2014年2月,美國國家标準與技術研究所(nist)釋出了一套新的網絡安全指導方針,旨在幫助關鍵基礎設施提供者更好地保護自身,抵禦攻擊。這一架構的出台,源于奧巴馬總統在2013年釋出的為關鍵基礎設施公司建立一套非強制性網絡安全标準行政指令。
一年過後,nist網絡安全架構在改善網絡彈性上有沒有起重大作用?是否就像反對者當時預測的那樣,流于形式而荒于實質?
nist網絡空間安全架構源于美國面臨着最嚴重的經濟和國家安全威脅之一,網絡攻擊。這一架構提供了:
· 一套用以預測和防護網絡攻擊的活動(“核心”)
· 一套用以評估核心活動實作程度和測算應對攻擊的準備程度的衡量标準。(“實施層”)
· 一份可用于通過對比目前狀态分析和目标狀态分析,得出改善組織網絡安全态勢機會的安全狀态分析報告。
另外,nist網絡安全架構還包括一份大而全的所謂資訊性參考資料,也就是關鍵基礎設施産業通用的一些特定的标準、指南和實踐。
通過将所有這些資料內建到單一的一個知識庫裡,政府為欠發達組織評估自身安全準備水準和自我定位提供了一套通行的術語和方法論。就這一點而言,nist網絡安全架構為網絡安全建立一套标準化方法邁出了良好的一步。然而,幾乎在它釋出之初就已經明了,這一架構需要後續很多實質上的更新才能真正幫助改善國家網絡 彈性。是以,除了2月4号聽證會上送出給參議院委員會的一些坊間證據之外,并沒有任何可度量的證據表明采用了此架構可以幫助預防網絡攻擊。
然 後,nist網絡安全架構為實作更好的網絡安全實踐提供了一些有價值的建設子產品,但并非預防網絡攻擊和資料洩露的萬能藥。我們要認識到,指導方針和條例規 程本質上是靜态的,因而不能演變進化以檢測和減輕不斷變化的威脅。同時,法規遵從也遠遠跟不上網絡攻擊的腳步。而指南本身更是可以從推薦的措施中暴露出漏 洞,攻擊者完全可以将之用作制訂攻擊戰略的藍圖。
最後,合适的安全措施和最佳實踐隻是解決方案中的一部分。對組織而言最大的挑戰之一,是 管理為抓住偵測到網絡攻擊的機會而必須分析、标準化和優先化的資料饋送的容積、速率和複雜性。塔基特資料洩露事件就是一個例子。盡管合理配置的最佳技術可 以檢測到早前的入侵,那些警告卻湮沒在了資料汪洋大海裡,緻使安全團隊未能及時警醒并快速反應。反而是由第三方報告了被盜資料出現在網際網路上才揭露了資料 洩露事件。
如果沒有資料自動化,進行大資料風險分析和綜合內建可操作的安全評估就會耗費數月甚至數年時間。找到利用技術手段克服從安全回報中抽取可用情報的人力資源缺乏問題,以及形成快速及時的響應,應當依然作為組織關注的焦點。
在這個背景下,nist網絡安全架構确實是一塊重要的基石,但也隻是通往實作抵禦網絡安全風險的可操作性防禦的第一步而已。
作者:nana
來源:51cto