NIST 800-53, FISMA ve FedRAMP için sızma testi

   Aralık 1, 2024  Posted in Mix


NIST 800-53, FISMA ve FedRAMP’a Genel Bakış

Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), federal kurumları ve özel sektör kuruluşlarını desteklemek amacıyla siber güvenlik de dahil olmak üzere çeşitli alanlara yönelik teknoloji standartlarını ve kılavuzlarını geliştirmekten ve desteklemekten sorumlu bir ABD federal kurumudur. NIST’in amacı kuruluşların siber güvenlik risklerini azaltmalarına, verileri ve bilgileri korumalarına ve genel güvenlik duruşlarını geliştirmelerine yardımcı olmaktır.

NIST800-53

Bunu ve diğer güvenlik çabalarını desteklemek için NIST bir dizi yayın yayınladı. Böyle bir yayın olan NIST Özel Yayını 800-53, “Federal Bilgi Sistemleri ve Kuruluşları için Güvenlik ve Gizlilik Kontrolleri”, bilgi sistemlerini güvence altına almak için uygulanabilecek kapsamlı bir güvenlik kontrolleri ve yönergeler kataloğu sağlar. NIST 800-53, kuruluşların güvenlik programları geliştirmede ve FISMA ve FedRAMP dahil olmak üzere güvenlik düzenlemeleri ve standartlarına uyumu kolaylaştırmada takip edecekleri temel bir kaynaktır.

FİZMA

Federal Bilgi Güvenliği Modernizasyon Yasası (FISMA), federal kurumlara, kurumun operasyonlarını ve varlıklarını destekleyen bilgi ve bilgi sistemleri için güvenlik sağlamak amacıyla kurum çapında programlar geliştirme, belgeleme ve uygulama yetkisi veren bir ABD yasasıdır. FISMA kapsamında kuruluşların, NIST 800-53’te tanımlandığı şekilde önerilen minimum bilgi güvenliği kontrollerini uygulaması gerekir.

FedRAMP

Federal Risk ve Yetkilendirme Yönetimi Programı (FedRAMP), FISMA ile aynı temel hedefe sahiptir: devlet bilgilerini ve sistemlerini korumak ve bilgi sistemlerindeki siber güvenlik risklerini azaltmak. Ancak FISMA tüm federal bilgi sistemleri için geçerliyken, FedRAMP yalnızca bulutla ilgili bilgi işlem ve hizmetlerle ilgilenir. FedRAMP, bulut bilişimin benzersiz öğelerini ele almak üzere NIST 800-53’te belirtilen temel kontrollerin ötesinde ek kontroller de dahil olmak üzere güvenlik değerlendirmesi, yetkilendirme ve izlemeye yönelik standartlaştırılmış bir yaklaşım sağlar.

NIST 800-53 Uyumluluğuna İlişkin Temel Bilgiler

NIST 800-53 uyumluluğu ABD federal kurumları için zorunludur ve genellikle devletin bilgi sistemlerini veya hassas bilgileri yöneten veya bunlara erişimi olan federal yükleniciler için gereklidir.

NIST 800-53, beş ana alana sınıflandırılabilecek güvenlik politikalarını ve kontrollerini kapsar:

  • Tanımlamak: Risk yönetimi de dahil olmak üzere varlıkların tanımlanması ve yönetimi
  • Korumak: Kullanıcı erişim kontrolü ve en az ayrıcalıklı erişim kontrolleri dahil olmak üzere varlıkların ve veri güvenliğinin korunması
  • Tespit etmek: Anormal faaliyetlerin sürekli izlenmesi ve keşfedilmesi
  • Yanıtlamak: Tehditleri tanımlamaya ve azaltmaya yönelik yöntem ve stratejiler
  • İyileşmek: Bir sistem arızası veya saldırısından sonra kurtarma için geri yükleme prosedürleri

NIST 800-53 uyumluluğuna ulaşmak için kuruluşun siber güvenlik gereksinimlerinin, politikalarının ve programlarının ayrıntılı bir değerlendirmesini yapması gerekir. Kuruluşlar uyumluluk yollarını bireysel operasyonlarıyla uyumlu olacak şekilde uyarlar ancak hepsinin aşağıdaki adımları dikkate alması gerekir.

