Önce bu NIST kontrollerine atıfta bulunduğumuzda neden bahsettiğimizi tanımlayalım. NIST 800-53, küresel olarak güvenlik programları için popüler bir çerçevedir ve aynı zamanda ABD federal hükümetinin FedRamp programı için temel kontrol olarak görev yapmaktadır. 2020’de Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) en son Revizyon 5’ini (Rev 5) 800-53 standardına yayınladı. Bu, bireysel kontrollerin etkisini derecelendirmeye karşı genel bir güvenlik programının riske dayalı sonuçlarını vurgulamak için standardı yeniden konumlandırdı. Şimdi tekrar konuşuyoruz çünkü FedRamp Proje Yönetim Ofisi (PMO) yakın zamanda Rev 5’in 2024’te FedRamp Denetim Çerçevesine nasıl dahil edileceği konusunda rehberlik sağladı, bu nedenle saat kuruluşların planlarını yerine getirmeleri için işaretliyor.
Rev 5’te NIST, SaaS satıcılarının “Organizasyonel sistemlerde ve sistem bileşenlerinde güvenlik açıklarının raporlarını almak için bir kamu raporlama kanalı oluşturun”
NIST rehberliği ayrıca şunları önerir:
“Raporlama kanalı herkese açık olarak keşfedilebilir ve iyi niyetli araştırmalara ve güvenlik açıklarının kuruluşa açıklanmasına izin veren açık bir dil içeriyor. Kuruluş, raporlama kuruluşu tarafından kamuya açıklanmama beklentisi üzerine yetkisini koşullandırmamaktadır, ancak belirli bir zaman dilimini savunmasızlığı düzgün bir şekilde düzeltmek için isteyebilir. ”
Esasen, kuruluşlar kamu kırılganlık raporlarının açık doğasını gerçekten benimsemelidir. Güvenlik açıklarını iyi niyetle bildiren etik bilgisayar korsanlarına memnuniyetle karşılanmalı ve kuruluşlara bu güvenlik açıklarını düzgün bir şekilde düzeltmek için belirli bir zaman dilimi verilmelidir. Bu son revizyon bizi, herhangi bir güvenlik açığı raporunu kamuoyundan kabul eden gerçek bir “bir şey gör, bir şey söyle” zihniyetine çok daha yakın taşıyor.
Güvenlik açığı açıklama politikası nedir?
Özünde, rehberlik genellikle aşağıdaki unsurları içeren bir “güvenlik açığı ifşa politikası” hakkında konuşuyor:
- Söz: Güvenlik güvenlik açıklarından potansiyel olarak etkilendiğinde müşterilere ve diğer paydaşlara açık, iyi niyetli bir bağlılık göstermek;
- Kapsam: Hangi özelliklerin, ürünlerin ve güvenlik açığı türlerinin ele alındığını belirtir;
- Güvenli Liman: Güvenlik açığı bulucularına, politikayı takip ederlerse haksız yere cezalandırılmayacaklarını veya kovuşturulmayacaklarını garanti eder;
- İşlem: Bulucuların güvenlik açıklarını bildirmek için kullanması gereken süreci özetler; Ve,
- Tercihler: Zaman çizelgesi beklentileri de dahil olmak üzere raporların nasıl değerlendirileceğine ilişkin tercihler ve öncelikler için beklentiler belirleyen canlı bir belge.
Canlı bir VDP’nin neye benzediğine dair bir örnek görmek için HackerOne’un kendi politikasını görüntüleyebilirsiniz.
NIST’in yeni VDP kontrolü ile kuruluşlar, güçlü bir VDP oluşturan şey ve sınıfının en iyisi bir programı kanıtlamak için bu güçlü yönlerin nasıl değerlendirileceği konusunda rehberliğe ihtiyaç duyarlar. FedRamp PMO ile yakın zamanda yapılan bir REV5 rehberlik çağrısı sırasında, “RA-5 (11) etki seviyeleri arasında net yeni bir kontrol olmakla, bu kontrol nasıl değerlendirilecek?” Diye sorduk.
PMO, 2020-M-20-32’de yayınlanan bu konudaki Beyaz Saray’ın muhtırasını işaret ederek yanıt verdi. Bu belge, yukarıda söylediklerimizden bazılarını özetlemek için iyi bir iş çıkarır, ancak bunu nasıl değerlendireceğiniz konusundaki özellikleri değil.
