美CISA发布网络安全绩效目标1.01.版本
跨部门网络安全绩效目标(CPG)提供了一套易于操作的IT和OT网络安全保护措施,这些措施定义明确,易于实施,旨在解决一些最常见和最有影响的网络风险。CPG的编写和设计是为了便于理解并相对容易与非技术性受众沟通,包括高级业务领导。
1 背景和环境
在过去的一年里,CISA与数以百计的合作伙伴合作,收到了数以千计的评论,并分析了我们在评估、保护和应对网络事件方面的多年数据。这使我们能够确定使我们的国家面临严重风险的关键挑战。
许多组织没有采用基本的安全保护措施。缺之基本的保护措施,如多因素认证(MFA)、强大的密码管理和维护备份,以及其他基础措施,一再使关键基础设施暴露在破坏性的网络入侵之下。
中小型织被在后面。资源有限或网络安全计划不太成熟的组织往往面临挑战,确定从哪里开始实施合理的网络安全措施。虽然像NIST网络安全框架这样的现有资源是非常有价值的,但小型组织在确定在何处投资以对其网络安全态势产生最大影响以及在如何有效实施网络安全保护的具体指导方面面临困难。
关键基础设施部门之间缺一致的标准和网络成熟度。关键基础设施部门内部和之间在网络安全能力、投资和基准做法方面存在着严重的不一致。这种不一致导致了差距,可以被威胁者利用,造成功能和连带影响。
OT网络安全往往仍然被忽视,资源不足。网络安全行业仍然主要关注商业IT系统,往往忽视了OT系统中的关键风险,而OT系统的设计是为了优化可靠性和在这一问题上,我们可以看到,在一些情况下,OT设备的可用性并不高,而且往往缺乏原生的安全能力。随着越来越多的OT设备与网络连接,这使关键基础设施实体面临严重风险。即便如此,许多关键基础设施实体仍然缺乏足够的OT网络安全计划,特别是在网络安全仍然被视为主要是IT问题的地方。拥有OT网络安全计划的实体往往是缺乏基本的OT网络保护措施,无法找到适合其环境的相关OT具体指导。
1.1什么是CGP
简单地说,CPG是IT和OT网络安全实践的一个优先子集,旨在有意义地减少对关键基础设施运营和美国人民的风险。这些目标适用于所有关键基础设施部门,并以CISA及其政府和行业合作伙伴观察到的最常见和最有影响的威胁和对手的战术、技术和程序(TTPs)为依据,使它们成为所有关键基础设施实体(从大到小)应该实施的一套共同的保护措施。
国家方案纲要并不反映一个包罗万象的网络安全计划——相反,它们是各组织应实施的一套最低限度的做法,旨在帮助关键基础设施实体,特别是中小型组织,开始走向一个强大的网络安全态势的道路。因此,中央政策组的目的是作为一个底线,而不是一个级别,对于组织应实施哪些网络安全保护措施以减少其网络风险。
全面:国家方案纲要并没有确定保护每个组织所需的所有网络安全做法,也没有针对所有潜在风险充分保障国家和经济安全以及公共健康和安全。它们代表了广泛适用干所有部门的具有已知风险减少价值的网络安全做法的最低基线,随后将是针对具体部门的目标,深入研究每个部门的独特限制、威胁和成熟度(如适用)。
一个风险管理或全面的网络安全计划:CPG没有涵盖更广泛的风险管理或风险优先级的方法,这些在其他框架中得到了很好的阐述,如NIST网络安全框架(NISTCSF)。
由CISA授权:CPG的目的是由组织自愿采用,以便能够确定安全的优先次序。结合NISTCSF等更广泛的框架,对最关键的成果进行投资。
一个成熟度模型:国家方案纲要中的做法适用于所有的关键基础设施组织,并且没有被划分为"成熟度"类别。(然而,CPG工作表包括“影响”、“成本”和“复杂性”等标准,以帮助组织内部确定其投资的优先次序)。
1.2 CGP选择标准
如前所述,CPG是网络安全实践的一个子集,是通过行业、政府和专家协商的全面过程,使用几个标准选出来的
在降低普遍观察到的跨行业威胁和网络威胁行为人TP的风险或影响方面显示出价值。
清晰、可操作、易定义。
合理地直截了当,即使是中小型实体也不会因为成本问题而无法成功实施。
符合这一标准的CPG的一个例子是:“确保一个组织面向互联网的系统没有任何已知的漏洞(KEVs)”。这个CPG是可定义的可实现的,并直接减少了来自已知威胁的风险--民族国家的威胁者积极利用野外的这些弱点。相反,像“实施零信任(ZT)”这样的做法将不是一个合适的CPG,因为这种做法是模糊的,定义不充分,难以衡量,而且对小型组织来说可能是过于沉重的负担。
1.3 CPG模型
本文件中的CPG以可视化模式显示,不仅可以帮助读者了解目标本身,还可以了解预期结果目标所针对的风险或TTP、“好”是什么样子,以及其他重要信息。每个目标由以下部分组成:
1.4 这些标准与NistCsf和其他标准有什么不同?
