Het is alweer tien jaar geleden dat het National Institute of Standards and Technology (NIST) zijn Cybersecurity Framework (CSF) 1.0 introduceerde. Het werd gecreëerd na een Executive Order uit 2013 en NIST kreeg de opdracht om een vrijwillig cybersecurityframework te ontwerpen dat organisaties zou helpen cyberrisico’s te beheren, met richtlijnen op basis van vastgestelde normen en best practices. Hoewel deze versie oorspronkelijk was toegespitst op kritieke infrastructuur, was versie 1.1 uit 2018 ontworpen voor elke organisatie die cybersecurityrisicobeheer wilde aanpakken.
CSF is een waardevolle tool voor organisaties die hun beveiligingshouding willen evalueren en verbeteren. Het framework helpt beveiligingsstakeholders hun huidige beveiligingsmaatregelen te begrijpen en beoordelen, acties te organiseren en prioriteren om risico’s te beheren en de communicatie binnen en buiten organisaties te verbeteren met behulp van een gemeenschappelijke taal. Het is een uitgebreide verzameling richtlijnen, best practices en aanbevelingen, verdeeld in vijf kernfuncties: Identificeren, Beschermen, Detecteren, Reageren en Herstellen. Elke functie omvat verschillende categorieën en subcategorieën, met name:
- Identificeren – Begrijp welke activa beveiligd moeten worden.
- Beschermen – Maatregelen treffen om ervoor te zorgen dat activa op de juiste en adequate wijze worden beveiligd.
- Detect – Stel mechanismen in om aanvallen of zwakke punten te detecteren.
- Antwoorden – Ontwikkel gedetailleerde plannen voor het informeren van personen die getroffen zijn door datalekken en recente gebeurtenissen die gegevens in gevaar kunnen brengen. Test regelmatig responsplannen om de impact van aanvallen te minimaliseren.
- Herstellen – Stel processen in om na een aanval weer operationeel te zijn.
(Wilt u meer weten over de 5 stappen van CSF 1.1? Download hier onze NIST CSF-checklist!)
Wijzigingen in CSF 2.0, met de focus op continue verbetering
In februari 2024 bracht NIST CSF 2.0 uit. Het doel van deze nieuwe versie is om CCSF aanpasbaarder te maken en dus breed te laten adopteren door een breder scala aan organisaties. Elke organisatie die CSF voor het eerst wil adopteren, zou deze nieuwere versie moeten gebruiken en organisaties die het al gebruiken, kunnen dit blijven doen, maar met het oog op adoptie van 2.0 in de toekomst.
2.0 brengt enkele veranderingen met zich mee; naast andere verbeteringen voegt het “Govern” toe als eerste stap, omdat volgens ISC.2.org “de governance-component van de CSF benadrukt dat cybersecurity een belangrijke bron van ondernemingsrisico is die senior leiders moeten overwegen naast andere zaken zoals financiën en reputatie. De doelstellingen zijn om cybersecurity te integreren met breder ondernemingsrisicobeheer, rollen en verantwoordelijkheden, beleid en toezicht bij organisaties, en om de communicatie van cybersecurityrisico’s aan leidinggevenden beter te ondersteunen.”
Het heeft ook een uitgebreidere scope, het is duidelijker en gebruiksvriendelijker, en het allerbelangrijkste (voor de doeleinden van dit artikel in ieder geval), het richt zich sterk op opkomende bedreigingen en richt zich op een continue en proactieve benadering van cybersecurity via de nieuw toegevoegde Improvement Category in de Identify Function. Een continue benadering betekent dat organisaties worden aangemoedigd om cybersecuritypraktijken regelmatig te beoordelen, opnieuw te beoordelen en vervolgens bij te werken. Dit betekent dat organisaties sneller en nauwkeuriger kunnen reageren op gebeurtenissen voor een verminderde impact.
CSF en CTEM – Beter Samen
Tegenwoordig zijn er meerdere bruikbare frameworks en tools die zijn ontworpen om te werken binnen de parameters van de CSF-richtlijnen op hoog niveau. Zo is het Continuous Threat Exposure Management (CTEM) een zeer complementaire oplossing voor CSF. Het CTEM-framework, dat in 2022 door Gartner werd uitgebracht, is een grote verandering in de manier waarop organisaties omgaan met threat exposure management. Hoewel CSF een high-level framework biedt voor het identificeren, beoordelen en beheren van cyber risico’sCTEM richt zich op de continue monitoring en beoordeling van bedreigingen aan de beveiligingshouding van de organisatie – juist de bedreigingen die een risico vormen.
De kernfuncties van CSF sluiten goed aan bij de CTEM-aanpak, die het identificeren en prioriteren van bedreigingen, het beoordelen van de kwetsbaarheid van de organisatie voor die bedreigingen en het continu monitoren op tekenen van compromis omvat. Door CTEM te adopteren, kunnen cybersecurityleiders de NIST CSF-naleving van hun organisatie aanzienlijk verbeteren.
Vóór CTEM werden periodieke kwetsbaarheidsbeoordelingen en penetratietesten om kwetsbaarheden te vinden en te verhelpen beschouwd als de gouden standaard voor het beheer van blootstelling aan bedreigingen. Het probleem was natuurlijk dat deze methoden slechts een momentopname van de beveiligingshouding boden, een momentopname die vaak al verouderd was voordat deze zelfs maar was geanalyseerd.
CTEM is gekomen om dit alles te veranderen. Het programma schetst hoe u continu inzicht krijgt in het aanvalsoppervlak van de organisatie, en hoe u proactief kwetsbaarheden en blootstellingen identificeert en beperkt. voor aanvallers maken er misbruik van. Om dit te realiseren, integreren CTEM-programma’s geavanceerde technologie zoals blootstellingsbeoordeling, beveiligingsvalidatie, geautomatiseerde beveiligingsvalidatie, aanvalsoppervlakbeheer en risicoprioritering. Dit sluit perfect aan bij NIST CSF 1.1 en biedt tastbare voordelen voor alle vijf de kernfuncties van CSF:
- Identificeren – CTEM eist dat organisaties activa, systemen en data rigoureus identificeren en inventariseren. Dit brengt vaak onbekende of vergeten activa aan het licht die beveiligingsrisico’s vormen. Deze verbeterde zichtbaarheid is essentieel voor het leggen van een sterke basis voor cybersecuritybeheer, zoals uiteengezet in de Identify-functie van de NIST CSF.
- Beschermen – CTEM-programma’s identificeren proactief kwetsbaarheden en verkeerde configuraties voordat ze kunnen worden uitgebuit. CTEM prioriteert risico’s op basis van hun werkelijke potentiële impact en de waarschijnlijkheid van uitbuiting. Dit helpt organisaties om de meest kritieke kwetsbaarheden als eerste aan te pakken. Bovendien helpt CTEM-gedicteerde aanvalspadmodellering organisaties om het risico op compromissen te verminderen. Dit alles heeft een dramatische impact op de Protect-functie van het CSF-programma.
- Detect – CTEM vereist continue monitoring van het externe aanvalsoppervlak, wat van invloed is op de Detect-functie van CSF door vroege waarschuwingen te geven voor potentiële bedreigingen. Door veranderingen in het aanvalsoppervlak te identificeren, zoals nieuwe kwetsbaarheden of blootgestelde services, helpt CTEM organisaties om mogelijke aanvallen snel te detecteren en erop te reageren voor ze veroorzaken schade.
- Antwoorden – Wanneer een beveiligingsincident optreedt, helpen de risicoprioriteringsbepalingen van CTEM organisaties bij het prioriteren van respons, zodat de meest kritieke incidenten als eerste worden aangepakt. Bovendien helpt CTEM-gemandateerde aanvalspadmodellering organisaties te begrijpen hoe aanvallers toegang tot hun systemen hebben gekregen. Dit heeft invloed op de CSF Respond-functie door organisaties in staat te stellen gerichte acties te ondernemen om de dreiging in te dammen en uit te roeien.
- Herstellen – De continue monitoring en risicoprioritering van CTEM spelen een cruciale rol in de CSF Recover-functie. CTEM stelt organisaties in staat om snel kwetsbaarheden te identificeren en aan te pakken, wat de impact van beveiligingsincidenten minimaliseert en het herstel versnelt. Bovendien helpt aanvalspadmodellering organisaties om zwakheden in hun herstelprocessen te identificeren en aan te pakken.
De kern van de zaak
Het NIST Cybersecurity Framework (CSF) en Continuous Threat Exposure Management (CTEM)-programma zijn echte wapenbroeders die samenwerken om organisaties te verdedigen tegen cyberbedreigingen. CSF biedt een uitgebreide routekaart voor het beheren van cyberbeveiligingsrisico’s, terwijl CTEM een dynamische en datagestuurde aanpak biedt voor het detecteren en beperken van bedreigingen.
De CSF-CTEM-afstemming is vooral duidelijk in hoe CTEM’s focus op continue monitoring en dreigingsbeoordeling naadloos samengaat met de kernfuncties van CSF. Door CTEM te adopteren, verbeteren organisaties hun naleving van CSF aanzienlijk, terwijl ze ook waardevolle inzichten krijgen in hun aanvalsoppervlak en proactief kwetsbaarheden verminderen.