NIST 网络安全框架 2.0 2.0
控制项模式网络安全框架提供了管理网络安全风险的通用语言和系统方法。CSF 2.0 将其范围从关键基础设施扩展到所有组织,并新增了一个治理功能。
计算硬件和软件、运行时环境及其数据会被监控,以发现潜在的不利事件 标准: 例1:监控电子邮件、网站、文件共享、协作服务及其他常见攻击向量,以检测恶意软件、网络钓鱼、数据泄露和外泄及其他不利事件 | 例2:监控身份验证尝试,以识别针对凭据的攻击和未经授权的凭据重复使用 | 例3:监控软件配置是否偏离安全基线 | 例4:监控硬件和软件是否有篡改迹象 | 例5:使用在终端存在的技术来检测网络健康问题(例如例如,缺失的补丁、恶意软件感染、未经授权的软件),并在允许访问之前将端点重定向到修复环境
对网络和网络服务进行监控,以发现潜在的不利事件 标准: 例1:监控 DNS、BGP 及其他网络服务以发现不利事件 | 例2:监控有线和无线网络,以检测来自未授权终端的连接 | 例3:监控设施以发现未授权或流氓无线网络 | 例4:将实际网络流量与基线进行比较,以检测偏差 | 例5:监控网络通信用于零信任目的识别安全姿态变化的应用程序
人员活动和技术使用受到监控,以发现潜在的不良事件 标准: 示例1:使用行为分析软件检测异常用户活动,以减轻内部威胁 示例2:监控逻辑访问控制系统的日志,以发现异常访问模式和失败的访问尝试 示例3:持续监控欺骗技术,包括用户账户的任何使用情况
物理环境受到监控以发现潜在的不良事件 标准:实例1:监控物理访问控制系统的日志(例如,通行证阅读器)以发现异常访问模式(例如,偏离常规)和访问失败尝试 | 实例2:审查和监控物理访问记录(例如,访客登记、签到表) | 实例3:监控物理访问控制(例如检查(门锁、闩锁、铰链销、警报器)是否有被篡改的迹象 | 示例4:使用警报系统、摄像头和保安监控物理环境
对外部服务提供商的活动和服务进行监控,以发现潜在的不利事件 标准:示例1:监控外部提供商在组织系统上执行的远程和现场管理及维护活动 | 示例2:监控云服务、互联网服务提供商及其他服务提供商的活动,以发现与预期行为的偏差