，该计划是在您完成清单工作之后，由花时间了解您的独特需求的安全合作伙伴汇集而成的。如果不了解你的皇冠上的宝石是什么，你就无法建立一个安全程序来适当地保护它们。然而，NIST的指导方针具有巨大的丰富性，它不是一个定制的计划。”

Ken Dunham, Cyber Threat Director, Qualys Threat Research Unit:

        “有意成为框架驱动的组织，希望实现合规性和安全结果，始终报告较低的运营成本和可接受的风险，这直接支持国家在防御和弹性方面的计划和结果。NIST CSF 2.0为组织提供了一种方法，可以对组织内部、也可以与其他业务单位和组织在基线、比较和成熟运维方面进行比较，从而提高网络风险管理的清晰度和优先级。

        合规和监管控制对于2024年的组织来说非常重要，像CSF 2.0这样的框架作为核心基础，很容易与其他特定于某种控制和垂直领域的其他框架重叠。今天，每个组织都有责任走“人行横道”，并覆盖多种形式的合规和遵守本地、区域、国家和国际法律和框架，以满足复杂的法律、保险要求和合规标准。”

Dave Bailey, VP of Consulting Services, Clearwater:

        “将治理功能添加到NIST CSF 2.0中是一个重要的发展，因为它强调了在医疗健康组织的网络安全中，领导力发挥积极作用的必要性。治理是指您确定是否正在实施适当的风险管理的能力，包括建立风险阈值，并基于该参数理解和解决风险，包括构建高管层面的支持以实现您的网络安全目标。

        我们看到，卫生部门协调委员会(HSCC)在本周公布的5年战略计划中强调了高管层对网络安全的重要性，认为这是一项企业风险。令人鼓舞的是，NIST和HSCC都强调需要领导层的支持来改善医疗健康领域的网络安全。太多的组织仍然认为网络安全只是一个IT问题。”

Sebas Guerrero Selma, Senior Security Consultant, Bishop Fox:

        “NIST网络安全框架的更新使其与所有类型的组织相关，并增加了对治理的关注，这将改变游戏规则。这不再是大公司的专利；规模较小的公司可以根据自己的需求制定路线图。有了实际的例子和与其他标准相连接的新在线工具，每个人都更容易加强他们的网络安全游戏。这一举措可以真正创造公平的竞争环境，帮助整个行业更有弹性地应对网络威胁。”

https://www.securityweek.com/industry-reactions-to-nist-cybersecurity-framework-2-0-feedback-friday/

（完）