從NIST網(wǎng)絡(luò)安全框架看企業(yè)SaaS應(yīng)用安全合規(guī)
從NIST 網(wǎng)絡(luò)安全框架看企業(yè)SaaS應(yīng)用安全合規(guī)
作者:安全牛 2022-01-11 09:24:51
安全
應(yīng)用安全
SaaS 文闡述 CSF 的關(guān)鍵要素���,指出主要優(yōu)點(diǎn),并給出具體實(shí)施方法和建議以確保 SaaS 安全�����。
美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)的標(biāo)準(zhǔn),由于具有專業(yè)性���,加上外部專家?guī)椭幹芅IST文件�,使得其在眾多組織中發(fā)揮了關(guān)鍵作用——從最新的密碼要求(NIST 800-63)到制造商物聯(lián)網(wǎng)安全(NISTIR 8259)���,NIST始終是個(gè)起點(diǎn)。NIST網(wǎng)絡(luò)安全框架(CSF)最初于2014年發(fā)布���,上一次更新是在2018年����。該框架使眾多組織能夠借助一套精心規(guī)劃且易于使用的框架���,提高關(guān)鍵基礎(chǔ)設(shè)施的安全性和彈性�。
CSF 在 SaaS大行其道時(shí)編寫和更新�����,如今伴隨 SaaS 的持續(xù)發(fā)展以及工作環(huán)境因新冠疫情出現(xiàn)的重大變化帶來了新的安全挑戰(zhàn)��。組織可以使 CSF 更適應(yīng)基于 SaaS 的現(xiàn)代工作環(huán)境,從而更有效地應(yīng)對新風(fēng)險(xiǎn)�����。本文闡述 CSF 的關(guān)鍵要素�,指出主要優(yōu)點(diǎn),并給出具體實(shí)施方法和建議以確保 SaaS 安全�。
NIST CSF概述
NIST CSF 列出了五項(xiàng)安全功能,并進(jìn)行分門別類��,針對每個(gè)子類別�, CSF 附有一系列知名標(biāo)準(zhǔn)和框架作為參照,比如 ISO 27001 �����、 COBIT �����、 NIST SP 800-53 和 ANSI/ISA-62443 ���。這些參照標(biāo)準(zhǔn)幫助組織實(shí)施 CSF ���,并與其他框架形成對比�����,比如說�����,無論一家企業(yè)需要遵守什么安全標(biāo)準(zhǔn)��,安全經(jīng)理或其他團(tuán)隊(duì)成員都可以使用這些參照標(biāo)準(zhǔn)來證明其決定是否正確��。NIST CSF 框架具有五個(gè)階段的核心功能:識別、保護(hù)���、檢測�、響應(yīng)和恢復(fù)��,下面逐一介紹���。
- 識別:NIST 對這項(xiàng)功能的定義為“幫助組織了解情況�����,以管理系統(tǒng)���、資產(chǎn)�����、數(shù)據(jù)和能力面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)���。”在這項(xiàng)功能下面�, NIST 包括資產(chǎn)管理、商業(yè)環(huán)境�����、治理��、風(fēng)險(xiǎn)評估���、風(fēng)險(xiǎn)管理策略�����、供應(yīng)鏈風(fēng)險(xiǎn)管理等控制類別�。
- 保護(hù):NIST對這項(xiàng)功能的定義為“制定并實(shí)施適當(dāng)?shù)谋U洗胧源_保提供關(guān)鍵基礎(chǔ)設(shè)施服務(wù)�����?!痹谶@項(xiàng)功能下面,NIST包括訪問控制����、意識和培訓(xùn)、數(shù)據(jù)安全�、信息保護(hù)流程和程序、維護(hù)��、防護(hù)技術(shù)等控制類別����。
- 檢測:NIST 對這項(xiàng)功能的定義為“確定并實(shí)施適當(dāng)?shù)幕顒?,以識別發(fā)生的網(wǎng)絡(luò)安全事件?�!痹谶@項(xiàng)功能下面��, NIST 包括異常和事件�、安全持續(xù)監(jiān)控、檢測流程等控制類別��。