İşte burada bir kareye geri döndük ve muhtemelen “Evet – bunu nasıl yaparım?” Diye soruyorsunuz.
Yukarıda belirtildiği gibi, HackerOne kendi daha geniş ürün tekliflerinin bir parçası olarak VDP’ler sunar ve müşterilere endüstrinin en iyi uygulamaları ve iyi bir politika yapan şey konusunda düzenli olarak tavsiyelerde bulunur. Ayrıca (ATO) faaliyet gösterme ve FedRamp denetim süreciyle ilgili deneyime sahip olmak için kendi FedRamp Otoritemizi taşıyoruz.
Hackerone’un yeni NIST kontrolü konusundaki uzmanlığına ek olarak, önde gelen bir onay ve uyumluluk hizmetleri sağlayıcısı Schellman & Company ile FedRamp Müdürü Doug Stonier ve Nick Rundhaug ile işbirliği yaptık. Küresel lisanslı bir PCI nitelikli güvenlik değerlendiricisi, bir ISO sertifikası gövdesi, Hitrust CSF değerlendiricisi ve bir FedRamp 3PAO’dur.
Hackerone ve Schellman & Company’deki her iki uzman, denetçiler de dahil olmak üzere herkesin aşağıdaki soruları sorması gerektiğini düşünüyor:
1. Bulunması ne kadar kolay/zor?
Genel olarak konuşursak, “Company_name güvenlik açığı açıklaması” arayışı için bir arama motoru kullanabilmelisiniz ve söz konusu politikayı hızlı bir şekilde bulabilmelisiniz. Buna ek olarak, bir güvenlik sayfasının, gizlilik sayfasının veya ana altbilginin bir parçası olsun, Web sitesinin gezinmesi yoluyla bir VDP kolayca keşfedilebilir olmalıdır.
Schellman ve Şirket Perspektifi:
“Burada ele alınan kontrolün kilit kısmı, raporlama kanalının ‘kamuya açık olmasıdır. Bir değerlendirici olarak, halka açık bir gönderim mekanizması gösteren kanıtlar arayacağız.
2. Politika ne kadar tutarlı bir şekilde takip edilir ve hangi metrikler buna bağlıdır?
Örneğin, politika ilk gönderime yanıt vermek için bir zaman dilimi belirlerse, şirket bunu takip ediyor mu? Başvurularda mı işlem görüyorlar ve ne kadar hızlı? Ek okuma arayanlar için, hackerone’un öngörülen geri dönüşü ve çözünürlük süreleri bkz.
Schellman ve Şirket Perspektifi:
“RA-5 (11) kontrolü kısadır, ancak ek rehberlikle birlikte, ilgili bir CSP (bulut servis sağlayıcısı) sahip olduğu bir politikada ele alınacak bir dizi öğe vardır. CSP’nin politikalarını gözden geçireceğiz. Uygulanabilirlik, zaman çizelgeleri vb. Gibi öğeleri kapsayan ve politikanın zaman çizelgeleri gibi metrikleri de içeren VDP’yi kapsadığından emin olun. “
3. Hangi varlıklar kapsamda?
Bu bir büyük bir. Şirketin tüm dijital varlıkları kapsamda olmalıdır. Çok sınırlı bir kapsam daha az güvenlik açığı ile sonuçlanır ve “bir şey gör, bir şey söyle” zihniyetinden uzaklaşır. Bu kuralın istisnaları olabileceğini biliyoruz, ancak bunlar iyi düşünülmüş ve çok az ve çok olmalıdır. Bu bir FedRamp denetiminin bir parçasıysa, bir denetçi FedRamp varlıklarının kapsamda olup olmadığını görmek istemektedir. Eğer kapsam dışında kalırlarsa, nedenini sormalısınız.
Schellman ve Şirket Perspektifi:
“Tüm FedRamp sınırı (bileşenler) en azından kapsamlı olmalıdır. FedRamp sınırından daha fazlasının kapsamda olması muhtemeldir, bu iyi.”
4. Ne tür bulgular kapsamda?
Bu, VDP’nin kuruluş için hangi güvenlik açığı bulgularının en önemli olduğu ve politika kapsamında ne tür bir teste izin verildiğine dair bir bağlam sunması için bir fırsattır. İdeal olarak, her türlü bulgu kapsamda olmalıdır, ancak zaman zaman bunun her zaman mümkün olmayabileceğini biliyoruz. Tozlaştırılabilecek bir bulgunun bir örneği, üçüncü taraf varlıklarla ilgili bulgulardır.
