ChauPham-Security/NIST-CSF2-GRC-Assessment-LogNPacific

GitHub: ChauPham-Security/NIST-CSF2-GRC-Assessment-LogNPacific

该项目是针对 Azure 云托管平台进行的完整 NIST CSF 2.0 GRC 评估,包含差距分析、风险登记册和事件响应计划三大交付成果。

Stars: 0 | Forks: 0

# NIST CSF 2.0 GRC 评估 — Log(N) Pacific **类型:** 端到端 GRC 项目 **框架:** NIST Cybersecurity Framework 2.0 **评估员:** Chau Pham, CISSP **日期:** 2026年7月 ## 概述 这是一次为 Log(N) Pacific 进行的完整 GRC 项目,该平台是一个基于 Microsoft Azure 构建的云托管网络安全培训平台。此次评估是在实际的生产环境中进行的,最终的交付成果由 Log(N) Pacific 的所有者 Josh Madakor 审查并验收。 评估范围涵盖整个公司,包括 Azure 租户、Entra ID、Microsoft Sentinel、Defender for Endpoint、Tenable 以及管理团队的运营实践。证据收集自 Cyber Range 架构与工程文档、业务所有者的直接回复、公开可用的平台信息,以及对 Azure 环境的实时检查。 ## 交付成果 | 文件 | 描述 | |------|-------------| | `NIST_CSF2_GapAssessment_LogNPacific.xlsx` | 完整的评估工作簿 — 包含 75+ 项控制的成熟度评分、20 项风险登记册、仪表板和修复文档登记册 | | `LogNPacific_NIST_CSF2_ExecutiveSummary.docx` | 执行摘要 — 面向非技术业务所有者的关键发现、优先级风险表以及建议的后续步骤 | | `LogNPacific_RS001_IncidentResponsePlan.docx` | 事件响应计划 — 基于 NIST SP 800-61 的正式 IRP,涵盖从检测到事件后审查的完整事件生命周期 | ## 评估涵盖内容 此次评估涵盖了 Log(N) Pacific 在所有六个 NIST CSF 2.0 功能上的安全态势: - **Govern** — 治理结构、风险偏好、策略所有权和监督节奏 - **Identify** — 资产清单、特权账户管理和威胁建模 - **Protect** — 身份生命周期、访问控制、MFA 强制执行和数据保护 - **Detect** — 监控范围、检测源和警报管理 - **Respond** — 事件分类、上报路径、遏制和根除程序 - **Recover** — 恢复架构、沟通程序和经验教训流程 ## 关键发现 **严重(评分 12)** - 两个账户持有超出其职能所需的 Global Administrator 访问权限 — 即自动化 service principal 和一个与个人电子邮件身份绑定的账户。如果 Global Administrator 被攻破,攻击者将获得对 Azure 租户的完全、无限制控制权。 **中(评分 9)** - 没有涵盖公司级事件完整生命周期的正式事件响应计划。业务所有者对 NIST SP 800-61 有很强的工作知识,并在实践中成功应用,但该流程未形成书面文件供团队其他成员一致使用。此缺口已作为本项目的一部分进行了修复。 **中(评分 9)** - 没有针对管理平面的实际威胁活动进行定期审查计划。检测依赖于 Defender for Endpoint、UEBA 和 MFA — 这对于该环境是一个适当的选择 — 但目前没有既定节奏来确认随着威胁的演变,此态势是否依然合适。 包含所有 20 个条目、概率与影响评分、所有者和处理决定的完整风险登记册位于评估工作簿中。 ## 整体成熟度快照 | 功能 | 平均成熟度评分 | 评估的控制项 | 低于目标的控制项 | |----------|-------------------|-------------------|----------------------| | GV — Govern | 2.5 | 15 | 7 | | ID — Identify | 2.7 | 12 | 4 | | PR — Protect | 3.0 | 19 | 6 | | DE — Detect | 2.2 | 11 | 6 | | RS — Respond | 2.1 | 12 | 10 | | RC — Recover | 2.6 | 7 | 3 | | **总体** | **2.5** | **76** | **36** | 所有功能的目标成熟度:3.0。 ## 我从该项目中的收获 GRC 工作不是要找出每一个可能的缺口。而是要充分了解环境,从而知道哪些缺口真正重要,并清晰地传达给必须用有限的时间和资源做出决策的人。合理性和业务环境与技术准确性同等重要。写下“风险接受”与写下“已关闭”是根本不同的决定 — 了解这两者的区别正是真正的评估与清单演练的分水岭。 **应用的关键技能:** 根据实际证据进行 NIST CSF 2.0 控制评估、风险评分与登记册制定、高管沟通、基于 NIST SP 800-61 的策略撰写,以及将技术发现与业务环境进行交叉引用,从而提出适当且可操作的建议。 ## 参考的工具和框架 `NIST CSF 2.0` `NIST SP 800-61` `Microsoft Azure` `Microsoft Sentinel` `Defender for Endpoint` `Entra ID` `Tenable` `KQL` `DISA STIG` `MITRE ATT&CK` ## 关于评估员 **Chau Pham | CISSP** — 专注于治理、风险和合规的安全专业人士,在 Azure、Sentinel 和 Tenable 方面具备深厚的实战技术能力。 - LinkedIn: [linkedin.com/in/chaupham01](https://www.linkedin.com/in/chaupham01/) - GitHub: [github.com/ChauPham-Security](https://github.com/ChauPham-Security) - 电子邮件: chaupham.career@gmail.com
标签:Azure, GRC, NIST CSF, 安全合规, 网络代理