- 響應(yīng):NIST 對這項(xiàng)功能的定義為“確定并實(shí)施適當(dāng)?shù)幕顒樱瑢z測到的網(wǎng)絡(luò)安全事件采取行動���?���!痹谶@項(xiàng)功能下面��, NIST 包括響應(yīng)規(guī)劃�����、溝通���、分析�、緩解�、改進(jìn)等控制類別。
- 恢復(fù):NIST 對這項(xiàng)功能的定義為“確定并實(shí)施適當(dāng)?shù)幕顒?,以維持彈性計(jì)劃,并恢復(fù)因網(wǎng)絡(luò)安全事件而受損的任何能力或服務(wù)����。”在這項(xiàng)功能下面, NIST 包括恢復(fù)規(guī)劃��、改進(jìn)�、溝通等控制類別。
NIST CSF 面臨的挑戰(zhàn)
盡管該框架是最佳實(shí)踐方面的模型之一��,但實(shí)施起來有難度�����,主要體現(xiàn)在以下幾個(gè)方面��。
1. 傳輸中的數(shù)據(jù)受保護(hù)(PR.DS-2)
使用 SaaS 服務(wù)的企業(yè)可能想知道這與它們有怎樣的關(guān)系�����。它們可能認(rèn)為合規(guī)是 SaaS提供商的責(zé)任�����。然而更深入的研究表明�����,許多 SaaS 提供商落實(shí)了安全措施����,用戶有責(zé)任使用這些安全措施。比如說�,管理員不該允許通過 HTTP 連接到 SaaS 服務(wù),應(yīng)該只允許安全的 HTTPS 連接�。
2. 防止數(shù)據(jù)泄露的機(jī)制已實(shí)施(PR.DS-5)
這可能看起來像一個(gè)小的子類別,而實(shí)際上很龐大�����,數(shù)據(jù)泄露極難預(yù)防��。采用 SaaS 應(yīng)用程序使得這項(xiàng)工作更困難重重����,因?yàn)槿藗兛梢詮氖澜缟先魏蔚胤焦蚕砗驮L問它們。管理員或 CISO 辦公室成員應(yīng)特別注意這種威脅����。SaaS 中的 DLP 可能包括以下安全措施:共享文件鏈接,而不是實(shí)際文件;設(shè)置鏈接的到期日期;如果不需要��,禁用下載選項(xiàng);阻止在數(shù)據(jù)分析 SaaS 中導(dǎo)出數(shù)據(jù)的功能;用戶身份驗(yàn)證加固;防止通信 SaaS 中的區(qū)域記錄;定義明確的用戶角色�����,擁有數(shù)量有限的超級用戶和管理員。
3. 為授權(quán)的設(shè)備�、用戶和流程頒發(fā)、管理��、驗(yàn)證���、撤銷和審計(jì)身份和登錄信息(PR.AC-1)
隨著企業(yè)擴(kuò)大勞動力隊(duì)伍�、加大 SaaS 的應(yīng)用����,這個(gè)子類別變得更具挑戰(zhàn)性。管理僅使用五個(gè) SaaS 系統(tǒng)的 50000 個(gè)用戶��,意味著安全團(tuán)隊(duì)需要管理 250000 個(gè)身份�����,這個(gè)問題真實(shí)而復(fù)雜��。更具挑戰(zhàn)性的是����,每個(gè) SaaS 系統(tǒng)有不同的方式來定義、查看和保護(hù)身份�。同時(shí) SaaS 應(yīng)用程序并不總是相互集成,這意味著用戶可能發(fā)現(xiàn)自己在不同的系統(tǒng)中擁有不同的權(quán)限�。這就會導(dǎo)致不必要的特權(quán),從而帶來潛在的安全風(fēng)險(xiǎn)��。
當(dāng)前名稱:從NIST網(wǎng)絡(luò)安全框架看企業(yè)SaaS應(yīng)用安全合規(guī)
網(wǎng)頁鏈接:
http://uogjgqi.cn/article/djpcpjp.html
掃二維碼與項(xiàng)目經(jīng)理溝通
我們在微信上24小時(shí)期待你的聲音
解答本文疑問/技術(shù)咨詢/運(yùn)營咨詢/技術(shù)建議/互聯(lián)網(wǎng)交流
