Bu NIST kontrollerinden bahsederken öncelikle neyden bahsettiğimizi tanımlayalım. NIST 800-53, dünya çapında güvenlik programları için popüler bir çerçevedir ve aynı zamanda ABD Federal Hükümeti’nin FedRAMP programı için temel kontrol seti görevi görür. 2020 yılında Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), 800-53 standardına ilişkin en son revizyon 5’i (rev 5) yayınladı. Bu, standardı, bireysel kontrollerin etkisini derecelendirmek yerine genel bir güvenlik programının risk temelli sonuçlarını vurgulayacak şekilde yeniden konumlandırdı. Şimdi bu konuyu tekrar konuşuyoruz çünkü FedRAMP Proje Yönetim Ofisi (PMO) kısa süre önce rev 5’in 2024’te FedRAMP denetim çerçevesine nasıl dahil edileceğine dair rehberlik sağladı, dolayısıyla kuruluşların planlarını uygulamaya koymaları için zaman işliyor.
Rev 5’te NIST, SaaS satıcılarının şunları yapmasını gerektiren yepyeni bir kontrol olan RA-5(11)’i tanıtıyor:Kurumsal sistemler ve sistem bileşenlerindeki güvenlik açıklarına ilişkin raporları almak için halka açık bir raporlama kanalı oluşturun”
NIST kılavuzu ayrıca şunu tavsiye etmektedir:
“Raporlama kanalı herkese açık olarak keşfedilebilir ve iyi niyetli araştırmalara ve güvenlik açıklarının kuruluşa ifşa edilmesine izin veren açık bir dil içerir. Kuruluş, yetkisini, raporlayan kuruluşun kamuya süresiz olarak ifşa edilmemesi beklentisine bağlamaz, ancak güvenlik açığını uygun şekilde gidermek için belirli bir süre talep edebilir.”
Temel olarak kuruluşlar, kamuya açık güvenlik açığı raporlamasının açık doğasını gerçekten benimsemelidir. Güvenlik açıklarını iyi niyetle bildiren etik bilgisayar korsanları memnuniyetle karşılanmalı ve kuruluşlara bu güvenlik açıklarını uygun şekilde düzeltmeleri için belirli bir zaman çerçevesi verilmelidir. Bu son revizyon, bizi halktan gelen herhangi bir güvenlik açığı raporunu kabul eden gerçek “bir şey gör, bir şey söyle” zihniyetine çok daha yaklaştırıyor.
Güvenlik Açığı Açıklama Politikası Nedir?
Esas itibariyle, kılavuzda genellikle aşağıdaki unsurları içeren bir “Güvenlik Açığı Açıklama Politikası”ndan bahsedilmektedir:
- Söz: Güvenlik açıklarından potansiyel olarak etkilenen müşterilere ve diğer paydaşlara açık ve iyi niyetli bir taahhüt gösterin;
- Kapsam: Hangi özelliklerin, ürünlerin ve güvenlik açığı türlerinin kapsandığını belirtin;
- Güvenli Liman: Güvenlik açığını bulanlara, politikayı takip etmeleri halinde gereksiz yere cezalandırılmayacakları veya yargılanmayacakları konusunda güvence verir;
- İşlem: Bulanların güvenlik açıklarını bildirmek için kullanması gereken süreci özetlemektedir; Ve,
- Tercihler: Zaman çizelgesi beklentileri de dahil olmak üzere raporların nasıl değerlendirileceğine ilişkin tercihler ve önceliklere ilişkin beklentileri belirleyen yaşayan bir belge.
Canlı bir VDP’nin neye benzediğine dair bir örnek görmek için HackerOne’ın kendi politikasını görüntüleyebilirsiniz.
NIST’in yeni VDP kontrolüyle kuruluşların, güçlü bir VDP’yi neyin oluşturduğu ve sınıfının en iyisi bir programı kanıtlamak için bu güçlü yönleri nasıl değerlendirecekleri konusunda rehberliğe ihtiyacı var. FedRAMP PMO ile kısa süre önce yaptığımız rev5 rehberlik çağrısı sırasında şu soruyu sorduk: “RA-5(11) etki seviyeleri genelinde net yeni bir kontrol olduğundan, bu kontrol nasıl değerlendirilecek?”
PMO, Beyaz Saray’ın bu konuyla ilgili 2020’de yayınlanan M-20-32 muhtırasına işaret ederek yanıt verdi. Bu belge, yukarıda belirttiklerimizin bir kısmını ana hatlarıyla özetleme konusunda iyi bir iş çıkarıyor, ancak bunun nasıl değerlendirileceğine ilişkin ayrıntıların tam olarak belirtilmesi mümkün değil.
