聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
CSF 在2014年首次发布,并在2018年更新至版本1.1,为管理网络安全风险提供了一系列指南和最佳实践。该框架的目的是更具灵活性和适应性而非规范性,广泛应用于全球组织机构和政府机构,协助他们创建网络安全计划并衡量其成熟度。
经过长时间的征询意见后,NIST发布了CSF 2.0 的概念论文并进一步寻求各方审计。最终反馈将用于形成修订框架的最终草案,而草案将在今年夏天发布。
NIST的自身技术策略顾问兼网络安全框架计划负责人 Cherilyn Pascoe 指出,“我们认为网络局势已发生足够多的变化来保证当下进行重大更新。网络安全标准发生了很多变化,包括NIST以及其它地方发布的标准,风险局势和技术也发生了巨变。尽管绝大多数受访者表示他们仍然认可该框架,但也在寻求很多改变,因此我们认为是时候更新了。”
框架的目标受众是一个显著变化。自CSF 1.1发布以来,美国过会明确要求NIST考虑小型企业和高等教育机构的需求,而不仅仅是最初的关键国家基础设施组织机构(公用设施、电信、交通、银行等)。
Pascoe 表示,“框架的最初范围是关键基础设施,如美国总统行政令所定义的那样,不过随着时间的流逝,很多组织机构也开始使用该框架。我们不想让组织机构做出是否是关键基础设施的决定,因为有时候这种判断会牵涉法律问题从而具有更多的负担,因此我们打算将框架扩展到所有组织机构。”
另外,NIST还计划提高国际协作,并鼓励更多国家全部或部分采用该框架。同时,框架还将在现有的五个概念“识别、保护、检测、响应和恢复”基础上新增“治理”功能,目的是将网络安全风险与其它企业风险如金融稳定性威胁等放在同等位置。该功能将包括对组织机构、客户和更大团体的优先级和风险宽容的判断;对网络安全风险和影响的评估;对网络安全策略和程序的设立以及对网络安全角色和责任的评估。
Pascoe 指出,“为了更好地将网络安全风险和金融风险一样纳入其它企业风险,还要做很多工作;高层意识到网络安全风险起着重要作用,同时需要部署策略和程序解决网络安全问题。我认为越来越多的人认为网络安全并不仅仅是技术问题,而是需要由组织机构上层解决。”这是对框架越来越多地用于结构化技术人员和高层之间关于网络安全风险讨论的回应。
NIST强调称,需要提高CSF和其它NIST和非NIST安全项目(如风险管理框架和网络安全人力框架)的符合性。
NIST还呼吁受访者提出更具实践性的框架应用指南,为专注于实现案例的新内容做准备。虽然该框架仍然关注于高水准成果而非特定流程,但Pascoe 认为,“这些案例将有助于组织机构开始思考可达成更高子类成果的不同方式。”
该框架将首次重点关注供应链风险管理,帮助并鼓励组织机构解决各种第三方风险,从云计算到计算机、软件和网络设备、非技术供应链等不一而足。
然而,Pascoe 指出,关于如何实现这一目标存在不同意见。具体而言,这些意见包括:网络安全供应链管理是否应当集成到该框架的现有结构或作为单独功能。她表示,“每个人都认为这是一个非常重要的问题,但反馈不易,因此我们已经表示让我们再多加考虑以及思考如何解决它。有时,需要按行业解决,有时候基于现有的法规要求。因此,例如金融行业在网络安全方面受到的监管很多,它们希望在框架中看到已有的第三方要求,因此它们可能是最希望第三方责任能够有重大扩展的群体。”
CSF 2.0 还计划包括关于安全性测量和评估的指南。Pascoe表示,“NIST是一家测量学机构,因此我们将致力于开发测量工具,但网络安全策略很可能是我们有史以来面对的最难的。组织机构会问,‘既然我们使用框架已经十年了,我如何了解我的网络安全态势是否在改进,我所采取的措施有助于降低风险?’”NIST的计划是提供更多关于如何评估安全成熟度的指南,这些指南一部分会出现在CSF 2.0中,一部分在单独指南中。
NIST 在征询利益相关者的意见后,决定不将隐私框架合并到CSF中,尽管Pascoe表示,随着而这之间的“重叠”越来越多,CSF 3.0可能会这样做。
Pascoe 预测到,在零信任框架中的应用方面会产生不同意见或者至少需要后续讨论。NIST的观点是,零信任无需融合到框架中,尽管应用该架构是拜登政府的优先任务。
另外一个仍需大量讨论的是NIST对于使框架保持技术和厂商中立的提案。Pascoe指出,“虽然该框架一直是技术中立的,但组织机构在利用云或物联网或运营技术时会寻求更多指导。因此我们必须确保技术中立,同时不排除任何特定系统,但我认为有很多向我们询问的组织机构不会止步于此,对于这些技术会有特定指南。”
Pascoe 表示,“我们将尝试并找到我们能够达成的共识,但在治理和供应链方面的变更非常剧烈。希望我们会找到解决方案。”
为增强软件供应链安全,NIST 发布《开发者软件验证最低标准指南》
https://thehackernews.com/2023/02/python-developers-warned-of-trojanized.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~