您需要了解的网络弹性框架

网络弹性框架可以帮助您的组织实现一个重要目标：确保您能够做好准备、抵御、恢复和发展，以更好地适应网络攻击和 IT 系统面临的其他威胁，这些威胁可能会扰乱您的业务，甚至导致业务急速停止。

但是有哪些网络弹性框架可用？他们到底提供什么？网络弹性框架如何与 MITRE ATT&CK 知识库等珍贵资源相结合？请继续阅读，获取有关在组织中实施网络弹性框架的这些问题和其他关键问题的答案。

什么是网络弹性？

在我们深入研究网络弹性框架之前，我们先回顾一下什么是网络弹性以及它与网络安全有何不同。

网络安全的重点是防止网络攻击和其他安全事件的发生，并最大限度地减少它们可能造成的损害。它包括将对手排除在网络之外的措施，例如防火墙和防病毒工具，以及访问控制（例如最小权限模型和多因素身份验证（MFA）），以及非技术方法（例如针对用户的安全意识培训）。它还包括发现正在发生的威胁并及时响应以限制其影响的策略，例如整个 IT 生态系统的审计活动、用户行为和实体分析 (UBEA) 以及变更控制。

但组织已经认识到，虽然网络安全仍然是一个关键问题，但它是一个更大目标的一部分：保持业务正常运行。因此，近年来，人们的注意力已转向网络弹性。网络弹性涉及更广泛地思考逆境，其中不仅包括对手对网络资源发起恶意攻击，还包括可能影响这些资源的不利条件、压力或妥协。示例包括自然灾害、电力故障和意外的高负载。

努力实现网络弹性还需要采取假设突破的心态，并理解现代攻击通常涉及隐秘、持久和复杂的对手。组织需要广泛思考如何才能保持正常运行，因为有不良行为者可以（或已经）在其 IT 环境中建立存在，从而窃取关键数据并破坏重要服务。

什么是网络弹性框架？

网络弹性框架是指导——结构化的最佳实践和推荐的安全控制措施，组织可以采用它们来提高阻止、抵御网络安全威胁和从网络安全威胁中恢复的能力。网络弹性框架没有列出要遵循的硬性规则，也没有详细说明要实施的一组特定技术或产品。相反，它们阐述了最佳实践，并为提高网络弹性提供了宝贵的指导。组织可以而且应该调整网络弹性框架来满足其独特的目标和要求。

基础：NIST CSF 等网络安全框架

网络弹性框架植根于网络安全框架，旨在帮助组织管理其网络安全风险。也许最著名的是美国国家标准与技术研究院 (NIST) 网络安全框架 (CSF)。 CSF 1.1 版包含此处所示的五个核心功能：

• 识别 - 主动寻找暴露指标 (IOE)、对手可用来进入您的 IT 生态系统并横向移动的可利用攻击向量，以及黑客可用来提升访问权限以实现其目标的攻击路径。示例包括软件漏洞、错误配置的设备和嵌套权限。
• 保护 - 根据您的风险承受能力减轻漏洞。例如，防止对关键安全组和组策略进行更改，并修复攻击路径的阻塞点。
• 检测 - 通过实时审核、异常检测和警报发现妥协指标 (IOC)。
• 响应 - 快速收集和分析有关事件的信息，以便您可以就最佳行动方案做出明智的决策。
• 恢复 — 快速、准确、有效地恢复系统和数据。

NIST CSF 2.0 将添加第六个功能，治理。这一新职能强调网络安全治理对于管理和降低网络安全风险至关重要。它是一个跨领域的职能，为其他人提供信息和支持；例如，治理结果可以确定安全控制的优先顺序。目前其他职能涵盖的一些类别将移至治理职能；这些可能包括识别功能的“风险管理策略”和“商业环境”类别。

从 NIST CSF 扩展到网络弹性框架

正如您所看到的，NIST CSF 实际上正在朝着不仅成为网络安全框架，而且成为网络弹性框架的方向发展。事实上，许多网络弹性框架都建立在 NIST CSF 的五个功能之上，并且经常对其进行重命名和扩展。

特别是，NIST 提供出版物 800-160 v2，“开发网络弹性系统：系统安全工程方法”。它详细介绍了网络弹性框架的两个重要且相关的概念：网络弹性目标和网络弹性目标。

