Das NIST CSF (Cybersecurity Framework) 2.0 steht kurz vor seiner Veröffentlichung

Sophos kann Unternehmen dabei unterstützen, sich mit dem NIST CSF und anderen Cybersicherheits-Frameworks zu verbinden. Das US National Institute of Standards and Technology (NIST) hat einen Entwurf des Cybersecurity Framework 2.0 erstellt und diesen zur öffentlichen Kommentierung freigegeben, bevor er voraussichtlich im Jahr 2024 veröffentlicht wird.

Welche Änderungen bringt der neue Entwurf mit sich?

Der Anwendungsbereich des Frameworks wurde erweitert und ist nicht mehr auf kritische Infrastrukturorganisationen beschränkt. Der Entwurf 2.0 reagiert auf moderne Bedrohungen, indem er einen verstärkten Fokus auf Themen wie die Sicherheit der Lieferkette legt und die Bedeutung der Unternehmensführung als neue Komponente im Framework hervorhebt.

Es gibt auch eine Verschiebung vom ursprünglichen Fokus auf kritische Infrastrukturen in den USA hin zu globalen Organisationen. Das 2014 erstmals veröffentlichte "Framework for Improving Critical Infrastructure Cybersecurity (CSF)" von NIST war ursprünglich auf die Absicherung der kritischen Infrastruktur in den Vereinigten Staaten ausgerichtet. Inzwischen hat sich jedoch gezeigt, dass es für Unternehmen jeglicher Größe, Branche und Entwicklungsphase von Nutzen ist. Das Cybersecurity Framework 2.0 hat daher den Fokus auf kritische Infrastrukturen aufgegeben und den Titel in den allgemein bekannten Begriff "Cybersecurity Framework (CSF)" geändert. Diese Änderung spiegelt die globale Relevanz des Frameworks wieder und gilt für Organisationen weltweit.

Welche Bedeutung hat NIST 2.0 ?

Das NIST Cybersecurity Framework stellt ein wertvolles Werkzeug für Unternehmen und Organisationen dar, die ihr Informationssicherheitsniveau steigern und ihre Cybersicherheitsrisiken effektiver verwalten möchten. Indem sie einen einheitlichen Ansatz basierend auf etablierten Branchenstandards und bewährten Verfahren übernehmen, können Unternehmen den NIST CSF nutzen, um nachzuweisen, dass ihre Netzwerke und Systeme wirksam gegen Cyberbedrohungen geschützt sind.

Die Konformität mit dem NIST CSF kann auch dazu führen, dass die Einhaltung anderer Sicherheitsstandards und Frameworks wie dem PCI DSS und dem Sarbanes-Oxley Act (SOX) problemloser erfolgt. Die Implementierung der Sicherheitsrichtlinien, wie sie in NIST 800-53 aufgeführt sind, bringt eine Organisation direkt in Einklang mit dem Federal Information Security Modernization Act (FISMA) und dem Federal Information Processing Standard Publication 200 (FIPS 200).

Was gibt es Neues in Version 2.0?

Der Entwurf des CSF 2.0 bringt zahlreiche bedeutende Änderungen mit sich, um die Abwehr gegen moderne, fortgeschrittene Cyberbedrohungen zu stärken. Die wichtigsten Modifikationen sind wie folgt:

• Um die Betonung der Cybersicherheits-Governance zu verstärken, wurde im Entwurf 2.0 eine sechste Funktion namens "Govern" hinzugefügt. Govern ergänzt die bereits vorhandenen fünf Kernfunktionen des NIST CSF: Identifizieren, Schützen, Detect, Respond und Recover. Diese neue Funktion legt den Fokus auf die Menschen, Prozesse und Technologien in jedem Unternehmen, die notwendig sind, um Cybersicherheitsentscheidungen zu treffen und umzusetzen. Während die vorherige Version des CSF hervorhob, was getan werden sollte, fehlte ihr der Schwerpunkt auf den Personen, die diese Aufgaben überwachen, sowie auf den Richtlinien und Verfahren, die diese Kontrollen regeln.
• Die Govern-Funktion führt eine neue Kategorie für das Risikomanagement der Lieferkette und die sichere Softwareentwicklung ein. Diese Kategorie ist in 10 Unterkategorien unterteilt und ermöglicht Unternehmen, effektive Risikomanagementprozesse in ihrer Lieferkette zu identifizieren, zu erstellen, zu verwalten und zu überwachen.
• Der Entwurf 2.0 aktualisiert die Ressourcen und Informative References aus früheren CSF-Versionen. Diese Verweise umfassen das NIST Privacy Framework, das NICE Workforce Framework for Cybersecurity (SP 800-181), das Secure Software Development Framework (SP 800-218), die Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations (SP 800-161r1), den Performance Measurement Guide for Information Security (SP 800-55), die Integration von Cybersicherheit und Unternehmens-Risikomanagement (NIST IR 8286) und das Artificial Intelligence Risk Management Framework (AI 100).
• NIST hat das CSF 2.0 Reference Tool eingeführt, das sowohl menschen- als auch maschinenlesbare Versionen des Cybersecurity Framework 2.0 bereitstellt. Es ermöglicht Benutzern, Teile der Funktionen, Kategorien, Unterkategorien und Implementierungsbeispiele des Entwurfs anhand relevanter Suchbegriffe anzuzeigen und zu exportieren. In seiner endgültigen Form wird das Tool Informative References enthalten, die die Beziehung zwischen dem CSF und anderen Cybersicherheitsrahmen, Standards, Richtlinien und Ressourcen verdeutlichen.
• Um die Einführung des CSF zu erleichtern, bietet NIST eine erweiterte Anleitung zur Umsetzung des CSF mithilfe von Implementierungsbeispielen. Diese Beispiele bieten praktische Anwendungsfälle und Handlungsempfehlungen für die Unterkategorien jeder Funktion und helfen Organisationen dabei, das Framework effektiv umzusetzen. Ebenso wurden die Leitlinien für Framework Profiles erheblich erweitert, um Empfehlungen dafür zu geben, wie und zu welchem Zweck Profile verwendet werden können, um das CSF an die individuellen organisatorischen Kontexte anzupassen.

Timeline für den Entwurf des CSF 2.0

Der dritte und abschließende Workshop zum CSF 2.0 wurde von NIST am 19. und 20. September 2023 abgehalten. Obwohl keine Pläne bestehen, einen weiteren Entwurf des CSF 2.0 für öffentliche Kommentare zu veröffentlichen, werden Kommentare und Rückmeldungen der Öffentlichkeit in Bezug auf den Entwurf sowie die zugehörigen Implementierungsbeispiele bis zum 4. November 2023 auf der Website cyberframework-nist.gov angenommen.

Fazit

Der Active Adversary Report von Sophos hat die sich verändernde Landschaft von raffinierten Cyber-Techniken wie dem Missbrauch von Anmeldeinformationen, Schwachstellen-Ausnutzungen, Kompromittierung von AD-Servern, unautorisiertem RDP-Zugriff und mehr aufgedeckt. Die Verschiebung in der Bedrohungslandschaft erfolgt rasch, und Organisationen müssen Rahmenwerke wie das CSF annehmen, um sich in diesem komplexen Cyber-Bedrohungsraum zurechtzufinden.

In einer Zeit, in der sich die Bedrohungslandschaft ständig weiterentwickelt, ist eine Aktualisierung der weltweit führenden Cybersicherheitsrichtlinien unausweichlich. CSF 2.0 wird in enger Zusammenarbeit mit der Gemeinschaft erwartet, um sicherzustellen, dass mehr Organisationen ihre Cybersicherheitsprogramme effektiv verwalten und verbessern können, um sich gegen fortschrittliche Bedrohungen zu verteidigen.

Sophos steht bereit, Organisationen bei ihren Bemühungen zu unterstützen, sich mit dem NIST CSF und anderen Cybersicherheits-Frameworks zu verbinden. Wir bieten einen präventiven Ansatz, der Sicherheitsverletzungen reduziert, die Abwehrmaßnahmen an Angriffe anpasst und die Erkennung und Reaktion verbessert. Unterstützt von unserer leistungsstarken XDR-Plattform bietet Sophos Cybersicherheit als Service mit Sophos MDR, das 24/7-Bedrohungserkennung und -reaktion, Experten für Bedrohungsjagd und umfassende Incident-Response-Dienste bietet – alles, um den spezifischen Anforderungen eines Unternehmens gerecht zu werden.