İşte en başa döndük ve muhtemelen şunu soruyorsunuz: “Evet, peki bunu nasıl yapacağım?”
Yukarıda belirtildiği gibi HackerOne, VDP’leri kendi geniş ürün tekliflerinin bir parçası olarak sunuyor ve müşterilere düzenli olarak sektördeki en iyi uygulamalar ve iyi bir politikanın ne olduğu konusunda tavsiyelerde bulunuyor. Ayrıca kendi FedRAMP Faaliyet Yetkisi’mizi (ATO) taşıyoruz ve FedRAMP denetim süreci konusunda deneyime sahibiz.
HackerOne’ın yeni NIST kontrolü konusundaki uzmanlığına ek olarak, FedRAMP Yöneticisi Doug Stonier ve önde gelen kanıtlama ve uyumluluk hizmetleri sağlayıcısı Schellman & Company’nin FedRAMP Uygulama Lideri Nick Rundhaug ile de işbirliği yaptık. Bunlar, dünya çapında lisanslı bir PCI Nitelikli Güvenlik Değerlendiricisi, bir ISO Sertifikasyon Kuruluşu, HITRUST CSF Değerlendiricisi ve bir FedRAMP 3PAO’dur.
Hem HackerOne hem de Schellman & Company uzmanları, denetçiler dahil herkesin aşağıdaki soruları sorması gerektiğini düşünüyor:
1. Politikayı Bulmak Ne Kadar Kolay/Zor?
Genel olarak konuşursak, “COMPANY_NAME Güvenlik Açığı Açıklaması” ifadesini aramak ve söz konusu politikayı hızlı bir şekilde bulmak için bir arama motoru kullanabilmelisiniz. Ek olarak, bir güvenlik sayfasının, gizlilik sayfasının veya ana altbilginin bir parçası olsun, bir VDP web sitesinin gezinmesi yoluyla kolayca keşfedilebilmelidir.
Schellman & Company’nin Perspektifi:
“Burada ele alınan kontrolün en önemli kısmı raporlama kanalının ‘herkese açık’ olmasıdır. Bir değerlendirici olarak, kamuya açık bir başvuru mekanizmasını gösteren kanıtları arayacağız. Bu, bir arama motoru veya kamuya açık bir web sayfası aracılığıyla kamuya açık bir URL kadar kolay olabilir.”
2. Politika Ne Kadar Tutarlı Bir Şekilde İzleniyor ve Hangi Metrikler Ona Bağlı?
Örneğin, politika ilk başvuruya yanıt vermek için bir zaman çerçevesi belirliyorsa şirket buna uyuyor mu? Gönderimler üzerinde harekete geçiyorlar mı ve ne kadar hızlı? Daha fazla bilgi edinmek isteyenler için HackerOne’ın öngörülen geri dönüş ve çözüm sürelerine bakın.
Schellman & Company Perspektifi:
“RA-5(11) kontrolü kısadır ancak ek kılavuzla birlikte, ilgili CSP’nin (Bulut Hizmet Sağlayıcısı) sahip olduğu bir politikanın kapsamına girmesi muhtemel bir dizi öğe vardır. CSP’nin uyguladığı politikaları gözden geçireceğiz. uygulanabilirlik, zaman çizelgeleri vb. gibi öğeleri kapsayan ve politikanın, zaman çizelgeleri gibi ölçümler de dahil olmak üzere VDP’yi kapsadığından emin olan kişidir.”
3. Hangi Varlıklar Kapsamdadır?
Bu bir büyük bir. Şirketin tüm dijital varlıkları kapsam dahilinde olmalıdır. Kapsamın oldukça sınırlı olması, güvenlik açıklarının azalmasına neden olur ve “bir şey gör, bir şey söyle” zihniyetinden uzaklaşır. Bu kuralın istisnaları olabileceğini biliyoruz, ancak bunlar iyi düşünülmeli ve az sayıda olmalıdır. Bu, FedRAMP denetiminin bir parçasıysa, denetçinin FedRAMP varlıklarının kapsama dahil edilip edilmediğini kontrol etmesi gerekir. Eğer kapsam dışındaysa nedenini sormalısınız.
Schellman & Company’nin Perspektifi:
“FedRAMP sınırının (bileşenlerinin) tamamı en azından kapsam dahilinde olmalıdır. FedRAMP sınırından daha fazlasının kapsam içinde olması muhtemeldir, bu da sorun değil.”
4. Ne Tür Bulgular Kapsama Girmektedir?
Bu, VDP’nin kuruluş için hangi güvenlik açığı bulgularının en önemli kabul edildiği ve politika kapsamında ne tür testlere izin verildiği konusunda bağlam sunması için bir fırsattır. İdeal olarak, her türlü bulgunun kapsam dahilinde olması gerekir ancak bazen bunun her zaman mümkün olmayabileceğinin de farkındayız. Önceliklendirilemeyecek bulgulara örnek olarak üçüncü taraf varlıklarına ilişkin bulgular verilebilir.