网络弹性目标

目标是预期结果的高级陈述。 NIST 指南中描述的四个目标是：

• 预期——此目标是保持对逆境的知情准备状态。这涉及识别和减轻弱点，还涉及威胁事件的应急计划，以确保您可以调查并响应发现的漏洞或危害。
• 承受 - 这一目标是在逆境中继续您的基本使命或业务职能。当然，这需要确定您的基本使命和业务功能，以及所有支持流程、系统、服务和基础设施。重要的是要记住，功能的重要性及其支持能力会随着时间的推移而改变。
• 恢复 - 第三个目标是在逆境期间和之后恢复您的使命或业务功能，可能使用分阶段（增量）流程。重要的是要确保恢复不会再次威胁；例如，在没有采取足够预防措施的情况下从备份恢复系统也可能会恢复对手几周前植入的后门。
• 适应 — 最终目标是修改您的任务或业务功能及其支持能力，以响应 IT 环境和威胁形势的变化。

网络弹性目标

目标是对预期结果的更具体的陈述。它们的表达方式有助于评估目标可以“多好”或“多快”或“以何种程度的信心或信任”实现。 NIST 指南概述了八个网络弹性目标：

• 预防或避免——阻止成功执行攻击或实现不利条件。
• 准备——接受逆境将会发生的事实，并保持一套现实的应对措施来应对预期的逆境。
• 继续 - 在逆境中最大限度地延长基本任务或业务职能的持续时间和可行性。
• 约束 - 限制逆境对高价值资产造成的损害，例如存储或处理敏感信息或支持任务关键能力的资产。
• 重建——在逆境之后尽可能多地恢复任务或业务功能，同时确保恢复的资源是值得信赖的。
• 理解 - 维护任务和业务依赖性以及与可能的逆境相关的资源状态的有用表示。 （请注意，该目标支持所有其他目标。）
• 转型——修改使命或业务职能及其支持流程，以更好地应对逆境。这可以包括对程序或配置的战术更改，以及更广泛的修改，例如重组治理职责或运营流程。
• 重新架构——修改系统、使命和支持架构，以更有效地应对逆境。

MITRE 网络弹性工程框架 (CREF)

了解弹性目标对于采用网络弹性框架至关重要，但在组织中实际实现这些目标又如何呢？输入米特雷。

MITRE 以开发和维护网络对手所使用的战术和技术的综合知识库而闻名。它包含 14 个类别，大致对应于网络杀伤链的各个阶段，从侦察和初始访问，到特权升级和横向移动，再到渗透和影响。世界各地的组织使用 MITRE ATT&CK 矩阵来了解和防御网络攻击，

但 MITRE 还提供网络弹性工程框架 (CREF)，该框架建立在 NIST 等网络弹性框架的基础上，不仅提供弹性目标和目标，还提供弹性技术：

正如您所看到的，MITRE 列出的目标与 NIST 确定的目标非常相似。您应该随意使用更适合您组织需求的版本。在这里，我们重点关注可以帮助您实现网络弹性目标的网络弹性技术。

网络弹性技术

MITRE 详细介绍了以下网络弹性技术：

• 自适应响应 - 对事件做出动态响应，以维持作战能力并限制损失。
• 分析监控——持续收集和分析数据，以识别漏洞和可能出现逆境的迹象。
• 协同防御 - 使用纵深防御策略来保护关键资源。
• 欺骗——迷惑和误导对手。
• 多样性 - 使用多种技术、数据源、位置和通信路径来降低常见故障的风险。
• 动态定位 - 分配并动态重新定位功能和资产。
• 动态表示 - 使用组件、服务、系统、逆境和响应的动态表示。
• 非持久性 - 限制您保留信息、服务和连接的时间，以降低损坏、修改或接管的风险。
• 权限限制——按照最小权限严格限制授予用户和其他网络实体的权限，特别是对于关键资源。
• 重新调整 - 调整资源与任务职能的协调，以降低风险。
• 冗余 - 拥有多个关键信息和资源实例。
• 分段/分离 - 在逻辑上或物理上分离组件，以最大程度地减少损坏的蔓延。
• 经证实的完整性 - 实施机制来确定关键资源是否已被损坏
• 不可预测性 - 进行频繁和随机的更改，使攻击面变得更不可预测。

请记住，CREF 是故意不完整的；它不包括与非网络威胁相关的弹性目标和技术，例如自然灾害和人为错误。

由于目标可以支持多个目标，并且大多数技术都支持多个目标，因此事情很快就会变得复杂。为了帮助可视化网络弹性目标、目的和技术之间的关系，请查看 MITRE 的免费网络弹性工程框架导航器。

