美國國家標準與技術研究院 (NIST) 發布了特別出版物 800-172 修訂版 3 和 SP 800-172A 修訂版 3 的最終版本，擴展了旨在保護非聯邦系統和組織中受控非密資訊的網路安全要求和評估程序。該更新指南於 5 月 13 日發布，引入了以網路彈性為重點的增強型安全要求，包括擴展存取管理、網路分段、資產管理和供應鏈安全實踐的控制措施。 NIST 表示，此次修訂與SP 800-171r3和 SP 800-53r5 保持一致，以提高聯邦網路安全框架的一致性。

美國國家標準與技術研究院 (NIST) 表示，SP 800-172Ar3提供了與修訂後的安全要求相關的更新評估程序，這些程序源自 SP 800-53Ar5 的評估方法。該機構還為 SP 800-160 的保護策略和敵對影響添加了新的映射關係，以加強對進階持續性威脅 (APT) 的防禦，並提高關鍵項目和高價值資產的網路彈性目標。

除了出版物之外，NIST 還透過其網路安全和隱私參考工具以及開放安全控制評估語言資料格式發布了要求和評估程序，以支援實施和自動化工作。NIST文件廣泛適用於處理與聯邦合約、撥款或協議下的關鍵項目或高價值資產相關的受控非密資訊的非聯邦組織。這些文件並未將指導範圍限定於特定產業，其要求適用於支援聯邦任務或管理敏感政府相關資訊的各個領域，包括國防承包商、航空航太、製造業、能源、醫療保健、電信、技術供應商、工業控制系統業者、研究機構和關鍵基礎設施業者。該文件針對處理、儲存或保護受控非密資訊的系統，旨在幫助面臨來自老練的國家支持或高級網路攻擊者的更高風險的組織。

作為NIST SP 800-171的補充，旨在防範高級持續性威脅（APT），SP 800-171r3文件明確指出，安全要求僅適用於非聯邦系統中處理、存儲或傳輸受控非密信息（CUI）的組件，或僅在聯邦機構選擇並要求時才適用於此類組件，以管理CUI風險。增強型安全要求旨在供聯邦機構在與非聯邦組織簽訂的合約和協議中使用，各機構應根據任務需求、業務優先級和持續的風險評估選擇具體要求，而不是普遍採用所有控制措施。

這些強化的安全要求基於以下假設：受控非密資訊具有相同的價值，因此在聯邦和非聯邦系統及組織中都需要一致的法律、法規和安全保護。美國國家標準與技術研究院 (NIST) 表示，受控非密資訊 (CUI) 的影響價值至少為中等，SP 800-171 中概述的基礎保護措施已經到位，但對於與關鍵項目或高價值資產相關的 CUI，由於此類資訊面臨來自高級持續性威脅 (APT) 的更高風險，因此需要額外的安全保障措施。該指南還假設非聯邦組織可以直接或透過外部服務提供者實施安全控制。

NIST 表示，該出版物包括三類增強的安全要求，包括加強現有 SP 800-171 要求的控制措施、源自 SP 800-53B 中等基線安全措施（未包含在 SP 800-171 中）的控制措施，以及旨在加強與關鍵項目或高價值資產相關的受控額外保護措施。

該機構強調，正確界定這些要求對於管理安全風險和投資決策至關重要，並指出，組織可以透過將處理敏感 CUI 的系統隔離到專用安全域中來限制控制措施的影響，這些隔離措施可以使用網路分段、零信任架構、防火牆、軟體定義邊界、微隔離以及透過實體或邏輯隔離進行資訊流控制等技術來實現。

美國國家標準與技術研究院 (NIST) 表示，這些增強型安全要求旨在透過抗滲透架構、損害限制操作和網路彈性措施，支援高階持續性威脅 (APT) 的多維度縱深防禦策略。該框架旨在減少攻擊機會，提高檢測和限制入侵影響的能力，並幫助組織在充滿挑戰的環境中預測、抵禦、恢復和適應網路攻擊。

