2014年2月，美國國家標準與技術研究所(NIST)發(fā)布了一套新的網(wǎng)絡安全指導方針，旨在幫助關鍵基礎設施提供者更好地保護自身，抵御攻擊。這一框架的出臺，源于奧巴馬總統(tǒng)在2013年發(fā)布的為關鍵基礎設施公司建立一套非強制性網(wǎng)絡安全標準行政命令。

一年過后，NIST網(wǎng)絡安全框架在改善網(wǎng)絡彈性上有沒有起重大作用?是否就像反對者當時預測的那樣，流于形式而荒于實質?

NIST網(wǎng)絡空間安全框架源于美國面臨著最嚴重的經(jīng)濟和國家安全威脅之一，網(wǎng)絡攻擊。這一框架提供了：

·一套用以預測和防護網(wǎng)絡攻擊的活動(“核心”)

·一套用以評估核心活動實現(xiàn)程度和測算應對攻擊的準備程度的衡量標準。(“實施層”)

·一份可用于通過對比當前狀態(tài)分析和目標狀態(tài)分析，得出改善組織網(wǎng)絡安全態(tài)勢機會的安全狀態(tài)分析報告。

另外，NIST網(wǎng)絡安全框架還包括一份大而全的所謂資訊性參考資料，也就是關鍵基礎設施產(chǎn)業(yè)通用的一些特定的標準、指南和實踐。

通過將所有這些資料集成到單一的一個知識庫里，政府為欠發(fā)達組織評估自身安全準備水平和自我定位提供了一套通行的術語和方法論。就這一點而言，NIST網(wǎng)絡安全框架為網(wǎng)絡安全創(chuàng)建一套標準化方法邁出了良好的一步。然而，幾乎在它發(fā)布之初就已經(jīng)明了，這一框架需要后續(xù)很多實質上的更新才能真正幫助改善國家網(wǎng)絡 彈性。因此，除了2月4號聽證會上提交給參議院委員會的一些坊間證據(jù)之外，并沒有任何可度量的證據(jù)表明采用了此框架可以幫助預防網(wǎng)絡攻擊。

然 后，NIST網(wǎng)絡安全框架為實現(xiàn)更好的網(wǎng)絡安全實踐提供了一些有價值的建設模塊，但并非預防網(wǎng)絡攻擊和數(shù)據(jù)泄露的萬能藥。我們要認識到，指導方針和條例規(guī) 程本質上是靜態(tài)的，因而不能演變進化以檢測和減輕不斷變化的威脅。同時，法規(guī)遵從也遠遠跟不上網(wǎng)絡攻擊的腳步。而指南本身更是可以從推薦的措施中暴露出漏 洞，攻擊者完全可以將之用作制訂攻擊戰(zhàn)略的藍圖。

最后，合適的安全措施和最佳實踐只是解決方案中的一部分。對組織而言最大的挑戰(zhàn)之一，是 管理為抓住偵測到網(wǎng)絡攻擊的機會而必須分析、標準化和優(yōu)先化的數(shù)據(jù)饋送的容積、速率和復雜性。塔基特數(shù)據(jù)泄露事件就是一個例子。盡管合理配置的最佳技術可 以檢測到早前的入侵，那些警告卻湮沒在了數(shù)據(jù)汪洋大海里，致使安全團隊未能及時警醒并快速反應。反而是由第三方報告了被盜數(shù)據(jù)出現(xiàn)在互聯(lián)網(wǎng)上才揭露了數(shù)據(jù) 泄露事件。

如果沒有數(shù)據(jù)自動化，進行大數(shù)據(jù)風險分析和綜合集成可操作的安全評估就會耗費數(shù)月甚至數(shù)年時間。找到利用技術手段克服從安全反饋中抽取可用情報的人力資源缺乏問題，以及形成快速及時的響應，應當依然作為組織關注的焦點。

在這個背景下，NIST網(wǎng)絡安全框架確實是一塊重要的基石，但也只是通往實現(xiàn)抵御網(wǎng)絡安全風險的可操作性防御的第一步而已。

原文地址：http://www.aqniu.com/neo-points/7100.html