Tenable發佈了一篇網路安全快照:隨著 APT29 和 ALPHV Blackcat 的諮詢推出,NIST 的網路安全框架獲得重大更新
NIST(美國國家標準與技術研究院)是一個負責制定科技標準和指南的政府機構,其網路安全框架(CSF)是一個廣受認可和採用的網路安全最佳實踐集合。CSF 旨在幫助組織識別、管理和降低網路安全風險,並提高網路安全的效率和效果。
CSF 自 2014 年首次發布以來,已經成為許多組織的網路安全指南,不僅適用於關鍵基礎設施領域,也適用於其他重要的經濟和國家安全領域。然而,隨著網路威脅的不斷演變和複雜化,CSF 也需要不斷更新和完善,以適應新的網路安全挑戰和需求。
因此,NIST 在 2024 年 2 月發布了 CSF 的 2.0 版,這是自 2018 年以來的第一次重大更新。這個更新包括了對 CSF 核心指南的修訂,以及一系列的資源,以幫助所有組織實現他們的網路安全目標,並增加了對治理和供應鏈的強調。這個更新是經過多年的討論和公開評論的結果,旨在使框架更加有效。
那麼,CSF 2.0 版有哪些主要的變化和改進呢?以下是一些重點:
- CSF 2.0 版增加了一個新的章節,名為「框架的使用和適用性」,這個章節提供了一些指導原則,幫助組織根據自己的網路安全目標、風險環境和資源來選擇和實施框架。這個章節還強調了框架的靈活性和可適應性,並鼓勵組織定期檢視和調整框架的使用。
- CSF 2.0 版對框架的核心元素進行了一些修改,包括框架的五個功能(識別、保護、檢測、回應和恢復)、23 個類別和 108 個子類別。這些修改主要是為了提高框架的一致性、清晰度和易用性,並反映了一些新的網路安全趨勢和實踐,例如雲端安全、人工智慧、物聯網和供應鏈安全。
- CSF 2.0 版提供了一個新的資源,名為「框架配置文件指南」,這個資源幫助組織創建和使用框架配置文件,以表達他們的網路安全狀態和目標。框架配置文件是一個自定義的文件,描述了組織如何實現框架的核心元素,並可以用於溝通、協調和改進網路安全活動。這個指南提供了一個框架配置文件的範例,以及一些創建和使用配置文件的最佳實踐。
- CSF 2.0 版還包括了一些其他的資源,例如框架的參考資料、框架的術語表、框架的常見問題、框架的實施案例和框架的工具清單。這些資源旨在提供更多的背景知識、解釋和建議,以幫助組織更好地理解和應用框架。
總之,CSF 2.0 版是一個值得關注和採用的網路安全框架,它不僅提供了一個全面而實用的網路安全指南,也提供了一個持續改進和適應的網路安全方法。詳情請看: