Аудит и соответствие Awareness

Что такое запрос на отклонение уязвимости в авторизации StateRAMP?

by Альянс Лазаря 0 комментарий
Опытная команда по тестированию уязвимостей от Lazarus Alliance

Когда мы говорим о сканировании, тестах и ​​авторизации в контексте оценки StateRAMP, мы склонны думать, что процесс (и все его движущиеся части) относительно стабильны и предсказуемы. И, по большей части, это мышление верно. Однако нормально и в некотором смысле ожидаемо сталкиваться с проблемами, когда сканирование и тесты возвращают проблемы, которые могут остановить процесс авторизации StateRAMP, даже если нет явного и явного сбоя системы. Эти случаи попадают в категорию отклонения уязвимости, и у поставщиков облачных услуг есть способ обойти эти проблемы и получить свой StateRAMP ATO.

 

Что такое отклонения уязвимости?

Когда организация терпит неудачу оценки;, может быть несколько причин, на которые следует указать. Хотя наиболее простым объяснением является простой сбой или несоответствие в этой системе, реальность такова, что многие поставщики будут проходить определенную подготовку перед оценкой. Это означает, что сюрпризы должны быть редкими. 

В других случаях организации могут столкнуться с проблемами в ходе аудита, а именно с тем, что дисквалифицирующие уязвимости являются частью инфраструктуры риска или операционной деятельности или просто не существуют. 

К потенциальным проблемам относятся:

  • Ложные срабатывания: Ложные срабатывания могут возникать, когда система неправильно сообщает критически важную информацию или если сканер неправильно обрабатывает данные. Это может происходить, если есть проблемы с конфигурацией сканера, если сканер устарел или если есть проблемы совместимости между сканером и компонентами системы.
  • Операционные требования: Иногда уязвимости возникают в системах, которые должны оставаться работоспособными по логистическим или деловым причинам.
  • Сокращение рисков: Уязвимость может существовать только из-за определенных конфигураций и взаимодействий компонентов, при этом снижение риска для этой системы может быть достигнуто за счет изменения взаимодействий компонентов.

Таким образом, StateRAMP PMO предоставляет форму запроса на отклонение от уязвимости, в которой поставщик может спросить, почему у него есть определенная уязвимость и почему он не меняет компонент с уязвимостью. 

 

Примеры снижения риска отклонений уязвимости

«Снижение риска» может показаться запутанным подходом к отклонению уязвимости. По сути, этот процесс относится к организации, предпринимающей шаги по минимизации или устранению воздействия уязвимости на конфиденциальные данные.

Вот некоторые примеры этого процесса:

  • Ограничение доступа к уязвимым системам: Компонент может вносить уязвимости в регулируемую систему только в том случае, если он подключен к Интернету или локальной сети (LAN). Если провайдер ограничивает или блокирует сетевой доступ к этому компоненту таким образом, чтобы устранить угрозу защищенным данным, то есть аргумент, что авторизация может продолжаться без непосредственного устранения проблемы.
  • Отключить взаимодействие с пользователем: Если для активации уязвимости требуется определенное взаимодействие или набор взаимодействий, поставщик может отключить эти взаимодействия и заявить, что уязвимость больше не является проблемой для авторизации.
  • Многогранность: Если уязвимость обычно на 100% пригодна для эксплуатации, но реализована в среде, которая снижает или исключает такую ​​возможность, организация может возразить против устранения или устранения уязвимости.
  • Привилегии: Если уязвимость на 100% пригодна для эксплуатации, но доступна только высокоуровневым доверенным привилегиям или администраторам, то есть основания полагать, что уязвимый компонент может остаться.

