在这个网路威胁日益增长的时代,对于许多企业而言,资安防护强化往往显得复杂且广泛,让人不知从何著手。然而,近年来,NIST网路安全框架(Cybersecurity Framework,CSF)的出现,成为既有资讯安全管理推动的全新重点,为何如此?该框架对于网路安全威胁的层面,有一套以风险为基础并通盘考量网路安全的做法,提供系统化且易于遵循的指导方针。
今年2月底CSF 2.0版推出,使得这个网路安全框架有了全新的演进,因为当中新增了「治理」功能,发展成6大功能、22个类别,以及106项子类别,但这背后还有哪些意义与重点,值得大家进一步关注?
网路安全治理牵扯跨部门管理,层级更高才推得动
关于CSF 2.0版框架的内容变化,「治理」功能的加入引发各界关注,意义更是深远。
英国标准协会(BSI)台湾产品经理潘世鸣指出,过去没有一个网路安全框架会如此看重治理,因此这样的演变令BSI相当兴奋。
他指出,NIST将CSF框架原有的5大功能(识别、保护、侦测、回应、复原),现在通通都视为管理,再将这些构面中需要治理的部分,全部集中到「治理」功能之下。
这么做的好处在于,对于高阶主管与老板而言,关注的是企业组织环境的全景,也就是能从公司治理角度切入,重视网路安全风险策略。更重要的是,网路安全治理是跨部门管理的需求,一定需要高阶的管理阶层推动,才能有效进行。
潘世鸣从美国资安界的讨论当中观察,发现大家普遍对于「将治理功能独立看待」这件事,给予高度肯定,因为这可以更容易帮助推动网路安全的人员跟老板沟通,说明网路安全是必要做的事。
潘世鸣甚至断言:网路安全治理、资安治理这样的议题,会在接下来两三年会变得相当热门,这些名词的热门程度,甚至是会更高于CSF框架。也就是说,尽管企业不一定都会导入CSF 2.0,但网路安全治理的概念,会被加入、深入到企业思维。
不过,究竟什么是治理?「治理」与「管理」之间的差异?潘世鸣指出,管理制度相当强调「精准」,而治理的概念则需要「弹性」。
以管理而言,公司会用一套制度、用同样的方法来做事,这就是管理制度,并不会牵扯到公司策略营运的议题,只要所有人按照SOP执行,就可达到工作上的效率;以治理而言,涉及营运策略与方向,由于企业组织有多种不同型态,各自的运作与经营也都不同,因此,当企业老板在面对网路安全议题时,如何带领团队降低遭受攻击后具有韧性,让组织能够在风险中持续地前进,这更是策略性的议题,需将网路安全风险考量于公司整体营运策略。
这几年经常在台湾资安大会上针对NIST CSF发表演说的吴明璋,在2.0版推出之后的此刻,他特别强调,网路安全供应链风险管理在CSF 2.0的重要性,同时也指出供应链需要放在治理的高度去看待,否则根本无法推动,因此,放在治理之下是相当合理的一件事。
例如,在2022年更新的《网路安全供应链风险管理》(C-SCRM)文件,NIST指出:关于C-SCRM团队的成员,应当是参与企业关键流程各个方面的人员,例如资讯安全、采购、企业风险管理、工程师、软体开发RD、IT、法务与人力资源。
换言之,这同样说明治理牵涉跨部门管理的需求。吴明璋强调,如果只是由IT、资安主管来推动,是叫不动这些人的,一定需要更高层级带领。因此,要做CSF,一定是全组织进行。
为何网路安全治理现在变得如此重要?其实是有迹可循的,多位专家们都特别提到2023年7月美国证券交易委员会(SEC)公布的新规范,当时美国证券交易委员会通过上市公司网路安全风险管理、策略、治理及事件披露规则。
当中就有规定,要详述评估、识别、管理网路安全威胁风险的流程,也要求叙明董事会对网路安全威胁风险的监督。换言之,这些新规定的目的,就是要促使网路安全风险成为公司治理上的重要考量。
可惜的是,那时大家多将焦点放在SEC要求4天内披露重大资安事件,其实网路安全风险与治理的议题,同样有重大转变。
关于网路安全风险与治理的兴起,美国证券交易委员会(SEC)从2022年就有针对上市公司的提案,并在2023年7月正式公布。此后许多资安框架都开始跟进这股潮流,NIST CSF 2.0框架更加重视网路安全治理,就是一例。
落实风险评估更显重要,威胁建模是关键
下一个重要议题,就是网路安全风险的策略与管理。NIST很早就强调CSF是基于风险的架构,在1.1版的23个类别中,也已经提出风险评估、风险管理策略的类别。
但过去大家低估这方面工作的落实,如今CSF 2.0版出炉,相关议题已经变得更加明确。
潘世鸣指出,大家在看待CSF 2.0框架时,光从框架核心的数量来看,好像变动不大,但若进一步阅读相关文件,从整体角度去看,其实意涵相当深远。
基本上,NIST CSF在治理层面强调要做风险评估,要有风险管理的策略,并且是整体性组织的风险评估,但这背后还有个重要观念,那就是:企业在风险评估时需要做威胁建模(Threat modeling),需要确定组织遭受网路安全攻击的威胁可能的路径。毕竟,如果不知道威胁,又如何能看待相关风险?
