Lassen Sie uns definieren NIST Cyber Security Framework kurz.
Das NIST Cyber Security Framework, kurz NIST CSF, ist ein vom NIST (National Institute of Standards and Technology) entwickeltes Rahmenwerk zur Bewertung der Cybersicherheit. Der Hauptzweck des NIST CSF besteht darin, die kritische Infrastruktur des Landes mithilfe bewährter Verfahren und Empfehlungen zur Cybersicherheit zu schützen. Es handelt sich um ein freiwilliges, risikobasiertes und ergebnisorientiertes Cybersicherheits-Framework, das Ihrem Unternehmen hilft, seine Sicherheitsaktivitäten anhand von fünf Schlüsselfunktionen zu kategorisieren: 1) Identifizieren, 2) Schützen, 3) Erkennen, 4) Reagieren und 5) Wiederherstellen.
Schauen wir uns jede Funktion kurz an:
Identifizieren – Die Funktion „Identifizieren“ unterstützt Sie bei der Entwicklung eines umfassenden Ansatzes für das Cybersicherheits-Risikomanagement in Bezug auf Systeme, Mitarbeiter, Vermögenswerte, Daten und Fähigkeiten im Unternehmen. Sie hilft Ihnen, die kritischen Vermögenswerte, das gesamte Geschäftsumfeld, das Governance-Modell und die Lieferkette zu identifizieren.
Schützen – Die Schutzfunktion unterstützt Sie bei der Einrichtung von Abwehrmaßnahmen basierend auf den Eingaben der Identifizierungsfunktion, wie z. B. kritischen Assets und Risikotoleranz/Akzeptanzniveaus. Sie unterstreicht außerdem die Bedeutung von Zugriffskontrolle und Identitätsmanagement, Datenschutz sowie Schulung und Sensibilisierung der Benutzer.
Erkennen – Die Erkennungsfunktionen helfen Ihnen, Anomalien, böswillige Aktivitäten und andere Ereignisse durch kontinuierliche Sicherheitsüberwachung und mithilfe anderer Erkennungsprozesse und -verfahren effektiv zu erkennen.
Reagieren – Um die Erkennungsfunktion zu vervollständigen, hilft Ihnen Reagieren dabei, durch Vorfallreaktionsplanung, Schadensbegrenzungsmaßnahmen für Ereignisse, genaue Analyse, Kommunikation mit den benannten Beteiligten und kontinuierliche Verbesserung bei jedem Ereignis sofort die richtigen Maßnahmen zu ergreifen.
Wiederherstellen – Die Wiederherstellungsfunktion unterstützt Sie dabei, mithilfe von Wiederherstellungsplanung, kontinuierlicher Verbesserung und Kommunikation mit den benannten Beteiligten den Zustand vor dem Angriff wiederherzustellen.
Überblick über das NIST Cyber Security Framework: Kern, Ebenen und Profil
Das NIST CSF besteht aus drei Abschnitten:
Der Kernabschnitt stellt Cybersicherheitspraktiken, technische, betriebliche und prozessbezogene Sicherheitskontrollen sowie Ergebnisse dar, die die fünf Risikomanagementfunktionen wie Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen unterstützen.
Der Abschnitt „Ebenen“ betont die Prozesse der Organisation zur Risikobewältigung, wobei die Ausrichtung auf NIST CSF gewahrt bleibt.
Die Profile charakterisieren, wie effektiv das Cybersicherheitsprogramm eines Unternehmens dessen Risiken steuert. Sie drücken auch den aktuellen und zukünftigen Stand der Cybersicherheit eines Unternehmens aus.
NIST Cyber Security Framework und AWS Cloud
Das AWS-Team hat bereits einen Leitfaden zur Implementierung des NIST CSF in einer AWS-Cloud-Umgebung veröffentlicht. AWS empfiehlt die Verwendung des NIST CSF als Mechanismus zur Gewährleistung einer grundlegenden Sicherheit, die die Cloud-Sicherheitsziele eines Unternehmens verbessern kann. Das NIST CSF enthält einen umfassenden Kontrollkatalog, der auf ISO/IEC 27001 (1), NIST SP 800-53 (2), COBIT (3), ANSI/ISA-62443 (4) und den Top 20 Critical Security Controls (CSC) (5) basiert.
Im AWS-Portal gibt es eine Liste mit der Ausrichtung des NIST CSF auf verschiedene AWS-Dienste, die sogenannte „AWS-Dienste und Kundenverantwortungsmatrix für die Ausrichtung auf das CSF“ (6). Diese umfassende Liste können Kunden nutzen, um ihre Sicherheitsanforderungen mit dem CSF in der AWS-Cloud abzugleichen. Außerdem können sie so ihre grundlegenden Sicherheitsanforderungen so gestalten, dass sie ihren Sicherheitszielen entsprechen.
AWS Cloud-Einführungs-Framework
Vor der Festlegung einer Baseline ist es wichtig, dass ein Kunde seine Geschäftsanwendungsfälle und die Verantwortung für die Sicherheit in der AWS-Cloud klar versteht. Der Kunde sollte das „AWS Cloud Adoption Framework“ (7) prüfen, um das erforderliche Governance-Modell für die Implementierung des NIST CSF in die AWS-Cloud-Services zu bewerten. Das AWS CAF (Cloud Adoption Framework) enthält Hinweise, sogenannte „CAF-Perspektiven“, um Lücken in Sicherheitskompetenzen, -fähigkeiten und Cybersicherheitsprozessen zu identifizieren.
