如何选择网络安全框架

up:: [[ Blue Team能力建设 ]]-安全架构

  • 背景

    • 当老板提出灵魂拷问时,我们能否从容回答?
      • Lapsus$组织的手法 勒索犯罪团伙Conti SolarWinds事件 等等回发生在我们身上吗?我们的风险有多大?我们是否能保护了我们的关键资产?未来我们需要做什么?网络安全如何与业务战略保持一致?
      • 我们可以协助网络安全框架来回答这些挑战
  • 框架概述

    • 我们可以把框架分为三类
      • 控制框架 Control Framework
        • 类比:如果你想成为一名作家,就必须首先从对语言和词汇的掌握开始,可以在写作中使用的单词都包含在字典中。同样,可以实现的安全控制都在各种控制框架中都有描述。

        • NIST 800-53
          • 包含您可能想要实施的所有可能的安全控制。显然,不能也不想实现每一个可能的控制。这就是 NIST 800-53 将控制分为低、中和高影响类别的原因,以便可以根据自己的情况确定适当的控制。
        • CIS Controls
          • 他们定义了“前 20 名”控制措施,这些控制措施已被证明可以缓解绝大多数最常见和最有影响力的安全攻击。
      • 计划框架 Program Framework
        • 类比:作家不会仅仅通过使用字典中最常见的单词而获得成功,他需要知道如何以令他的读者满意的方式将这些词组合在一起。在某些情况下,他可能需要一个风格指南作为编写文档的参考点。计划框架就像一个风格指南。

        • ISO 27001
          • 一个全面的计划框架,它定义了建立信息安全管理系统 (ISMS) 的要求。包括应该实施的安全控制之外的政策、过程、流程和活动。
        • NIST CSF
          • 它定义了五个高级功能:识别、保护、检测、响应和恢复。这五个功能将复杂的安全世界分解为简单的类别,这些类别为所有安全活动的高级生命周期建模。因为它很简单,所以它还为安全领导者提供了一种更轻松地就其安全计划进行沟通的方式。
          • Google Cloud 安全架构 就在很大程度上参考了他。
      • 风险框架 Risk Framework
        • 类比:一个熟练的作者知道如何讲述一个能引起观众共鸣的故事。同样,风险框架可帮助安全领导者以与业务产生共鸣的方式评估和管理风险。

        • IOS 27005
        • NIST 800-30/37/39
        • FAIR
  • 全景图

  • 实战案例

    • #待补充
  • 参考

    • https://www.frankkim.net/blog/how-to-make-sense-of-cybersecurity-frameworks
    • https://www.youtube.com/watch?v=dt2IqidgpS4
    • https://paleocruiser.medium.com/how-to-choose-a-cybersecurity-framework-431da08d5d81

Notes mentioning this note