NIST 网络安全框架 2.0 2.0
控制项模式网络安全框架提供了管理网络安全风险的通用语言和系统方法。CSF 2.0 将其范围从关键基础设施扩展到所有组织,并新增了一个治理功能。
网络威胁情报和其他上下文信息已整合到分析中 标准:例如1:安全地向检测技术、流程和人员提供网络威胁情报数据 | 例如2:安全地向检测技术、流程和人员提供资产清单中的信息 | 例如3:迅速获取并分析组织技术的漏洞披露信息供应商、卖方和第三方安全通告
信息来自多个来源的关联 标准:示例1:将其他来源生成的日志数据不断传输到相对较少的日志服务器 | 示例2:使用事件关联技术(例如,SIEM)收集多个来源捕获的信息 | 示例3:利用网络威胁情报帮助关联日志来源之间的事件
不良事件的信息提供给授权人员和工具 标准:例如1:使用网络安全软件生成警报并将其提供给安全运营中心(SOC)、事件响应人员和事件响应工具 | 例如2:事件响应人员和其他授权人员可以随时访问日志分析结果 | 例如3:在组织的工单系统中自动创建和分配工单当发生某些类型的警报时的警报系统 | 示例4:当技术人员发现受损指标时,手动在组织的工单系统中创建并分配工单
已了解不良事件的估计影响和范围 标准:例1:使用SIEM或其他工具来估计影响和范围,并审查和完善这些估计 | 例2:某人自行创建影响和范围的估计
当不良事件符合已定义的事件标准时,即可声明为事件 标准: 示例1:将事件标准应用于已知和假定的活动特征,以确定是否应声明事件 | 示例2:在应用事件标准时考虑已知的误报
潜在的不利事件会被分析,以更好地理解相关活动 标准:例如1:使用安全信息和事件管理(SIEM)或其他工具持续监控日志事件,以发现已知的恶意和可疑活动 | 例如2:在日志分析工具中利用最新的网络威胁情报,以提高检测准确性,并描述威胁行为者、他们的方法及妥协指标omise | 示例3:定期对无法通过自动化充分监控的技术的日志事件进行人工审查 | 示例4:使用日志分析工具生成关于其发现的报告
计算硬件和软件、运行时环境及其数据会被监控,以发现潜在的不利事件 标准: 例1:监控电子邮件、网站、文件共享、协作服务及其他常见攻击向量,以检测恶意软件、网络钓鱼、数据泄露和外泄及其他不利事件 | 例2:监控身份验证尝试,以识别针对凭据的攻击和未经授权的凭据重复使用 | 例3:监控软件配置是否偏离安全基线 | 例4:监控硬件和软件是否有篡改迹象 | 例5:使用在终端存在的技术来检测网络健康问题(例如例如,缺失的补丁、恶意软件感染、未经授权的软件),并在允许访问之前将端点重定向到修复环境
对网络和网络服务进行监控,以发现潜在的不利事件 标准: 例1:监控 DNS、BGP 及其他网络服务以发现不利事件 | 例2:监控有线和无线网络,以检测来自未授权终端的连接 | 例3:监控设施以发现未授权或流氓无线网络 | 例4:将实际网络流量与基线进行比较,以检测偏差 | 例5:监控网络通信用于零信任目的识别安全姿态变化的应用程序
人员活动和技术使用受到监控,以发现潜在的不良事件 标准: 示例1:使用行为分析软件检测异常用户活动,以减轻内部威胁 示例2:监控逻辑访问控制系统的日志,以发现异常访问模式和失败的访问尝试 示例3:持续监控欺骗技术,包括用户账户的任何使用情况
物理环境受到监控以发现潜在的不良事件 标准:实例1:监控物理访问控制系统的日志(例如,通行证阅读器)以发现异常访问模式(例如,偏离常规)和访问失败尝试 | 实例2:审查和监控物理访问记录(例如,访客登记、签到表) | 实例3:监控物理访问控制(例如检查(门锁、闩锁、铰链销、警报器)是否有被篡改的迹象 | 示例4:使用警报系统、摄像头和保安监控物理环境
对外部服务提供商的活动和服务进行监控,以发现潜在的不利事件 标准:示例1:监控外部提供商在组织系统上执行的远程和现场管理及维护活动 | 示例2:监控云服务、互联网服务提供商及其他服务提供商的活动,以发现与预期行为的偏差