報告還指出，由於老練的對手仍可能繞過傳統的防禦措施，因此各組織需要額外的安全措施來偵測、欺騙、誤導和阻止攻擊者，以保護關鍵程序和高價值資產。

這些增強型安全要求源自NIST SP 800-53中的控制措施，旨在保護受控非密資訊免受進階持續性威脅 (APT) 的攻擊，同時增強系統和組織的網路彈性。該指南強調以威脅為中心的安全架構、系統和網路分段、敏感操作的雙重授權、隔離的儲存環境、強制執行「合規連接」原則、更強大的組態管理、定期將系統恢復到可信任狀態、透過高級安全運營中心進行持續監控，以及使用欺騙技術來迷惑和阻礙攻擊者。

增強的安全要求是對 SP 800-171 控制措施的補充，旨在更好地防禦高級持續性威脅 (APT)，並適用於處理或保護受控非密資訊的非聯邦系統。美國國家標準與技術研究院 (NIST) 表示，聯邦機構將根據任務需求和風險評估選擇具體要求，關鍵項目和高價值資產的實施要求將透過合約、撥款或其他協議進行溝通，包括對分包商的條款。

美國國家標準與技術研究院 (NIST) 強調，這些增強的安全要求並非針對任何特定類別的受控非密資訊 (CUI) 的強制性要求，而是在聯邦機構認定 CUI 與關鍵項目或可能成為高級持續性威脅 (APT) 攻擊目標的高價值資產相關聯時適用。在這種情況下，各機構可以透過合約、撥款或其他協議要求提供額外的保護措施，以補充 SP 800-171 中規定的基本控制措施。

1. 存取控制要求著重於透過雙重授權、基於屬性和角色的存取控制、監控異常帳戶活動、遠端存取保護、資訊流強制執行、元資料驗證以及跨安全域分離 CUI 流等措施來加強對受控非密資訊的保護。
2. 意識與訓練要求強調進階威脅認知，包括透過實踐練習和回饋機制，訓練使用者識別可疑通訊、惡意程式碼指標、社會工程攻擊手段以及不斷演變的網路威脅。審計與問責要求旨在透過以下方式加強監控和取證可見性：將審計日誌保存在獨立系統中；啟用審計失敗即時警報；強制執行審計操作的雙重授權；以及將審計分析與漏洞掃描和系統監控數據整合。
3. 組態管理要求著重於偵測未經授權或配置錯誤的元件，透過自動化維護準確的清單和基準配置，驗證系統變更，保留回滾配置，以及集中儲存硬體、軟體和韌體資產的儲存庫。
4. 身分識別和認證要求透過加密雙向認證、密碼管理器、裝置認證、身分驗證、快取認證器過期以及安全身分提供者控制等措施，增強對系統和裝置的信任。事件回應要求則強調利用安全營運中心、整合事件回應團隊、行為分析以及自動化追蹤和資料收集，來提升偵測、監控和協同應變能力。
5. 維護要求組織透過確保軟體更新和修補程式得到妥善管理來保障維護工具的安全，從而降低維護活動期間資料外洩的風險。媒體保護要求著重於透過雙重授權來保護備份和介質，以執行資料清除、刪除和銷毀操作，同時也要求對備份進行完整性測試，並支援系統復原和重構。
6. 人員安全要求針對擔任敏感職務的人員制定了存取協議和公民身份要求，旨在加強信任並降低與存取受控資訊相關的內部風險。實體保護要求著重於入侵警報、監控設備以及系統組件的安全交付和移除程序，以降低實體篡改和未經授權存取的風險。
7. 風險評估要求旨在建立威脅意識計劃、威脅搜尋活動和預測性網路分析，以幫助組織識別進階持續性威脅並提升主動風險管理能力。安全評估和監控要求支援對系統進行持續評估，包括滲透測試、監控、漏洞評估以及旨在提高網路風險和攻擊者活動可見性的自動化機制。
8. 系統和通訊保護要求強調分段、子網路隔離、拒絕服務攻擊防護、爆破室、瘦節點、分區和安全通訊控制，以加強縱深防禦架構。系統和資訊完整性要求著重於軟體和韌體完整性、可信任刷新機制、加密保護、輸入驗證、記憶體保護、資料污染、自動警報和無線入侵偵測，以提高網路彈性並偵測入侵行為。
9. 規劃要求指導組織開發和維護安全架構，該架構應整合縱深防禦原則、企業依賴關係、網路安全供應鏈風險管理以及跨多個架構層的協調保護機制。系統和服務採購要求鼓勵組織透過專門的設計、修改、增強和重配置技術來強化關鍵任務系統和組件，從而提高其可信度和彈性。
10. 供應鏈風險管理要求制定了通知協議、檢驗程序、組件真偽檢查、溯源追蹤和譜系驗證流程，以幫助組織檢測篡改、驗證供應商聲明，並確保整個供應鏈中關鍵技術、產品和服務的完整性。

根據 NIST SP 800-172Ar3 文件，評估程序具有靈活性，可根據聯邦機構和評估人員的需求進行調整。安全需求評估可以採用自評、獨立第三方評估或政府資助評估等形式，其嚴謹程度可根據聯邦機構定義的深度和覆蓋範圍屬性而有所不同。評估過程中產生的發現和證據可用於幫助組織就安全需求做出基於風險的決策。

該機構表示，評估程序按安全控制類別進行組織，以支援一致且全面的評估，並源自 SP 800-53A 評估方法。每個程序都包含與特定安全要求直接相關的評估目標，以及組織定義的參數，以確保評估結果與底層控制措施之間的可追溯性。

該指南明確了評估對象，例如規範、機制、活動和人員，涵蓋已記錄的文件、技術保障措施、運作活動以及參與實施保護措施的人員。 NIST補充道，評估人員使用檢查、訪談和測試方法來評估系統，評估的深度和覆蓋範圍決定了增強型安全要求得到妥善滿足的嚴謹性、範圍、投入和保證程度。

美國國家標準與技術研究院 (NIST) 表示，要建立有效的 SP 800-172 安全合規性保證案例，需要從多個來源收集證據，並進行一系列評估活動，以證明保護受控非密資訊的保障措施已正確實施。該機構將合規保證案例描述為一套結構化的證據體系，用於支持合規性聲明，使指定官員能夠根據評估結果做出客觀判斷。根據組織要求和風險考量，證據可能來自獨立的第三方評估、內部評估、產品測試和其他安全審查。

美國國家標準與技術研究院 (NIST) 補充道，許多技術安全控制措施都透過經認可的第三方測試機構對商業技術產品進行的評估來驗證，這使得企業能夠利用更深入的產品級安全評估和已建立的配置測試。評估人員（包括開發人員、稽核人員、整合商、系統所有者和安全人員）可以將這些現有評估與系統級評估、實施資料和系統安全計畫相結合，以確定安全措施的有效性，識別降低風險所需的措施，並使用源自 SP 800-53A 的程序來評估是否符合安全要求。

美國國家標準與技術研究院 (NIST) 表示，該出版物提供了 SP 800-172 中概述的安全要求的評估程序，使組織能夠透過選擇符合其營運需求的評估方法和對象來製定安全評估計劃。該機構補充說，組織可以根據其特定的保障和安全要求，靈活地確定評估過程中所採用的嚴格程度和詳細程度。

上週，美國國家標準與技術研究院 (NIST)將九種數位簽章演算法推進到其後量子密碼標準化工作的第三輪，該機構正持續研發能夠抵禦未來量子電腦攻擊的加密系統。在最新發布的報告中，NIST 詳細介紹了第二輪評估過程，並指出，在評估了公眾回饋、安全分析、實現效能和部署考慮後，NIST 選擇了 FAEST、HAWK、MAYO、MQOM、QR-UOV、SDitH、SNOVA、SQIsign 和 UOV 這九種演算法進行進一步審查。

資料來源：https://industrialcyber.co/nist/nist-updates-sp-800-172-to-strengthen-segmentation-resilience-and-supply-chain-security-for-nonfederal-systems/