NIST网络安全框架：SaaS安全合规性快速指南

当我想了解最近发布的网络安全最佳实践时，我会访问美国国家标准与技术研究所（NIST）。从最新的密码要求（NIST 800-63）到制造商的物联网安全（NISTIR 8259），NIST始终是起点。NIST作为美国标准制定者发挥着关键作用，因为该组织的专业精神和帮助创建NIST文件的外部专家

NIST网络安全框架（CSF）最初于2014年发布，最后一次更新于2018年。该框架使企业能够通过一个精心规划且易于使用的框架，提高关键基础设施的安全性和恢复能力

SaaS持续增长，2019冠状病毒疾病的主要环境变化带来新的安全挑战。尽管CSF是在SaaS兴起时编写和更新的，但它仍然面向传统的关键基础设施安全挑战。然而，通过使CSF适应基于SaaS的现代工作环境，组织可以更好地应对新的风险

我个人很喜欢这个框架，但说实话，当人们深入阅读这个框架时，它的复杂性是显而易见的，遵循它可能很困难。本文将回顾CSF的关键元素，指出其关键优点，并建议实现SaaS安全性

了解如何自动化组织的NIST合规性

NIST CSF概述

NIST CSF列出了五项安全功能，然后将它们划分为类别和子类别。子类别包含实际控件。对于每一个子类别，CSF都包括一个对著名标准和框架的交叉引用列表，如ISO 27001、COBIT、NIST SP 800-53和ANSI/ISA-62443

这些交叉引用帮助组织实施CSF并将其映射到其他框架。例如，无论公司需要遵守何种安全标准，安全经理或其他团队成员都可以使用这些参考来证明他们的决定是正确的

在一份文件中，该框架结合了许多应对网络安全威胁的方法。这包括：

 

设置程序
•  
培训
•  
定义角色
•  
审计
•  
监控
•  

该框架有五个阶段的核心结构：识别、保护、检测、响应和恢复。我会帮你把它们分解成子弹

 

识别

NIST对该功能的定义如下：“培养组织对管理系统、资产、数据和能力的网络安全风险的理解。”

在该功能中，NIST包括以下控制类别：

 

资产管理
•  
商业环境
•  
治理
•  
风险评估
•  
风险管理策略
•  
供应链风险管理
•  

NIST对该功能的定义如下：“制定并实施适当的保障措施，以确保关键基础设施服务的提供。”

在该功能中，NIST包括以下控制类别：

 

访问控制

意识和培训
•  
数据安全
•  
信息保护流程和程序
•  
维护
•  
保护技术
•  
•  

NIST对该功能的定义如下：

“制定并实施适当的活动，以识别网络安全事件的发生”

在该功能中，NIST包括以下控制类别：

异常和事件

安全持续监控

检测过程
•  
•  
• NIST对该功能的定义如下：

“制定并实施适当的活动，以便对检测到的网络安全事件采取行动”

在该功能中，NIST包括以下控制类别：

响应计划

通讯

分析

缓解措施
•  
改进
•  
•  
• NIST对该功能的定义如下：
• #“制定并实施适当的活动，以维持恢复计划，并恢复因网络安全事件而受损的任何能力或服务”

在该功能中，NIST包括以下控制类别：

恢复计划

改进

通讯

将CSF应用于SaaS安全

• 虽然该框架肯定是最佳实践中的一个模型，但它的实现是一个挑战
• #了解更多SaaS安全态势管理（SSPM）解决方案如何在整个SaaS产业内自动遵守NIST
• 传输中的数据受保护（PR.DS-2）

一家使用SaaS服务的公司可能想知道这与他们有什么关系。他们可能认为遵从性是SaaS提供商的责任。然而，深入研究表明，许多SaaS提供商都有安全措施，用户负责使用这些措施

 

例如，管理员不应允许通过HTTP连接到SaaS服务。他们应该只允许安全的HTTPS连接

实施了数据泄漏保护（PR.DS-5）

这似乎是一个小的子类别，但下面有一个庞然大物。数据泄露极难防止。SaaS应用的采用使得这一点更加困难，因为人们可以在世界任何地方共享和访问它们

CISO办公室的管理员或成员应特别注意这种威胁。SaaS中的DLP可以包括以下安全措施：

共享指向文件而非实际文件的链接

设置链接的过期日期

如果不需要，禁用下载选项

阻止在数据分析SaaS中导出数据

加强用户身份验证
•  
防止通信SaaS中的现场记录
•  
定义良好的用户角色，超级用户和管理员数量有限
•  
• 为授权设备、用户和流程颁发、管理、验证、撤销和审核身份和凭据（PR.AC-1）
• #随着企业扩大员工规模和SaaS应用，这一子类别变得更具挑战性。仅在五个SaaS上管理50000个用户意味着安全团队需要管理250000个身份。这个问题是真实而复杂的
• #更具挑战性的是，每个SaaS都有不同的方式来定义身份、查看身份和保护身份。更大的风险是，SaaS应用程序并不总是相互集成，这意味着用户可以发现自己在不同的系统中拥有不同的权限。这会导致不必要的特权，从而产生潜在的安全风险
• 自适应屏蔽如何帮助满足NIST CSF要求

NIST CSF是当今网络安全的行业标准，但要用典型的手动实践和流程来实施它是一场艰苦的战斗。那么为什么不自动化呢

Adaptive Shield是一个SaaS安全态势管理（SSPM）解决方案，它可以自动化整个SaaS产业的合规性和配置检查。Adaptive Shield使安全团队能够轻松发现并快速修复配置缺陷，确保符合NIST CSF的公司和行业标准，以及SOC 2和CSA云控制矩阵等其他合规要求