本节重点介绍 NIST CSF 2.0 核心成果: 管理、识别、防护、检测、响应和恢复。根据 NIST CSF 2.0,组织应 同时 / 并发地而非顺序地解决这些成果。虽然核心成果包括非技术性元素,Endpoint Central 可以支持其技术方面的实施。
序号 | 分类 | 描述 | Endpoint Central 如何帮助 |
|---|---|---|---|
| 1 | 管理 组织背景 (GV.OC) 理解影响组织网络安全风险管理决策的环境——任务、利益相关者期望、依赖关系以及法律、法规和合同要求。 | GV.OC-01: 理解组织使命并以此指导网络安全风险管理。 GV.OC-02: 理解内部和外部利益相关者及其对网络安全风险管理的需求和期望,并予以考虑。 GV.OC-03: 理解并管理关于网络安全的法律、法规和合同要求,包括隐私和公民自由义务。 GV.OC-04: 了解并传达外部利益相关者依赖或期望的关键目标、能力和服务。 GV.OC-05: 了解并传达组织所依赖的结果、能力和服务。 | Endpoint Central 具备全面的 报告功能。除了提供终端资产的深入洞察外,还可用于治理和审计用途。 对于关键计算机上运行敏感应用程序的审计,用户登录报告可帮助管理员跟踪用户访问关键终端的情况。 Endpoint Central 还提供包含热门黑名单应用访问请求的详细审计报告。 A 数据保护官仪表板 提供有关 Bitlocker 状态、易受攻击系统状态、防火墙状态等丰富洞察。 |
| 2 | 管理 风险管理策略 (GV.RM) 建立、传达并用于支持运营风险决策的组织优先级、约束条件、风险容忍度和风险偏好说明及假设。 | GV.RM-01: 建立并经组织利益相关者同意风险管理目标。 GV.RM-02: 建立、传达并维持风险偏好和风险容忍度声明。 GV.RM-03: 网络安全风险管理活动和成果纳入企业风险管理流程。 GV.RM-04: 建立并传达描述适当风险应对选项的战略方向。 GV.RM-05: 建立组织内跨部门的网络安全风险沟通渠道,包括来自供应商和其他第三方的风险。 GV.RM-06: 建立并传达用于计算、记录、分类和优先排序网络安全风险的标准化方法。 GV.RM-07: 定义并纳入组织网络安全风险讨论中的战略机会(即正向风险)。 | Endpoint Central 利用其集中管理控制台简化网络安全风险策略与组织目标的沟通与对齐。 |
| 3 | 管理 角色、责任和权限 (GV.RR) 建立和传达网络安全角色、责任和权限,促进问责、绩效评估和持续改进。 | GV.RR-01: 组织领导层负责任并对网络安全风险承担问责,培养风险意识、道德和持续改进的文化。 GV.RR-02: 建立、传达、理解并执行与网络安全风险管理相关的角色、责任和权限。 GV.RR-03: 分配与网络安全风险策略、角色、责任和政策相称的充足资源。 GV.RR-04: 将网络安全纳入人力资源实践。 | 为 IT 管理员和安全运营人员访问 Endpoint Central 控制台,Endpoint Central 提供 基于角色的访问控制 和 多因素认证. |
| 4 | 管理 政策 (GV.PO) 建立、传达并执行组织网络安全政策。 | GV.PO-01: 根据组织背景、网络安全策略和优先级建立网络安全风险管理政策,并传达执行。 GV.PO-02: 审查、更新、传达并执行网络安全风险管理政策,以反映需求、威胁、技术和组织使命的变化。 | Endpoint Central 利用其终端安全功能,如 终端数据泄露防护, 浏览器安全、基于风险的漏洞和 补丁管理、下一代防病毒引擎、反勒索软件及移动安全能力。
|
| 5 | 管理 监督 (GV.OV) 使用全组织范围的网络安全风险管理活动和绩效结果,指导、改进并调整风险管理策略。 | GV.OV-01: 审查网络安全风险管理策略结果以指导并调整策略和方向。 GV.OV-02: 审查并调整网络安全风险管理策略,确保覆盖组织需求和风险。 GV.OV-03: 评估并审查组织网络安全风险管理绩效,确定所需调整。 | Endpoint Central 具有漏洞年龄矩阵和 漏洞严重性摘要,可提供有关补丁实施影响的深入洞察。此外,Endpoint Central 还提供有关易受攻击系统和缺失补丁的全面报告。 对于关键计算机上运行敏感应用程序的审计, 用户登录报告 可帮助管理员跟踪用户访问关键终端的情况。 Endpoint Central 还提供包含热门黑名单应用访问请求的详细审计报告。 |