现有大量的网络安全指南和框架——特别是来自美国政府的。例如,NISTCSF仍然是最广泛采用和最知名的网络安全框架之一。 CISA和更广泛的美国政府支持每个组织采用NISTCSF,以便能够开发和维护一个可持续的、风险信息网络安全计划。根据利益相关者的反馈,各组织可以利用CPG作为基于NISTCSF或其他框架和标准的更广泛的网络安全计划的一部分。
一个快速入门指南。CPG可以帮助那些可能缺乏网络安全经验、资源或结构的组织快速确定和实施基本的网络安全实践。在应用CPG之后或同时,企业可以继续利用NISTCSF来建立一个整体的风险管理计划,并实施额外的NIST控制。
确定优先次序和获得资金。CPG包含一个工作表,如下所述,它可以帮助那些规模较小或不太成熟的网络安全计划的组织优先考虑实施哪些保护措施,并将这些保护措施的重要性和相对影响及成本传达给(非技术)主管。
NISTCSF的映射。国家方案纲要中的每一项安全实践都与NISTCSF中的相应子类别相一致,并被映射到该子类别中。请注意,CPG并没有完全解决NISTCSF的每个子类别。对于每个安全实践,CSF子类别的识别表明CPG和NISTCSF之间的关系。已经采用和实施NISTCSF的组织将不需要执行额外的工作来实施相关的CPG。
1.5 如何使用CPG
CPG包装内容
有三份关于CPG的文件:
CPG名单(本文件)。
CPG工作表(附PDF)。请看下面的更多内容。
CPG完整数据矩阵(附Excel文件),其中包含CPG的所有原始数据,它们与其他框架的映射,以及更多。
CPG工作表
除了CPG清单外,还有一个方便用户使用的工作表,供资产所有者和运营商(1)审查和优先实施哪些CPG,(2)跟踪CPG实施的当前和未来状态,以及(3)向其他利益相关者(如非技术主管)清楚地传达CPG的优先级、权衡和状态。该工作表包括对实施每个目标的成本、复杂性和影响的一般估计。这些估计旨在作为一种辅助手段,帮助通知投资战略,以解基线网络安全能力方面的已知差距。
使用CPG工作表
进行初步的自我评估。组织应审查其现有的安全计划和安全控制,以确定哪些CPG已经实施。组织可能已经通过遵守现有的指导或法规(如NISTCSF或ISA62443)实施了部分或许多CPG,并且所有CPG都映射到这些通用框架中的相应控制。
确定差距并确定优先次序。各组织审查其CPG实施中的差距,并根据成本、复杂性和影响等因素对这些领域的投资进行优先排序,这些因素都包含在CPG工作表中。
投资和执行。各组织可以开始实施前几个步骤中确定的优先差距。一些组织可能会发现,在与领导层合作为以网络安全为重点的项目申请资金时,工作表等材料很有帮助。
12个月后定期审查进展。为了跟踪改进网络安全实践的进展,组织应该在12个月后通过工作表来记录进展,包括他们自己的领导层和第三方的进展。
1.6 网络安全架构所支持的作战人员的成果
CSRA旨在通过2022年国防战略中描述的两种主要方式为作战人员提供更有效的结果。
综合威慑
为了提高网络空间的生存能力和威慑MCA,该部必须投资于关键能力的现代化。采用集成了可见性、分析、数据保护和其他先进安全技术的ZTA将减少复杂性,并实现网络响应行动的自动化和协调。
建立持久的优势
目前的采购程序是为了获得特定的系统,而不是为了解决操作问题。随着该部转向快速试验和实地考察新兴技术和能力,其目的是更好地将需求与资源和采购相协调。采用ZTA的设计,使遗留系统与现代系统具有互操作性,将更有效率和效益地向作战人员提供先进的能力。
2 对国家政策的改变
2023年3月更新:自最初公布以来,CPG发生了哪些变化?
在CISA2022年10月发布第一份CPG报告后,该机构收到了来自多个部备的反馈,要求更加简化与NISTCSF的映射关系。作为回应,CISA重新组织了CPG,以便与NISTCSF的功能(识别、保护、检测、响应和恢复)保持一致。请注意,有几个目标与多个功能相一致、一个特定的CPG的实施并不一定构成对所提及的NISTCSF的完全履行。
本次2023年3月的更新,即1.0.1版,对CPG进行了重新排序和编号,以便与NISTCSF的功能紧密结合。随之而来的文件(核对表和矩阵)也作了相应的调整。原有编号的映射反映在矩阵中,供熟悉原始出版物的用户使用。
此外,MFA目标已经更新,以反映最近发布的CISA关于抗钓鱼MFA的指导意见和优先实施的考虑。
CISA还增加了一个基于GitHub反馈的目标,以帮助组织的恢复计划。
最后,对词汇表进行了轻微的修改,以反映上述内容的细微变化,并对致谢部分进行了修改,以感谢为当前和以前版本作出贡献的其他利益相关者。
内容主要整理自相关网站资料。
仅供学习参考,欢迎交流指正。
公众号内回复“DP82”
获取全文下载地址。