在潘世鸣的经验中,先前导入CSF框架的企业,虽然都知道要做威胁建模,但他们面临的挑战,在于这方面工作做得不够确实,例如,只是小范围地实施、没有找出应用重点,又或是不够精细与深入。
因此,在2018年CSF 1.1发布后,NIST从2020年10月开始,陆续发布一系列将网路安全与风险管理相结合的出版物,也就是NIST IR 8286系列,全名是「Integrating Cybersecurity and Enterprise Risk Management(ERM)」。
到了2024年发布的CSF 2.0,NIST花了更多篇幅说明如何改善风险管理计划,同时提出更明确的建议,告诉企业可以参考NISTIR 8286(ERM),借此帮助企业了解如何做风险评估,而威胁建模就是其中的重点之一。
潘世鸣进一步解释这里的关联。他说,NISTIR 8286(ERM)这份手册采纳CSF框架的概念,将网路安全与企业风险管理整合得更好,当中不仅提供可依循的步骤,同时其内容也对应3款NIST风险管理文件,包括:SP 800-30r1、SP 800-37r2,以及SP 800-39,以及国际标准ISO 31000:2018的风险管理指南。
换言之,这些都有助于NIST CSF的实施,从定义风险到风险评鉴,接著决定风险的优先顺序,以及要如何执行相关的监督或规画。
换个角度来看,NIST表示,CSF 2.0可以作为整体企业风险管理(ERM)方法的一部分,因为这有助于企业决策。所以,CSF 2.0与企业风险管理其实是能够相辅相成的。
而在CSF 2.0文件后半段,还谈到网路安全风险与隐私风险的关联,两者其实存在部分交集的情形,因此,NIST指出CSF框架可结合使用NIST隐私框架(NIST Privacy Framework),而对于NIST隐私框架而言,也提供隐私风险评估方法(PRAM)。
关于网路安全风险管理在CSF 2.0的重要性,吴明璋也抱持同样的看法,他强调,资安治理可从资安风险做起。
虽然CSF 1.1就有这方面的内容,但当时没有将控制项突显出来,他认为,现在的CSF框架已将6大核心功能,与4大风险策略选项相结合,也就融合了风险规避、风险移转、风险抵减与风险承担,彼此息息相关。而且,若从2.0版的实施范例的内容来看,关于合约方面的要求也相当丰富。
CSF 2.0版强调治理与网路安全风险管理的重要性,BSI台湾产品经理潘世鸣认为,风险是威胁跟弱点交互产生影响的结果,但大家在风险评估当下,往往忽略要将结果也一并纳入考量。图片来源/BSI
应找出关键业务流程与系统,而不是只有关键系统
除了强调威胁建模的重要性,潘世鸣在风险管理与评估的经验中,认为企业必须执行许多工作,除了识别资产、产生资料流向图,到分析网路安全威胁,因此他也从实务面与策略面提供建议,说明找出关键核心基础架构的好处与必要性。
他强调,针对「关键的业务与系统」去识别盘点,比起全面盘点更有意义。
但他也特别提醒,对于关键基础架构一词,大家要有更精确的认识。一般而言,所谓关键核心基础架构(CI),大家通常联想的是油水电,又或是关键核心资讯系统。
但是,对于企业自身而言,所谓的关键核心基础架构,指的应该是企业的生财工具,也就是:关键业务与流程,再加上支撑关键业务的资讯系统。
因此,在进行风险策略评鉴时,先找出关键业务,之后再进行威胁建模、资料流的建模,从中找出威胁与风险,思考关键业务或资讯流遭受攻击会如何处理,才能做好CSF 2.0,甚至是做到零信任的网路安全策略。
潘世鸣强调,由于治理是更符合老板语言的角度,从治理层面去谈网路安全风险评估,并从关键的生财工具角度去切入,这对于背负企业营运赚钱压力的老板而言,将形成相当务实的沟通。
事实上,在NISTIR 8286(ERM)文件中,亦阐释组织管理的运作方式,强调需从企业层级(Enterprise Level)、组织层级(Organization Level)、系统层级(System Level),需要从这三个层级分别与交互看待。
就潘世鸣的观察,台湾普遍企业组织存在的重大问题在于,只有重视系统层级,却忽略了上面两个阶层。
吴明璋也点出国内企业可能存在一些不正确的观念,需要调整。例如,有的台湾老板认为,风险管理只是Paper Work这样的文书工作,这并没有达到说、写、做合一;有的老板误以为IT与资安部门做就好,但CSF推动是要全公司进行,并要有企业风险管理的概念。
关于NIST CSF框架的实施,风险策略评鉴时,企业要重视组织运作方式,因为在NISTIR 8286(ERM)文件,强调需从企业层级、组织层级、系统层级看待。BSI台湾产品经理潘世鸣指出,台湾企业组织推动这项工作的最大问题,在于只重视系统层级。图片来源/NIST
在治理层面之外,新版CSF有哪些企业必须重视的改变?
