Analyse des vulnérabilités du cadre de cybersécurité du NIST
NIST CSF 2.0 a étendu le cadre de 5 à 6 fonctions principales, avec une gestion des vulnérabilités couvrant l'identification, la protection et la nouvelle fonction Gouverner. KENSAI correspond directement aux sous-catégories CSF pour soutenir les agences fédérales et les organisations privées qui s'alignent sur le NIST.
Carte KENSAI vers NIST CSF → Voir le tableau de bord du NISTFonctions principales et gestion des vulnérabilités du NIST CSF 2.0
Sorti en février 2024, NIST CSF 2.0 ajoute une sixième fonction (Gouverner) et réorganise les sous-catégories. La gestion des vulnérabilités touche plusieurs fonctions :
GV.RM-07 :Gestion des risques de vulnérabilité au niveau stratégique : garantir que la gestion des vulnérabilités fait partie des décisions en matière de risques de l'entreprise et bénéficie d'une visibilité de la direction.
ID.RA-01 :Les vulnérabilités des actifs sont identifiées et documentées.ID.RA-02 :Les renseignements sur les cybermenaces proviennent des forums de partage d’informations.ID.AM-02 :Inventaires de logiciels, services et systèmes. Ceux-ci constituent la base de tout programme de gestion des vulnérabilités.
PR.PS-02 :Le logiciel est maintenu pour réduire l'exploitabilité.PR.PS-04 :Les enregistrements de journaux sont générés et mis à disposition.PR.MA-01/02 :Entretien et réparations effectués, autorisés et enregistrés.
DE.CM-01/02/09 :Les réseaux et les systèmes sont surveillés pour détecter les anomalies et les événements potentiels de cybersécurité. L'analyse continue prend en charge la détection continue.
RS.MI-02 :Les incidents sont atténués. Les workflows de correction des vulnérabilités permettent une réponse rapide aux incidents lorsque les vulnérabilités sont activement exploitées.
Mappage KENSAI avec les sous-catégories NIST CSF 2.0
| Sous-catégorie CSF | Description | Capacité KENSAI |
|---|---|---|
| ID.RA-01 | Vulnérabilités des actifs identifiées | Analyse automatisée des vulnérabilités |
| ID.RA-02 | Renseignements sur les menaces reçus | Intégration des informations sur les menaces CVE |
| ID.AM-02 | Inventaire des logiciels/services | Découverte et inventaire des actifs |
| PR.PS-02 | Logiciel maintenu | Surveillance de la conformité des correctifs |
| DE.CM-01 | Réseaux surveillés | Analyse réseau continue |
| DE.CM-09 | Matériel informatique surveillé | Évaluation de la vulnérabilité des points de terminaison |
| RS.MI-02 | Incidents atténués | Flux de travail et suivi des mesures correctives |
Niveaux de mise en œuvre du NIST CSF et gestion des vulnérabilités
Le NIST CSF définit quatre niveaux de mise en œuvre qui décrivent le degré de sophistication des pratiques de cybersécurité :
- Niveau 1 (partiel) :Gestion ponctuelle et réactive des vulnérabilités — aucun processus formel
- Niveau 2 (informé sur les risques) :Un processus formel de gestion des vulnérabilités existe, mais il n'est pas étendu à l'ensemble de l'organisation.
- Niveau 3 (répétable) :Gestion des vulnérabilités documentée et appliquée de manière cohérente avec une priorisation basée sur les risques
- Niveau 4 (Adaptatif) :Gestion continue et automatisée des vulnérabilités, intégrée aux renseignements sur les menaces et aux rapports de direction
La plupart des organisations devraient cibler le niveau 3. L'automatisation de KENSAI permet des fonctionnalités de niveau 4 sans la complexité généralement associée aux programmes de sécurité d'entreprise.
Comment KENSAI soutient la mise en œuvre du NIST CSF
✓ Analyse centrée sur les actifs
Découvrez et analysez en continu tous les actifs pour répondre aux exigences ID.AM et ID.RA pour un inventaire complet et une identification des vulnérabilités.
✓ Intégration des renseignements sur les menaces
S'intègre aux flux de menaces pour donner la priorité aux vulnérabilités activement exploitées (ID.RA-02) – concentrez-vous sur ce qui compte le plus.
✓ Priorisation basée sur les risques
CVSS + exploitabilité + notation de criticité des actifs permettent de prendre des décisions fondées sur les risques requises au niveau 2 et supérieur.
✓ Tableau de bord NIST CSF
Visualisez votre posture de sécurité mappée aux fonctions CSF. Suivez les progrès vers des niveaux de mise en œuvre plus élevés au fil du temps.
✓ Rapports exécutifs
Les rapports de la fonction GV (gouvernement) donnent aux dirigeants la visibilité sur les risques de vulnérabilité nécessaire aux décisions stratégiques en matière de sécurité.
✓ Mesures de remédiation
Suivez le MTTR (Mean Time to Remediate) par gravité et classe d’actifs – mesures clés pour démontrer la progression du niveau CSF.
Intégration NIST SP 800-53
Pour les agences et organisations fédérales suivant le NIST SP 800-53, KENSAI correspond aux familles de contrôle RA (évaluation des risques) et SI (intégrité du système et de l'information) :
- RA-5 : Surveillance et analyse des vulnérabilités— Cartographie directe ; la numérisation automatisée répond aux exigences de base
- RA-5(2) : Mise à jour des vulnérabilités analysées— KENSAI utilise les bases de données CVE actuelles
- RA-5(5) : Accès privilégié— Analyse authentifiée pour une découverte plus approfondie des vulnérabilités
- SI-2 : Correction des défauts— Suivi et vérification des correctifs
- SI-3 : Protection contre les codes malveillants— Intégration avec la sécurité des points finaux pour une défense coordonnée
Alignez votre programme de sécurité sur NIST CSF 2.0
KENSAI fournit des capacités d'analyse et de gestion des vulnérabilités qui implémentent directement les sous-catégories NIST CSF 2.0. Générez des rapports de conformité mappés au cadre et démontrez les progrès vers des niveaux de mise en œuvre plus élevés.
Démarrer l’évaluation NIST CSF → Parlez à un expert du NIST