| 6 | 识别 资产管理 (ID.AM) 识别并管理使组织实现业务目标的资产(例如数据、硬件、软件、系统、设施、服务、人员),并根据其对组织目标和风险策略的重要性进行管理。 | ID.AM-01: 组织内的物理设备和系统进行清单管理。 ID.AM-02: 维护组织管理的软件、服务和系统清单。 ID.AM-03: 维护组织授权的网络通信及内部和外部网络数据流的表示。 ID.AM-04: 维护供应商提供服务的清单。 ID.AM-05: 根据分类、关键性、资源和对使命的影响对资产进行优先排序。 ID.AM-07: 维护指定数据类型的数据及其元数据清单。 ID.AM-08: 管理系统、硬件、软件、服务和数据的全生命周期。 | Endpoint Central 提供 强大的资产管理 功能,涵盖硬件和软件,为您的网络提供计算机、设备、安装的硬件、软件和存储文件的全面清单。 Endpoint Central 代理定期扫描网络,获取已安装的软件详情。 |
| 7 | 识别 风险评估 (ID.RA) 组织理解对组织、资产和个人的网络安全风险。 | ID.RA-01: 识别、验证并记录资产中的漏洞。
| Endpoint Central 通过集中控制台提供持续评估和全面的威胁可见性,实现强大的漏洞管理。除了漏洞评估外,它还包括内置工具,用于修复检测到的漏洞。 它还作为 IT 运维和安全团队的统一平台,高效管理和保护端点。通过基于角色的访问控制,IT 环境中的安全任务可以委派给专门的安全专家,确保管理简化且集中。 对于信息系统,Endpoint Central 使得 基于风险的漏洞管理成为可能,管理员可以使用 CVSS 分数、CVE 影响类型、补丁可用性等指标优先处理漏洞。 Endpoint Central 帮助识别网络中的所有资产,并定期基于代理进行扫描,以发现新出现的漏洞, 网络配置错误,高风险软件, 活跃端口等等。 Endpoint Central 扫描网络资产以识别操作系统、第三方应用和零日漏洞,并通过严重性排名仪表板帮助您了解威胁的影响。 Endpoint Central 扫描网络资产以检测操作系统漏洞、第三方应用和零日威胁。它还使用严重性排名仪表板评估潜在影响。
|
| 8 | 识别 改进(ID.IM): 在所有 CSF 功能中识别组织网络安全风险管理流程、程序和活动的改进。 | ID.IM-01: 从评估中识别改进。 ID.IM-02: 从安全测试和演练中识别改进,包括与供应商和相关第三方协调进行的测试。 ID.IM-03: 从操作流程、程序和活动的执行中识别改进。 ID.IM-04: 事件响应计划和影响运营的其他网络安全计划被建立、沟通、维护和改进。 | Endpoint Central 帮助持续评估网络安全态势,并通过自动化合规报告功能简化合规评估。 报告功能.
Endpoint Central 还可帮助符合75多个 CIS 基准。 |
| 9 | 识别 身份管理、身份验证和访问控制(PR.AA): 物理和逻辑资产的访问仅限于授权的用户、服务和硬件,并根据未经授权访问的评估风险进行管理。 | PR.AA-01: 组织管理授权用户、服务和硬件的身份和凭证。 PR.AA-02: 根据交互上下文证明身份并绑定凭证。 PR.AA-03: 对用户、服务和硬件进行身份验证。 PR.AA-04: 保护、传递和验证身份声明。 PR.AA-05: 访问权限、权限和授权定义在政策中,并进行管理、执行和审查,包含最小权限和职责分离原则。 PR.AA-06: 物理访问资产的权限根据风险进行管理、监控和执行。 | Endpoint Central 利用 条件访问策略 验证授权用户访问关键业务系统和数据。 Endpoint Central 利用 最小权限原则 并具备强大的端点权限管理功能,实现应用程序专属权限管理和按需访问终端用户。 |
| 10 | 保护 数据安全(PR.DS): 数据按照组织的风险策略进行管理,以保护信息的机密性、完整性和可用性。 | PR.DS-01: 保护静态数据的机密性、完整性和可用性。 PR.DS-02: 保护传输中数据的机密性、完整性和可用性。 PR.DS-10: 保护使用中数据的机密性、完整性和可用性。 PR.DS-11: 创建、保护、维护和测试数据备份。 | Endpoint Central 提供先进的 数据泄露防护功能,能够检测和分类个人身份信息(PII)。通过允许管理员配置针对云服务和外设的数据传输策略,实现对 IT 环境内数据流的全面控制。 它可以阻止通过未经授权的 USB 设备传输敏感信息,也可以控制受信设备的下载和打印限制。 Endpoint Central 可以帮助管理员使用 Bitlocker 管理加密 Windows 设备,使用 FileVault 加密 Mac 设备。
|
| 11 | 保护 平台安全(PR.PS): 按照组织的风险策略管理物理和虚拟平台的硬件、软件(如固件、操作系统、应用程序)和服务,以保护其机密性、完整性和可用性。 | PR.PS-01: 建立并应用配置管理实践。 PR.PS-02: 按风险对软件进行维护、更换和移除。 PR.PS-03: 按风险对硬件进行维护、更换和移除。 PR.PS-04: 生成日志记录并使其可用于持续监控。 PR.PS-05: 防止安装和执行未经授权的软件。 PR.PS-06: 集成安全的软件开发实践,并在整个软件开发生命周期中监控其性能。 | Endpoint Central 帮助集中管理基于用户和计算机的配置,提高效率。 Endpoint Central 帮助发现所有安装的应用程序和可执行文件,并根据管理员设置的应用控制过滤器(黑名单/白名单)对其进行授权或未授权分类。 它还帮助维持网络中所有受管端点的完整可见性和综合清单。 Endpoint Central 可以通过黑白名单阻止或允许应用和独立可执行文件,防止未授权的应用使用。 |