网络安全评估框架（CAF）

提高网络弹性的一个重要部分是找到一种衡量网络弹性的方法。这样，您就可以确定要采取的步骤、确定投资的优先顺序并衡量一段时间内的进展情况，并提供证据来确保工作预算。

网络安全评估框架 (CAF) 由国家网络安全中心 (NCSC) 开发，旨在帮助提高英国各地网络和信息系统的安全性，特别是那些支持对经济、社会、环境和个人至关重要的功能的系统。然而，对于任何有兴趣评估其网络弹性的组织来说，它可能是一个有价值的工具。它提供了一种系统且全面的方法来评估基本功能的网络风险的管理程度。

CAF 植根于涵盖四个目标的 14 条原则。这些原则描述了需要实现的结果，而不是提供要做什么的清单。它们以简单的语言呈现：

• 目标 A：管理安全风险

  • 1 治理
• 2 风险管理
• 3 资产管理
• 4 供应链

CAF 评估根据这些目标和原则评估组织的网络安全态势，并确定需要改进的领域，例如过时的软件、缺少补丁或访问控制不足。这些信息可用于制定实施变革的路线图，以最有效地增强网络弹性。定期执行 CAF 评估还为组织提供了一种跟踪其网络弹性提升进度的方法。

互联网安全中心 (CIS) 安全最佳实践

互联网安全中心还为提高网络弹性提供了宝贵的指导，这与我们已经探索过的网络弹性框架正交。 CIS 安全最佳实践是组织可以实施的一组规定性且优先考虑的行动，以防御网络攻击。它们包括 CIS 关键安全控制（CIS 控制）和 CIS 基准。

CIS 关键安全控制

CIS 控制详细说明了要实施的具体、实用和可衡量的保障措施，并定期更新以反映技术、最佳实践和威胁形势的变化。在版本 8 中，控件按活动组织，而不是按设备管理人员组织：

1. 企业资产盘点与管控
2. 软件资产的盘点和控制
3. 数据保护
4. 企业资产和软件的安全配置
5. 帐户管理
6. 访问控制管理
7. 持续的漏洞管理
8. 审核日志管理
9. 电子邮件和网络浏览器保护
10. 恶意软件防御
11. 数据恢复
12. 网络基础设施管理
13. 网络监控与防御
14. 安全意识和技能培训
15. 服务提供商管理
16. 应用软件安全
17. 事件响应管理
18. 渗透测试

例如，控制措施 11 详细介绍了以下数据恢复保护措施：

• 建立并维护数据恢复流程。
• 执行自动备份。
• 保护恢复数据。
• 建立并维护恢复数据的隔离实例。
• 测试恢复数据。

CIS 基准

CIS 基准详细介绍了各种系统安全配置的最佳实践，包括：

• 台式机和网络浏览器
• 移动设备
• 网络设备
• 服务器
• 虚拟化平台
• 微软办公应用程序

ISO/IEC 27001 和 27002

国际标准化组织（ISO）和国际电工委员会（IEC）提供了两个信息安全、网络安全和隐私保护的相关标准：ISO/IEC 27001和ISO/IEC 27002。

ISO/IEC 27001 旨在帮助组织为信息安全奠定坚实的基础。该可审核的国际标准定义了信息安全管理体系 (ISMS) 的要求。它规定了建立、实施、维护和持续改进 ISMS 以及评估和补救信息安全风险的要求。

ISO/IEC 27001 标准认证表明组织遵循最佳实践信息安全流程。不选择获得 ISO 27001 认证的组织仍然可以使用该标准来提高其信息安全和网络弹性。

ISO/IEC 27002 通过提供通用信息安全控制参考集来补充 ISO/IEC 27001。虽然 ISO 27001 仅简要解释了每项控制措施，但 ISO 27002 提供了重要的细节，包括实施指南。组织无法获得 ISO 27002 认证，因为它不是管理标准。

NIS2指令

2016 年颁布的网络和信息安全 (NIS) 指令是欧盟范围内第一部关于网络安全的立法，旨在实现欧盟成员国网络安全的高共同水平。它要求基本服务运营商和数字服务提供商采取适当的安全措施并报告严重影响其服务可用性的事件。