Schellman & Company’nin Perspektifi:
“Bu başka bir politika kontrolüdür. Politika, kabul edilen ve izlenen bulgu türlerini içermelidir. Bir kuruluş, derecelendirmeleri (muhtemelen CVSS 3.0 puanlamasına dayalı olarak) tanımlamak ve düşük riskli bulgular gibi neyin kabul edildiğini belirlemek isteyecektir. ‘bilgilendirici’.”
5. Makul Başvurular İçin Güvenli Liman Vaadi Var mı?
Safe Harbor, şirketin endüstri standartlarını takip eden ve keşfedilen bir güvenlik açığını sunan herhangi bir etik korsanı aklama (okuma: kovuşturma yapmama) isteğini ifade eder. Mayıs 2022’de ABD Adalet Bakanlığı, “iyi niyetli güvenlik araştırması sunanların suçlanmaması gerektiğini” belirten bir revizyon yayınladı.
Güvenli Liman hükmünün bulunmaması, esasen herhangi bir VDP’yi geçersiz kılar, çünkü hiç kimse kovuşturma korkusuyla güvenlik açıklarını sunmak istemez. Safe Harbor ayrıca şirkete etik saldırılara izin verilmesi konusunda yasal korumalar sağlar.
Güvenlik açığının ifşa edilmesinde önde gelen uzman olarak HackerOne, sizin buna gerek duymamanız için bu konuyu araştırmak ve danışmanlık yapmak için yoğun zaman harcadı. HackerOne platformu, tüm taraflara mümkün olan en iyi korumayı sağlayan Altın Standardı Güvenli Liman’ı tanımlar.
Schellman & Company’nin Perspektifi:
“NIST ek kılavuzu, gönderim ve ifşa için ilgili zaman çizelgelerinin oluşturulması ihtiyacını ele alıyor. Bu öğeler muhtemelen VDP’yi kapsayan CSP politikasında ele alınmaktadır.”
6. Tercih Edilen İletişim Yönteminin Takip Edilmesi Kolay mı?
Hiç kimse bir güvenlik açığını bildirmeden önce 1-800’lü numarayı arayıp doğum belgesini göndermek ve 90 sayfalık bir sözleşme imzalamak istemez. Bir VDP için önerilen iletişim yöntemleri, bir grup e-posta adresi, web sitesindeki bir gönderim formu veya bir platformdaki gönderim formudur. Formu bu kullanım senaryosuna göre tasarlamalı ve olası bir raporu geciktirebilecek birkaç gereklilik veya hukuki ifade eklemelisiniz.
Schellman & Company’nin Perspektifi:
“RA-5(11)’in gönderim kolaylığı konusunda özel bir gerekliliği olmasa da (“kamuya açık raporlama kanalı” dışında), kuruluş bunu dikkate almak isteyecektir ve ortaya çıkan gönderim kanalı, 3PAO tarafından raporlama sırasında kanıt olarak kullanılacaktır. bir FedRAMP değerlendirmesi.”
NIST VDP Kontrolünde Zirvede Kalın
Federal Program Yönetim Ofisi ve endüstri liderleri kılavuzu güncellemeye devam ettikçe bu görüşme zaman içinde gelişmeye devam edecektir. HackerOne Response, NIST kontrollerinin ve diğer düzenleyici güvenlik gereksinimlerinin önünde kalmak amacıyla, tek bir platformdan başarılı bir VDP başlatmak için gereken tüm araçları sağlar. Kullanıma hazır kurulumumuz, sürekli güvenlik için uyumlu ve politikaya dayalı bir güvenlik açığı açıklama iş akışı oluşturmayı kolaylaştırır. Ekibinizin güvenlik hedeflerine uyacak en iyi seçeneği seçin:
- Gerekli: En iyi uygulamaları takip etmek ve uyumluluk gerekliliklerini yerine getirmek için ücretsiz bir self-servis VDP çözümüyle başlayın.
- Profesyonel: Proaktif güvenlik önlemlerine yönelik gelişmiş özellikler ve raporlamayla güvenlik açığı açıklamasını üst düzeye çıkarın.
- Girişim: Özelleştirilebilir çözümler, özel destek ve kapsamlı entegrasyonlarla kurumsal düzeyde güvenlik ve uyumluluk sağlayın.
Kuruluşunuz için hangi VDP planının doğru olduğunu keşfetmek ve VDP’nizi bugün başlatmak için bizimle iletişime geçin.