  • Kapsamı tanımlayın: NIST 800-53 gerekliliklerini anlayın. Hangi sistemlerin ve uygulamaların kapsam dahilinde olduğunu belirleyin.
  • Risk değerlendirmesi yapın: Güvenlik açıklarını ve güvenlik risklerini belirleyin. Azaltma çabalarına öncelik verin.
  • Kontrolleri uygulayın ve test edin: NIST 800-53 çerçevesinden uygulanabilir kontrolleri seçin ve uygulayın. Politikaları ve prosedürleri gerektiği gibi güncelleyin. Uygunluk denetimlerini kolaylaştırmak için belge kontrolleri.
  • Sürekli izleyin: Güvenlik kontrollerinin sürekli izlenmesi için planlar geliştirin
  • Olay müdahale planlarını geliştirin: Bir siber güvenlik olayını tespit etmek, müdahale etmek ve olaydan kurtulmak için planlar geliştirin.
  • Düzenli denetimler gerçekleştirin: Uyumluluk gerekliliklerini yerine getirmek ve siber güvenlik duruşunu geliştirmek için düzenli denetimlerden geçin.

NIST 800-53 ve FISMA Standartlarını Karşılamak için HackerOne Pentest’ten Yararlanma

HackerOne Pentest, kuruluşların NIST 800-53 ve FISMA standartlarına verimli bir şekilde uyum sağlamalarına yardımcı olacak kanıtlanmış bir yaklaşım sunar. HackerOne Pentest, elit, denetlenmiş pentest uzmanlarının uzmanlığından yararlanarak, temel teknik kontrollerin hedefli doğrulamalarını gerçekleştirerek güvenlik duruşunu güçlendirmek için eyleme dönüştürülebilir bilgiler sağlar. Pentest hizmetlerimiz aşağıdaki alanlarda yardımcı olur:

  • Erişim Kontrolü Doğrulaması: Etkili kimlik doğrulama ve yetkilendirme mekanizmaları aracılığıyla en az ayrıcalık ve görev ayrımının uygulanmasını değerlendirin. Bu, yalnızca yetkili kullanıcıların hassas kaynaklara erişmesini sağlayarak yetkisiz erişim veya ayrıcalık yükseltme riskini azaltır.
  • Olay Müdahale Değerlendirmesi: Hazırlıktan kurtarmaya kadar kapsamlı bir olay müdahale yaşam döngüsüne yönelik yetenekleri değerlendirin. Bu kapsamlı değerlendirme, boşlukların ve iyileştirilecek alanların belirlenmesine yardımcı olarak kuruluşun potansiyel tehditlere etkili bir şekilde yanıt vermesini sağlar.
  • Risk değerlendirmesi: Güvenlik açıklarını belirlemek ve kontrol uygulamalarına bilgi sağlamak için derinlemesine risk değerlendirmeleri yapın. Kuruluşlar deneyimli pentester’ların uzmanlığından yararlanarak risk ortamlarını net bir şekilde anlayabilir ve iyileştirme çabalarını etkili bir şekilde önceliklendirebilir.
  • Sistem ve İletişim Koruması: Gerektiğinde kriptografik korumalar kullanan güvenli iletişim kanalları ve kontrol arayüzleri. Bu, gizli verilerin iletim sırasında güvende kalmasını ve kontrol arayüzlerinin yetkisiz erişime veya manipülasyona karşı sağlamlaştırılmasını sağlar.
  • Denetim ve Sorumluluk Doğrulaması: Kuruluşun denetim ve hesap verebilirlik mekanizmalarını değerlendirerek, kullanıcı faaliyetlerinin izlenebilmesini ve yetkisiz erişim veya değişikliklerin tespit edilip derhal ele alınabilmesini sağlayın. Bu, sistemin bütünlüğünün korunmasına yardımcı olur ve bir güvenlik olayı durumunda adli tıp soruşturmalarını destekler.