 

Как устранить сбои в авторизации StateRAMP из-за уязвимостей

Отклонение уязвимости

Если существуют реальные уязвимости, которые могут лишить вашу организацию права на авторизацию StateRAMP, есть несколько способов решения этих проблем в зависимости от ситуации:

Уязвимость Отклонение

Если вы уязвимы, системные компоненты находятся в месте, где вы можете:

  • Демонстрация ложноположительного результата,
  • Выполняет критически важную для бизнеса функцию и/или
  • Можно смягчить за счет снижения риска

Затем вы можете пройти StateRAMP Форма отклонения уязвимости и обрисуйте причины вашей уязвимости и ваш подход к ее дальнейшему существованию.

Законные проблемы уязвимости

Если в вашей инфраструктуре есть уязвимости, для которых у вас нет обоснования или поддержки, суть в том, что их необходимо устранить, прежде чем вы сможете получить авторизацию StateRAMP. Чтобы начать решать проблемы, есть несколько ключевых подходов, которые вы должны использовать:

  • Судебно-медицинское расследование: Поскольку неудачная заявка на авторизацию никогда не должна происходить из-за неожиданного отсутствия базовой функциональности или технологии, скорее всего, это что-то более сложное. Крайне важно понимать природу и влияние уязвимости. Криминалистические расследования, полученные из результатов сканирования и журналов аудита, могут помочь вам выполнить эту задачу.
  • Проведите дополнительные сканирования и тесты: После устранения проблем всегда проводите тщательное и всестороннее сканирование проблемных компонентов. Не экономьте на этом и не надевайте детские перчатки — вы должны быть уверены, что компонент соответствует требованиям, прежде чем пытаться устранить неполадки и пройти еще один раунд авторизации.
  • Методы сканирования карт в соответствии с государственными стандартами: Убедитесь, что ваши подходы к сканированию соответствуют стандартам StateRAMP PMO, которые разработаны на основе федеральных стандартов. стандарты, связанные с FedRAMP. Это включает в себя обеспечение наличия надлежащих разрешений для технологий сканирования, их правильного обновления и сканирования нужных компонентов.
  • Наймите специальных сотрудников по обеспечению соответствия: Технически подкованные руководители или менеджеры помогут вашей организации лучше отслеживать и эффективно управлять уязвимостями (и снижать риски) без необходимости развертывания специальных решений. В свою очередь, вы обнаружите, что ваша компания добивается большего прогресса в направлении соответствия и авторизации, а не тушит новые пожары, как только старые будут потушены.

 

Является ли отклонение уязвимости тем же самым, что и план действий и этапов (POA&M)?

Короткий ответ — нет. POA&M — это документ, созданный CSP и его 3ПАО для StateRAMP PMO, чтобы составить план устранения проблем безопасности во время непрерывного мониторинга. Идея заключается в том, что когда эти проблемы будут устранены, организация в противном случае будет уполномочена работать, но они не настолько серьезны, чтобы требовать совершенно новой оценки. Таким образом, организация уполномочена с пониманием того, что она быстро и эффективно устранит любые проблемы в POA&M.

С другой стороны, отклонения уязвимости — это проблемы, в устранении которых поставщик имеет корыстный интерес (основанный на риске, операционный или ложноположительный). Таким образом, они утверждают, что они должны или могут внести немедленные изменения в проблему, чтобы разрешить авторизацию без полного удаления уязвимого компонента.

 

Избегайте проблем с уязвимостями при авторизации StateRAMP

Сертификация StateRAMP — это не разовое усилие. Она требует постоянного соблюдения строгих стандартов безопасности, которые могут развиваться для решения проблем, связанных с также развивающимися угрозами. Вот почему CSP должны полагаться на опыт и инструменты своих партнеров 3PAO для оптимизации и автоматизации непрерывного мониторинга и обеспечения соответствия и безопасности каждый год. 

Если вам или вашему партнеру по коммуникационному сервису требуется опытный и сертифицированный 3PAO для поддержки вашего постоянного мониторинга StateRAMP или FedRAMP, свяжитесь с Lazarus Alliance по телефону 1-888-896-7580 или свяжитесь с нами, заполнив форму ниже.

Загрузите брошюру нашей компании.

Нет изображения Пусто

Альянс Лазаря

Веб-сайт: