2014年2月,美国国家标准与技术研究所(NIST)发布了一套新的网络安全指导方针,旨在帮助关键基础设施提供者更好地保护自身,抵御攻击。这一框架的出台,源于奥巴马总统在2013年发布的为关键基础设施公司建立一套非强制性网络安全标准行政命令。
一年过后,NIST网络安全框架在改善网络弹性上有没有起重大作用?是否就像反对者当时预测的那样,流于形式而荒于实质?
NIST网络空间安全框架源于美国面临着最严重的经济和国家安全威胁之一,网络攻击。这一框架提供了:
· 一套用以预测和防护网络攻击的活动(“核心”)
· 一套用以评估核心活动实现程度和测算应对攻击的准备程度的衡量标准。(“实施层”)
· 一份可用于通过对比当前状态分析和目标状态分析,得出改善组织网络安全态势机会的安全状态分析报告。
另外,NIST网络安全框架还包括一份大而全的所谓资讯性参考资料,也就是关键基础设施产业通用的一些特定的标准、指南和实践。
通过将所有这些资料集成到单一的一个知识库里,政府为欠发达组织评估自身安全准备水平和自我定位提供了一套通行的术语和方法论。就这一点而言,NIST网络安全框架为网络安全创建一套标准化方法迈出了良好的一步。然而,几乎在它发布之初就已经明了,这一框架需要后续很多实质上的更新才能真正帮助改善国家网络 弹性。因此,除了2月4号听证会上提交给参议院委员会的一些坊间证据之外,并没有任何可度量的证据表明采用了此框架可以帮助预防网络攻击。
然 后,NIST网络安全框架为实现更好的网络安全实践提供了一些有价值的建设模块,但并非预防网络攻击和数据泄露的万能药。我们要认识到,指导方针和条例规 程本质上是静态的,因而不能演变进化以检测和减轻不断变化的威胁。同时,法规遵从也远远跟不上网络攻击的脚步。而指南本身更是可以从推荐的措施中暴露出漏 洞,攻击者完全可以将之用作制订攻击战略的蓝图。
最后,合适的安全措施和最佳实践只是解决方案中的一部分。对组织而言最大的挑战之一,是 管理为抓住侦测到网络攻击的机会而必须分析、标准化和优先化的数据馈送的容积、速率和复杂性。塔基特数据泄露事件就是一个例子。尽管合理配置的最佳技术可 以检测到早前的入侵,那些警告却湮没在了数据汪洋大海里,致使安全团队未能及时警醒并快速反应。反而是由第三方报告了被盗数据出现在互联网上才揭露了数据 泄露事件。
如果没有数据自动化,进行大数据风险分析和综合集成可操作的安全评估就会耗费数月甚至数年时间。找到利用技术手段克服从安全反馈中抽取可用情报的人力资源缺乏问题,以及形成快速及时的响应,应当依然作为组织关注的焦点。
在这个背景下,NIST网络安全框架确实是一块重要的基石,但也只是通往实现抵御网络安全风险的可操作性防御的第一步而已。
作者:nana
来源:51CTO