潘世鸣表示,在CSF 2.0的内容中,主要是将1.1版中重复且未能妥善连接运用的部分,重新进行整合与细化,但有一些部分值得企业重视。
例如,在识别方面,所有组织应该都要针对关键业务CI保护,没有的话就是企业组织没有识别出来;在保护方面,NIST现在使用平台安全(Platform Security)一词,来涵盖硬体、软体,以及实体或虚拟平台的服务,这也是较为特别的差异。
在复原方面,NIST强调的是组织如何快速复原,但大家常误以为系统快速复原。事实上,从回应与复原的沟通对象与面向来看,回应是指内部针对相关攻击事件回应,复原是指企业高层对外界的回应。
吴明璋也指出,保护方面的变化也很大,包括身分管理与身分验证与存取控制、意识与培训、资安安全等类别,其内容变动比例都有超过5成,并且还新增了平台安全、技术基础设施韧性。他认为,这方面很多内容可以参考国际标准ISO 27001,因此有许多的整并。
而在回应、复原方面,他认为CSF 2.0算是重新定义资安事件应变(IR),遭受攻击后企业的改善,以及企业学到的教训都需要提出,重新回到网路安全的识别。
Community Profiles是新进展,建议台湾企业积极参与
至于CSF框架的轮廓(Profile)与实施层级(Tier)方面,两者依然是重要的概念,但变化不大。
例如,以建立组织轮廓而言,1.1版原本提供7大实施步骤,2.0版简化为5大步骤,实施层级依然分为4层。
较值得关注的新进展,令人意外的竟是近期一场工作坊活动,在6月下旬,NIST NCCoE举办CSF 2.0的Community Profiles Workshop。
Community Profiles能够做什么?吴明璋建议企业可设想为:建立产业供应链,因为有些领域是第二层供应链、复杂度高。因此NIST就是要帮助特定群体,量身打造不同的Profile设定档,并且开放外界投票,以选出优先要制定的类型。
吴明璋在参与工作坊时发现,大家投票的项目,竟然是高效能运算、智慧家居,超乎他原先的设想,因此他认为,台湾的供应链应该要积极参与,不仅帮助发展符合我们的项目,也可成为产业上的领先行动者。
越来越多企业导入NIST CSF框架
关于NIST CSF框架的采用,以台湾而言,根据上市柜公司的年报或ESG报告,已有一些企业导入,包括日月光、台积电、联发科、纬创等,甚至有上市公司已经进一步取得CSF认证,那就是中菲行国际物流集团。
放眼全球,美国、欧洲、日本都有企业导入CSF。BSI潘世鸣表示,荷兰半导体设备大厂ASML就是一例。根据该公司最新公布的2023年报,我们可以看到他们说明已实施相关流程,以识别与应对网路安全威胁,并指出这些流程符合ISO 27002、ISA/IEC 62443,以及NIST CSF所设定的标准。
吴明璋也举例,日本NTT集团全球8百多家分公司,也用CSF框架做集团管理,该公司还会积极参与CSF 2.0版的修订,提供回馈意见。
除了面对国际客户的要求,有些集团之所以积极导入CSF,可能也是为了日后要辅导客户,他们应该也是看重日后市场对于这方面规范的需求。
NIST CSF强调网路安全的回应
近期大家之所以特别关注CSF框架,除了2.0版的发布,另一原因是这几年适逢ISO 27001:2022转版,一些国内企业进行新的验证之余,也会思考如何进一步提升,NIST CSF自然成为关注焦点。
这是因为,ISO 27001:2022已将网路安全作为持续精进必要项目。潘世鸣更是指出,ISO 27001著重资讯安全(Information Security),强调内部会有资讯安全管理的控制措施,但不会涵盖网路安全的攻防层面,CSF框架聚焦网路安全(cybersecurity),强调外部攻击的整个回应机制,使用方式不同。
目前有哪些领域积极应用NIST CSF?潘世鸣提到,台湾实施的资通安全管理法就与CSF的概念很像,而在金融领域,像是美国联邦金融机构考试委员会(FFIEC)针对该产业的网路安全评估工具,也是以CSF为基础。
特别的是,近年医疗领域也开始关注CSF资安框架,原因在于,美国食品药物管理局(FDA)去年底提出一项要求,他们规范全球医疗器材厂商需交付网路安全计划,也建议医疗机构可应用NIST CSF框架于组织之内,未来也将扩及食品安全业的领域。