Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Was wir bisher über das NIST Cybersecurity Framework 2.0 wissen
Dezember 28, 2022 - TuxCare PR Team
Rahmenwerke sind ein wirksames Instrument im Bereich der Cybersicherheit, da die Herausforderungen im Bereich der Cybersicherheit sehr komplex sind und viele Unternehmen ihre Cybersicherheitsabläufe nur wenig strukturiert haben.
Eingeführt im Jahr 2014eingeführt, gibt das NIST Cybersecurity Framework (CSF) Unternehmen konkrete Schritte zur Organisation und Verbesserung der Sicherheit von IT-Systemen vor. Doch acht Jahre sind im Bereich der Cybersicherheit ein ganzes Leben, und das CSF ist fällig für ein großes Update. Was wird sich im CSF 2.0 ändern, und wie weit sind wir von einem neuen Rahmenwerk entfernt?
In diesem Artikel werden wir uns die Antworten auf die Informationsanfrage des NIST ansehen und die nächsten Schritte diskutieren.
Warum erfordert das GFK eine Auffrischung?
Von Version 1.0 an war das NIST Cybersecurity Framework als ein Dokument gedacht, das sich an die sich verändernde Cybersicherheitslandschaft anpasst. Daher ist es keine Überraschung, dass nun endlich ein Wandel stattfindet - auch wenn er etwas überfällig ist.
Die letzte Aktualisierung war im April 2018 auf CSF 1.1, und das war eine kleine Aktualisierung. Die Hauptelemente des CSF blieben erhalten, einschließlich seiner Kernfunktionen: Identifizierung, Schutz, Erkennung, Reaktion und Wiederherstellung. Allerdings wurde in Version 1.1 die Anwendbarkeit des Rahmens auf das Internet der Dinge (IoT) und die Betriebstechnologie (OT) ausgeweitet. Mit der Aktualisierung 1.1 wurde auch ein größerer Schwerpunkt auf die Sicherheit der Lieferkette gelegt.
Fast vier Jahre später war klar, dass das GFK einer umfassenden Überarbeitung bedurfte, um dem sich wandelnden Technologie- und Sicherheitsumfeld Rechnung zu tragen. Daher veröffentlichte das NIST am 22. Februar 2022 einen RFI an die Öffentlichkeit. Daraufhin gingen 130 Antworten ein, und im Juni veröffentlichte das NIST eine Zusammenfassung.
Der bisherige Vorschlag
NIST identifizierte mehrere Schlüsselthemen auf der Grundlage der 130 Antworten, und es ist interessant festzustellen, dass die ersten paar Themen dazu tendierten, zu beleuchten, wie effektiv die erste Version des Cybersecurity Frameworks war. "Die Teilnehmer des RFI haben zahlreiche Möglichkeiten aufgezeigt, wie das CSF Organisationen dabei hilft, Cybersicherheitsrisiken zu verstehen und zu managen...", so das NIST.
Die Befragten forderten, dass der Schwerpunkt weiterhin auf dem Ausbau der bestehenden Schlüsselattribute des CSF liegt und dass das CSF besser auf die umfassenderen Bemühungen des NIST abgestimmt wird (z. B. mehr Mappings mit OLIR) und den Bemühungen externer Organisationen (z. B. ISO 27000).
Die Unternehmen wünschten sich außerdem mehr Anleitungen zur Umsetzung, da die technologie- und anbieterneutrale Ausrichtung der CSF 1.0 und 1.1 zu einem Mangel an Details und Spezifität führte.
Ein weiteres zentrales Thema war die stärkere Betonung der Leistungsbewertung. Die Stakeholder baten das NIST, Leitlinien für Messungen und Metriken zum Benchmarking des Cybersicherheitsrisikos und zur Messung des Erreichungsgrads der GFK-Ergebnisse bereitzustellen.
Auch die Risiken in der Lieferkette wurden in den Rückmeldungen angesprochen. Die Befragten wünschten sich Leitlinien für die Verwaltung von Lieferantenbeziehungen, Instrumente zur Analyse von Risiken in Lieferketten und ein Modell, das Unternehmen bei der Bekämpfung von Risiken in der Lieferkette unterstützt.
Nächste Schritte für CSF 2.0
Die zusammenfassende Analyse des NIST ist nur ein Ausgangspunkt, und wir wissen noch nicht, wie das NIST auf die Vorschläge im CSF 2.0 reagieren wird, obwohl sie zeigt, in welche Richtung der Wind weht.
Das NIST sagte relativ wenig über den Fahrplan zur Veröffentlichung der Version 2.0wobei der letzte große Schritt ein Workshop im September sein wird. Nichtsdestotrotz scheint es, als sei die Version 2.0 auf einem guten Weg, unter anderem durch Diskussionen mit zahlreichen Interessengruppen.
Da es keinen Entwurf für das GFK 2.0 und keine Frist für die endgültige Fassung gibt, könnte man meinen, dass man nichts anderes tun kann, als auf die Veröffentlichung einer neuen Fassung zu warten - aber das wäre falsch.
Die Welt der Cybersicherheit hat sich seit 2014 weiterentwickelt, und auch wenn das NIST-Rahmenwerk aus dem Jahr 2014 noch immer wertvolle Lektionen enthält, muss Ihr Cybersicherheitssystem kontinuierlich angepasst werden, muss Ihr Cybersicherheitssystem kontinuierlich angepasst werden.
Die Kommentare zum NIST-Konsultationsprozess bieten eine gewisse Orientierungshilfe, aber als Cybersicherheitsteam, das für die Sicherheit der Vermögenswerte Ihres Unternehmens verantwortlich ist, sollten Sie sich darauf konzentrieren, sich durch eigene Überwachung und Forschung an Trends anzupassen.
Überwachen Sie stets die Landschaft
Denken Sie zum Beispiel an die Veränderungen bei der Angriffsfläche. Im Jahr 2014 war die Fernarbeit ein weitaus geringerer Faktor für die Cybersicherheit als im Jahr 2022. Außerdem sind in den letzten zehn Jahren eine ganze Reihe neuer Tools für die Cybersicherheit entstanden, von denen einige wirklich neue Möglichkeiten bieten.
Eine der wichtigsten Dienstleistungen von TuxCare, das Live-Patching, ist eines der Werkzeuge, die in einem 2014 geschriebenen Cybersicherheits-Framework wahrscheinlich nur flüchtig erwähnt worden wären. Heute ist Live-Patching natürlich eine leistungsstarke Komponente im Cybersecurity-Toolset eines jeden modernen Unternehmens.
Dem Spiel immer einen Schritt voraus zu sein, war schon immer entscheidend für die erfolgreiche Verteidigung von Technologieanlagen. Wir erwarten, dass die NIST CSF 2.0 einen großen Schritt nach vorne im Kampf gegen Cyberkriminelle darstellt. In der Zwischenzeit sollten Sie die Cybersicherheitslandschaft im Auge behalten und sicherstellen, dass Ihr Unternehmen modernste Tools einsetzt, einschließlich Live-Patching.