虽然 NIS 是坚实的第一步，但实施过程中仍面临挑战，包括该指令转化为国家法律后的期望不够明确。为了解决这些问题，欧盟于 2023 年 1 月通过了 NIS2；成员国必须在2024 年 10 月 18 日之前在各自的国家法律中实施新指令。

NIS2 中的主要变化包括以下内容：

• 管理团队的个人责任 - 不遵守 NIS2 可能会导致强制执行令和巨额罚款。此外，NIS2 引入了公司董事会、高管和其他管理机构的个人责任。
• 组织类型的变化——NIS2不再区分“基本服务运营商”和“数字服务提供商”，而是根据运营商的行业和规模来区分“基本实体”和“重要实体” 。重要实体受到更严格的执法和监督要求。
• 扩大范围——指令范围内有更多组织。新类别包括医疗设备制造商、社交网络提供商和食品加工商。
• 新要求 - NIS2 对事件报告和风险管理（例如供应链风险管理）规定了新义务。
• 加强合作 - NIS2 旨在通过同行评审等机制加强成员国之间的合作和知识共享。

网络弹性框架和监管合规性

虽然 NIS2 是一项适用于欧盟许多组织的指令，但大多数网络安全和网络弹性框架都是自愿性的，并且由非监管机构的组织发布。然而，由于它们建立在网络安全和网络弹性的既定最佳实践之上，因此一些法规强制要求使用它们。

例如，NIST 不是监管机构，但《加强联邦网络和关键基础设施的网络安全》第 13800 号行政命令使 NIST CIF 网络弹性框架成为美国联邦政府机构和其他政府机构的强制性要求。同样，NCSC 是国家网络安全技术机构，虽然它开发 CAF 的目的是希望将其用于支持网络监管，但 NCSC 本身没有监管责任。

许多其他合规标准都借鉴了网络安全和网络信赖框架。例如，支付卡行业数据安全标准 (PCI DSS) 要求保护持卡人的敏感信息（要求 3）并对通过公共网络传输的数据进行加密（要求 4）。 NIST 提供了有助于满足这些要求的行业最佳实践，包括实施加密和管理加密密钥的方法。

如何开始使用网络弹性框架

采用网络弹性框架的关键早期步骤根本不是技术性的——而是组建合适的团队。获得最高管理层的支持至关重要。首席安全官 (CSO) 或首席信息安全官 (CISO) 对于清楚了解框架如何适应其任务至关重要。但最好得到尽可能多的其他人的支持，例如首席执行官、财务、隐私和风险官。虽然获得预算是让他们参与的一个关键原因，但这并不是唯一的原因：拥抱网络弹性需要政策和文化的改变，而这需要从 C 级以下的推动和支持。

然后就是选择框架的问题。正如我们所看到的，网络弹性框架是基于相同的基础构建的：众所周知的最佳实践。因此，选择哪个框架并不重要，重要的是开始使用。需要解决的核心领域包括：

• 了解您组织的使命和业务职能及其支持流程和工具。 确定什么对于让您的组织继续前进至关重要，即使它没有全速运行。这是你首先要集中注意力的地方。在任何基于 Microsoft 的环境中，Active Directory 都位于列表的顶部，因此请务必包含 Active Directory 的网络安全风险管理。
• 采取假设违反的心态。实际上，采取假设-逆境 正如我们所见，逆境不仅以外部网络攻击的形式出现，还以内部威胁、错误、设备故障、自然灾害等。开始询问如何才能降低发生逆境的风险，以及如何在逆境发生时最有效地做出反应，从而避免业务陷入停滞。
• 请记住，网络弹性是一个旅程，而不是目的地。为每个人（IT 团队、业务用户、最高管理层）设定期望，即没有任何网络弹性策略是完美的，也不可能在任何方面都保持完美。面对技术、流程和威胁形势的不断变化。网络弹性框架旨在提供高级指导，并因此定期修订。

结论

网络弹性框架为组织提供了宝贵的最佳实践指导，帮助他们准备、抵御、恢复和适应从网络攻击到自然灾害的逆境。

无需被各种可用的网络弹性框架和相关资源吓倒。 NIST 网络弹性框架是一个很好的起点；它阐明了作为强有力战略支柱的核心目标和目的。当您准备好开始实施时，MITRE 详细介绍了您需要了解的网络弹性技术，NIS2 提供了务实且可操作的指导，即使对于不在其范围内的组织也很有价值。

希望本文能帮助您开始迈向更好的网络弹性之路。