| 12 | 保护 技术基础设施弹性(PR.IR): 根据组织的风险策略管理安全架构,以保护资产的机密性、完整性和可用性及组织弹性。 | PR.IR-01: 防止网络和环境的未经授权的逻辑访问和使用。 PR.IR-02: 保护组织的技术资产免受环境威胁。 PR.IR-03: 实施机制以在正常和不利情况下实现弹性要求。 PR.IR-04: 维持足够的资源容量以确保可用性。 | Endpoint Central 规范用户权限和严格访问控制策略,确保只有授权人员和设备才能连接您的网络。 Endpoint Central 具备故障转移服务器功能(作为附加模块提供),当主服务器发生故障时可以启用。 |
| 13 | 发现 持续监控(DE.CM): 资产被监控以发现异常、妥协指标及其他潜在不利事件。 | DE.CM-01: 监控网络和网络服务以发现潜在不利事件。 DE.CM-02: 监控物理环境以发现潜在不利事件。 DE.CM-03: 监控人员活动和技术使用以发现潜在不利事件。 DE.CM-06: 监控外部服务提供商的活动和服务以发现潜在不利事件。 DE.CM-09: 监控计算硬件和软件、运行时环境及其数据以发现潜在不利事件。 | Endpoint Central 利用基于 AI 的行为检测和先进的深度学习杀毒技术,防御在线和离线恶意软件威胁。 Endpoint Central 通过阻止非业务应用和恶意可执行文件限制网络攻击。
|
| 14 | 发现 不利事件分析(DE.AE): 分析异常、妥协指标及其他潜在不利事件,以识别事件特征并检测网络安全事件。 | DE.AE-02: 分析潜在不利事件以更好地理解相关活动。 DE.AE-03: 从多个来源关联信息。 DE.AE-04: 了解不利事件的估计影响和范围。 DE.AE-06: 向授权人员和工具提供不利事件信息。 DE.AE-07: 将网络威胁情报和其他上下文信息整合到分析中。 DE.AE-08: 当不利事件符合定义的事件标准时,宣告为安全事件。 | Endpoint Central 实时发送管理端点的可疑活动、安全事件和潜在威胁警报。 Endpoint Central 帮助自动化工作流程,启动事件响应程序,通知安全团队并升级关键事件。 |
| 15 | 响应 事件管理(RS.MA): 管理对检测到的网络安全事件的响应。 | RS.MA-01: 事件宣告后,与相关第三方协调执行事件响应计划。 RS.MA-02:事件报告被分检和验证。 RS.MA-03:对事件进行分类和优先级排序。 RS.MA-04: 根据需要升级或提升事件。 RS.MA-05:应用启动事件恢复的标准。 | Endpoint Central 帮助自动化工作流程,启动事件响应程序,通知安全团队并升级关键事件。
|
| 16 | 响应 事件分析 (RS.AN): 进行调查以确保有效响应,并支持取证和恢复活动 | RS.AN-03: 进行分析以确定事件期间发生了什么以及事件的根本原因。 RS.AN-06: 记录调查过程中执行的操作,并保持记录的完整性和来源。 RS.AN-07: 收集事件数据和元数据,并保持其完整性和来源。 RS.AN-08: 估算并验证事件的规模。 | Endpoint Central的下一代杀毒软件帮助SOC团队进行事件取证。 |
| 17 | 响应 事件缓解 (RS.MI): 采取措施防止事件扩散并减轻其影响。 | RS.MI-01: 事件被遏制。 RS.MI-02: 事件被根除。 | 如果 下一代杀毒引擎 在端点检测到可疑行为,可将这些端点隔离,并在彻底的取证分析后,可以重新投入生产。 如果文件被勒索软件感染,可以使用文件的最近备份副本进行恢复。 |
| 18 | 恢复 事件恢复计划执行 (RC.RP): 执行恢复活动以确保受网络安全事件影响的系统和服务的可操作性。 | RC.RP-01: 一旦从 事件响应过程启动, 事件响应计划的恢复部分即被执行 RC.RP-02: 选择、界定范围、优先排序并执行恢复操作。 RC.RP-03: 在使用备份和其他恢复资产进行恢复之前,验证其完整性。 RC.RP-04: 考虑关键任务功能和网络安全风险管理,以建立事件后的操作规范。 RC.RP-05: 验证恢复资产的完整性,恢复系统和服务,并确认正常运行状态。 RC.RP-06: 根据标准宣布事件恢复结束,并完成事件相关文档。 | 如果下一代杀毒引擎在端点检测到可疑行为,可将这些端点隔离,并在彻底的取证分析后重新投入生产。 Endpoint Central还提供 即时且不可删除的备份 利用微软的卷影复制服务,每三小时备份您网络中的文件。 如果文件被勒索软件感染,可以使用文件的最近备份副本进行恢复。 |