“MoD, geliştirme sürecinde iyileştirilecek alanların belirlenmesinde şeffaflığın vazgeçilmez olduğu bir tasarım yoluyla güvence altına alma stratejisini benimsemiştir. Etik bilgisayar korsanlığı topluluğuyla çalışmak, teknik yetenek bankamızı oluşturmamıza ve korumak ve geliştirmek için daha çeşitli bakış açıları getirmemize olanak tanır. Varlıklarımızı savunun. Güvenlik açıklarımızın nerede olduğunu anlamak ve bunları belirlemek ve düzeltmek için daha geniş bir etik hack topluluğuyla birlikte çalışmak, siber riski azaltma ve dayanıklılığı artırma konusunda önemli bir adımdır.”
— Christine Maxwell, CISO, Savunma Bakanlığı (MoD)

Basın bülteninin tamamını okuyun.

HackerOne ile FedRAMP Uyumluluğunu Yönetme

HackerOne’ın sızma testi hizmetleri, kuruluşların başarılı FedRAMP uyumluluğu elde etmesine yardımcı olmak için uzmanlıkla tasarlanmıştır. Tekliflerimiz aşağıdaki alanlara odaklanmaktadır:

  • Buluta Özel Kontroller: Pentestlerimiz NIST 800-53’ün ötesine geçerek çoklu kiracılık, hem beklemede hem de aktarımda veri şifreleme ve sanallaştırma güvenliği gibi buluta özgü konuları hedef alır.
  • Üçüncü Taraf Değerlendirme Kuruluşu (3PAO): HackerOne bir 3PAO olmasa da, güvenlik kontrollerimiz ve uyumluluk çabalarımıza ilişkin tarafsız ve kapsamlı bir değerlendirme sunmak için sızma testlerimiz sırasında bağımsız değerlendiricilerle işbirliği yapıyoruz.
  • Yetki Paketleri Dokümantasyonu: Sızma testlerimizin ardından Sistem Güvenlik Planı (SSP), Güvenlik Değerlendirme Raporu (SAR) ve Eylem Planı ve Kilometre Taşları (POA&M) dahil olmak üzere ayrıntılı belgeler üretiyoruz. Bu belgeler, güvenlik önlemlerimizi ve bulgularımızı ifade ederek kuruluşlara, tespit edilen güvenlik açıklarını ele almaları ve FedRAMP uyumluluğunu sağlamaları için net bir yol haritası sağlar.

“VDP’yi uygulamak, oluşturduğumuz dahili ekibin önceliklendirilmesine ve desteklenmesine yardımcı oldu. Ayrıca federal hükümetin kendi kurumları için VDP politikalarını zorunlu kıldığını biliyorduk ve bu güvenlik politikasını kendi seçmenlerimiz için benimseme konusunda ön saflarda yer almak istedik.”
— Jillian Burner, CISO, Ohio Dışişleri Bakanı

Hikayenin tamamını okuyun.

Ek HackerOne Hizmetleri

  • Güvenlik Açığı Açıklama Programına (VDP) sahip Kamuya Açık Raporlama Kanalı: Risk Değerlendirme kontrolü RA-5 (11), kuruluşların harici güvenlik açığı raporlarını almak için genel bir kanal kurmasını gerektirir; HackerOne Response, kontrolün sağlanmasına yardımcı olmak için bir Güvenlik Açığı Açıklama Programı (VDP) sunar. Kuruluşların, dış taraflarca bildirilen güvenlik açıklarını almak ve ele almak için yapılandırılmış bir süreç oluşturmasına olanak tanıyarak, kuruluşlar gereksinimleri karşılama yolunda ilerleyebilir ve genel risk yönetimi ve uyumluluk çabalarını geliştirebilir.
  • Hata Ödül Programıyla Sürekli İzleme: Sızma testimiz derin, hedefe yönelik FedRAMP değerlendirmeleri sunarken, HackerOne Bounty bu yeteneği genişleterek sürekli, kitle kaynaklı güvenlik testleri sağlar ve sistemlerinizin yeni ve ortaya çıkan tehditlere karşı sürekli olarak test edilmesini sağlar. Bu sürekli yaklaşım, yıl boyunca güvenlik açıklarını belirlemek ve azaltmak için çevik, duyarlı bir çerçeve sunarak FedRAMP’in sürekli izlemeye verdiği önemle uyumludur.



Source link