NIST CSF-Funktionen und -Verantwortlichkeiten (im Besitz des Kunden und im Besitz von AWS)
Das AWS-Team hat das Konzept der NIST CSF-Funktionskategorien und -unterkategorien in 108 ergebnisbasierte Sicherheitsaktivitäten entwickelt. Jede Funktion bildet die kunden- und AWS-eigenen Verantwortlichkeiten ab, die die Sicherheit der AWS-Cloud und die Sicherheit in der Kunden-Cloud betreffen. Geschäftsinhaber/Stakeholder können den AWS-Link zur „Matrix der AWS-Services und Kundenverantwortung zur Ausrichtung auf das CSF“ nutzen, um ihre Anforderungen an die Ebenen und das Profilniveau der Organisation im CSF anzupassen.
Die folgende Abbildung stellt die CSF-Kernfunktionen (Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen) mit definierten Kategorien und denjenigen dar, die von AWS in 108 ergebnisbasierte Sicherheitsaktivitäten (8) umgewandelt wurden.
Bisher haben wir die NIST CSF-Ausrichtung mit den AWS Cloud Services besprochen und wie der Kunde CAF (Cloud Adoption Framework) verwenden kann, um die Qualifikationslücke, die Fähigkeiten und die Cybersicherheitsprozesse mithilfe der CAF-Perspektiven zu bewerten.
Lassen Sie uns besprechen, wie geeignete AWS-Dienste genutzt werden können, um mithilfe des NIST Cyber Security Framework eine effektive Sicherheitsarchitektur einzurichten.
Die folgende Tabelle bietet eine zusammengefasste Ansicht der AWS Cloud Services, die je nach Art des Dienstes in die NIST CSF-Kernfunktionen eingeteilt sind:
| # | Identifikation | Schützen | Entdecken | Reagieren | Entspannung |
|---|---|---|---|---|---|
| 1 | Organisationen | Schild | Wache | Cloudwatch | OpsWorks |
| 2 | Sicherheitshub | Certificate Manager | Macie | Lambda | Wolkenbildung |
| 3 | Config | KMS | Inspector | Detektiv | S3 Gletscher |
| 4 | Vertrauenswürdiger Berater | Netzwerk-Firewall | Sicherheitshub | CloudTrail | Schnappschuss |
| 5 | Systems Manager | WAF | Systems Manager | Archiv | |
| 6 | Kontrollturm | Firewall-Manager | Schrittfunktionen | CloudEndure-Notfallwiederherstellung | |
| 7 | CloudHSM | ||||
| 8 | IAM | ||||
| 9 | Direkte Verbindung | ||||
| 10 | VPC | ||||
| 11 | Einmalige Anmeldung |
Fazit
Durch die Ausrichtung der AWS Cloud Services an NIST CSF können Kunden ihre Cloud-Sicherheit durch entsprechendes Risikomanagement und branchenkonforme Cloud-Services verbessern. Encryption Consulting, ein führendes Cybersicherheitsunternehmen, bietet verschiedene AWS- und NIST-bezogene Cybersicherheitsberatungsdienste an und bietet seinen Kunden eine Risiko- und Sicherheitskontrollreifebewertung basierend auf den festgelegten Standards. Encryption Consulting hilft Kunden, sich mit NIST CSF und AWS-Sicherheitstools und -Dokumentation vertraut zu machen und unterstützt sie bei der Durchführung einer aussagekräftigen und quantifizierbaren Cybersicherheitsbewertung unter Wahrung der Geschäftsziele des Unternehmens.
Ressourcen
- ISO/IEC 27001:2013, Informationstechnologie – Sicherheitstechniken – Informationssicherheits-Managementsysteme – Anforderungen. Abgerufen am 18. Februar 2021 von: https://www.iso.org/standard/54534.html
- NIST Special Publication (SP) 800-53, Rev. 5, Sicherheits- und Datenschutzkontrollen für Informationssysteme und Organisationen. Nationales Institut für Standards und Technologie. Abgerufen am 18. Februar 2021 von: https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final
- Kontrollziele für Informations- und verwandte Technologien (COBIT), ein ISACA-Framework. Information Systems Audit and Control Association (ISACA). Abgerufen am 18. Februar 2021 von: https://www.isaca.org/resources/cobit
- ANSI/ISA-62443-2-4-2018 / IEC 62443-2-4:2015+AMD1:2017 CSV, Sicherheit für industrielle Automatisierungs- und Steuerungssysteme. Internationale Gesellschaft für Automatisierung (ISACA).
- Die 20 CIS-Kontrollen und -Ressourcen. Zentrum für Internetsicherheit (CIS). Abgerufen am 18. Februar 2021 von: https://www.cisecurity.org/controls/cis-controls-list/
- Die AWS-Services- und Kundenverantwortungsmatrix zur Ausrichtung auf den CSF kann hier heruntergeladen werden: https://aws.amazon.com/compliance/nist/
- Eine Übersicht über das AWS Cloud Adoption Framework (CAF), Ver. 2. Amazon Web Services, Inc.
- Eine Übersicht über die AWS-Funktionen, die mit NIST CSF genutzt werden können: https://d1.awsstatic.com/whitepapers/compliance/NIST_Cybersecurity_Framework_CSF.pdf