Schellman ve Şirket Perspektifi:
“Bu başka bir politika kontrolüdür. Politika, kabul edilen ve izlenen bulgu türlerini içermelidir. Bir kuruluş derecelendirmeleri tanımlamak isteyecek (muhtemelen CVSS 3.0 puanlamasına dayalı) ve kabul edildiğini belirlemek isteyecek ve düşük riskli bulgular gibi neyin kabul edildiğini belirleyecektir. ‘bilgilendirici.’ “
5. Makul başvurular için güvenli bir liman vaadi var mı?
Güvenli Liman, şirketin endüstri standartlarını takip eden ve keşfedilen bir güvenlik açığını sunan etik bir hacker’ı ortadan kaldırma (okuma: kovuşturma değil) isteğini ifade eder. Mayıs 2022’de ABD Adalet Bakanlığı, “iyi niyetli güvenlik araştırmaları sunulmaması gerektiğini” belirten bir revizyon ortaya koydu.
Güvenli bir liman hükmü eksikliği esasen herhangi bir VDP’yi geçersiz kılar çünkü kimse kovuşturma korkusu nedeniyle güvenlik açıkları sunmak istemeyecektir. Safe Harbor ayrıca şirkete etik saldırıların ödeneği konusunda yasal korumalar sağlar.
Güvenlik açığı açıklamasında önde gelen uzman olan Hackerone, bu konuda araştırma ve danışmanlık yapmak zorunda kalmamak için çok zaman harcadı. Hackerone platformu, tüm partilere sağlanan en iyi korumaları sağlayan Gold Standard Safe Limanı’nı tanımlar.
Schellman ve Şirket Perspektifi:
Diyerek şöyle devam etti: “NIST tamamlayıcı rehberlik, teslim ve açıklama için ilgili zaman çizelgelerinin oluşturulması ihtiyacını ele almaktadır. Bu öğeler muhtemelen VDP’yi kapsayan CSP politikasında ele alınmaktadır.”
6. Tercih edilen temas yöntemi takip edilmesi kolay mı?
Kimse 1-800 numarasını aramak, doğum belgelerini göndermek ve bir güvenlik açığı göndermeden önce 90 sayfalık bir sözleşme imzalamak istemez. Bir VDP için önerilen iletişim yöntemleri bir grup e -posta adresi, web sitesinde bir gönderim formu veya bir platformda bir gönderim formudur. Bu kullanım durumu için formu tasarlamalısınız ve olası bir raporu erteleyecek az sayıda gereksinim veya hukuku içermelisiniz.
Schellman ve Şirket Perspektifi:
“RA-5 (11) ‘nin sunulma kolaylığı için belirli bir gereksinimi olmasa da (“ kamu raporlama kanalı ”nın yanı sıra), kuruluş bunu dikkate almak isteyecek ve sonuçta verilen teslim kanalı, 3PAO tarafından kanıt olarak kullanılacaktır. Bir FedRamp Değerlendirmesi. “
NIST VDP kontrolünün üstünde kalın
Federal Program Yönetim Ofisi ve endüstri liderleri rehberliği güncellemeye devam ettikçe bu konuşma zamanla gelişmeye devam edecektir. NIST kontrollerinin ve diğer düzenleyici güvenlik gereksinimlerinin önünde kalmak için Hackerone yanıtı, tek bir platformdan başarılı bir VDP başlatmak için gereken tüm araçları sağlar. Kutudan çıkma kurulumumuz, sürekli güvenlik için uyumlu ve politika odaklı bir güvenlik açığı açıklama iş akışı oluşturmayı kolaylaştırır. Ekibinizin güvenlik hedeflerine uymak için en iyi seçeneği seçin:
- Gerekli: En iyi uygulamaları takip etmek ve uyumluluk yetkilerini karşılamak için ücretsiz bir self-servis VDP çözümü ile başlayın.
- Profesyonel: Proaktif güvenlik önlemleri için gelişmiş özelliklerle ve raporlama ile güvenlik açığı açıklamasını yükseltin.
- Girişim: Kurumsal sınıf güvenliğinin ve özelleştirilebilir çözümlere, özel destek ve kapsamlı entegrasyonlara uyum sağlayın.
Kuruluşunuz için hangi VDP planının doğru olduğunu keşfetmek ve VDP’nizi bugün başlatın.