2024年2月,NIST发布其网络安全框架(CSF 2.0)的更新指南。CSF 2.0的目标是阐明网络安全风险的高级分类法,并指导企业如何改进其网络安全计划、应对网络攻击的措施以及攻击后的效果。NIST的最新指南《网络安全风险管理的事件响应建议和注意事项》于2025年4月发布,将CSF 2.0的通用指南细化为更具体的行动项目,供企业改进其网络安全响应。
了解事件响应生命周期
最新指南提出了企业在规划事件响应时应考虑的六项原则,以确保企业能够识别、实施有效的应急方案,并随时准备应对网络威胁。NIST对这些原则的定义如下:
管理:建立、传达和监控组织的网络安全风险管理策略、期望和政策。
识别:识别和管理可能导致网络安全事件的资产、漏洞和风险。
保护:实施保护资产和数据的安全措施,以管理组织的网络安全风险。
检测:主动发现并分析可能的网络安全攻击和危害。
响应:管理、确定优先级、控制和消除事件,同时向相关方报告和传达事件。
恢复:恢复受网络安全事件影响的资产和运营。
总的来说,这六个步骤旨在强调组织网络安全协议的持续改进,以确保它们能够随着威胁的演变和变化而调整和增强其事件响应和网络安全风险管理实践。
定义事件响应管理的角色和职责
NIST报告强调,网络安全响应团队的规模需要比以往更加广泛。此前,NIST推荐并支持“事件处理程序”模式,即公司内部设立专门的团队来管理和响应网络安全威胁。鉴于网络系统的复杂性及其面临的威胁,NIST建议扩大公司参与网络安全事件响应流程的员工范围,例如将公司领导层、法务团队、技术专业人员、公共关系团队和人力资源部门纳入其中。NIST还建议事件处理程序团队采用“责任共担”模式,将网络安全运营部分或全部外包给资源充足、专业的第三方,并在合同中明确约定其职责。NIST认为,这些措施将有助于公司更有效地应对和解决网络安全事件,从而更好地保护其数据和资产。
重写事件响应政策、流程和程序并使用剧本
NIST报告概述了企业在组织内部制定有效的事件响应政策、流程和程序时需要考虑的基本要素和建议。对于事件响应政策,NIST建议该政策应包含以下关键要素:管理承诺声明、政策的目的和目标、政策范围、事件和事故的定义、角色和职责、确定事故优先级的指南以及绩效衡量标准。
流程和程序应与这些政策紧密结合,并应记录应对网络安全事件(尤其是最常见的事件和威胁类型)所需的技术和操作知识。NIST建议企业考虑将这些程序格式化为行动手册,例如美国网络安全基础设施安全局 (CSA) 的《网络安全事件和漏洞响应行动手册》,以记录其流程和程序,以便在整个组织内轻松复制和保持一致性。
NIST 报告最后提供了一个示例模板,公司可以使用它来帮助实施 NIST 的建议并使其网络安全实践适应CSF 2.0。
