最后更新于2023年12月15日(星期五)14:53:38 GMT
11月7日 国家标准与技术研究所(NIST) 发布更新到 SP 800-53, 一个由nist策划的控制目录,组织可以实现它来有效地管理安全和隐私风险. 在本博客中,我们将介绍其中的新控件和更新控件 补丁版本5.1.1, 以及回顾Rapid7 InsightCloudSec如何帮助安全团队在其组织中实施和持续执行它们. 让我们开始吧.
更新NIST SP 800-53合规性包:你需要知道的修订版5.1.1
不像几年前修订版5发生的大修订 was released -总共带来了近270个控件更新-这次更新并没有产生深远的影响. 也就是说,有一些变化需要注意. Release 5.1.我增加了一个新的控件和三个支持控件增强, 同时对其他现有控件进行一些小的语法和格式结构更改. 组织没有强制要求实施新的控制,可以选择推迟到SP 800-53第6版实施.0.发布0,但是没有定义何时发布6的时间表.0.0将被释放.
虽然目前还没有授权, Rapid7的团队通常建议我们的客户立即采用新的补丁版本,以确保与最新的最佳实践保持一致,并确保您的团队能够应对新出现的攻击向量. 在这种情况下,我们建议采用5.1.主要是为了确保在整个环境中有效地实现加密和身份验证控制.
新增加的控制是识别和身份验证(或IA-13),它指出组织应该“使用身份提供者和授权服务器来管理用户, device, 以及非个人实体(NPE)身份, attributes, 以及支持身份验证和授权决策的访问权限.”
NIST将IA-13分解为三个支持性的控制增强:
- IA-13 (01) - 生成保护访问令牌的加密密钥, managed, 并且不被泄露和滥用.
- IA-13 (02) - 在授予对系统和信息资源的访问权限之前,要验证身份断言和访问令牌的来源和完整性.
- IA-13 (03) - 断言和访问令牌会不断刷新, time-restricted, 限制观众观看,必要时并在规定的不使用期限后撤销.
那么,这意味着什么呢? Put simply, 组织应实施控制,有效跟踪和管理用户和系统实体权限,以确保只有授权用户才能访问公司系统或数据. 这包括正确使用加密、卫生和访问令牌的生命周期管理.
This is, of course, 这是一个非常需要和社区要求的附加功能,它说明了实现检查和护栏以减轻身份相关风险的意识和重要性. 这个等式的一个关键组成部分是实现一个解决方案,该解决方案可以帮助您检测云环境中尚未完全实现这些控制的区域. 在云环境中管理这一点尤其具有挑战性, 鉴于其民主化的本质, 需要管理的身份和权限的绝对数量,以及发生权限和特权分配不当的可能性.
实施和持续执行NIST SP 800-53. 5 .使用InsightCloudSec
InsightCloudSec允许安全团队根据组织策略建立并持续测量合规性, 它们是否基于服务提供商的最佳实践, 通用行业框架, 或者是针对特定业务需求定制的包.
InsightCloudSec中的合规性包是一组检查,可用于持续评估您的云环境是否符合给定的监管框架, 或行业或供应商最佳实践. 该平台开箱即用,包含40多个遵从性包, 包括NIST SP 800-53 .的专用包. 5.1.1,现在提供了额外的14个见解,与新加入的IA-13一致.
专用包提供367见解检查128 NIST SP 800-53 .. 5.1.评估您的多云环境是否符合NIST概述的控制的1个要求. 广泛支持所有主要云服务提供商(csp)的各种资源类型, 安全团队可以自信地实施并持续执行SP 800-53 Rev 5.1.1.
InsightCloudSec持续评估您的整个多云环境是否符合一个或多个合规性包,并在创建不合规资源或进行未经批准的更改后几分钟内检测到不合规资源. 如果你愿意, 您可以使用平台的本机, 无代码自动联系资源所有者, 甚至可以通过删除或调整配置或权限来修复问题,而无需任何人工干预.
有关如何使用InsightCloudSec实施和强制执行NIST SP 800-53中概述的合规性标准的更多信息. 5.1.1、一定要 请查看文档页面! 有关我们的云身份和访问管理功能的更多信息, 我们有一些额外的信息 here.
