NIST برای بهبود بروزرسانی نرم افزار و نسخه های پچ ، کاتالوگ کنترل امنیت و حفظ حریم خصوصی را اصلاح می کند

بیشتر نرم افزارها پس از انتشار اولیه خود برای پرداختن به اشکالات ، به روز رسانی نیاز دارند مشخص شده آسیب پذیری ها و تجدید نظر در ویژگی ها و عملکرد. اما تکه های نرم افزاری و سایر تغییرات می توانند امنیت سایبری و خطرات حریم خصوصی جدید را معرفی کنند و در صورت عدم مدیریت مؤثر ، می توانند عملیات را مختل کنند. برای پشتیبانی از به روزرسانی های موفقیت آمیز ، ایمن نرم افزار ، انستیتوی استاندارد و فناوری (NIST) اصلاحاتی را در فهرست امنیت و حفاظت از حفاظت از حفاظت از خود نهایی کرده است تا به توسعه دهندگان ایجاد شده و سازمانهایی که آنها را در سیستم های خود دریافت و پیاده سازی می کنند ، کمک کند.

بسیاری از متخصصان فناوری اطلاعات فوراً این کاتالوگ را به عنوان یکی از انتشارات مدیریت ریسک پرچمدار NIST تشخیص می دهند: کنترل های امنیتی و حریم خصوصی برای سیستم های اطلاعاتی و سازمان ها (انتشار ویژه NIST (SP) 800-53). این یک فهرست جامع از حفاظت از امنیت و حفاظت از حفاظت از حفاظت از آن ، به نام Controls ، برای تقویت سیستم ها ، محصولات و خدماتی است که زیربنای مشاغل کشور ، دولت و زیرساخت های مهم است.

اصلاحات به دستور اجرایی 14306 پاسخ می دهد ، پایداری تلاش های انتخابی برای تقویت امنیت سایبری کشور و اصلاح دستور اجرایی 13694 و دستور اجرایی 14144بشر با کمک یک سیستم اظهارنظر جدید که در آن ذینفعان می توانند بازخوردی را برای تغییرات پیشنهادی در زمان واقعی ارائه دهند و پیش نمایش تجدید نظر های پیشنهادی را قبل از انتشار نهایی ارائه دهند ، به روزرسانی در چندین قالب الکترونیکی در دسترس است.

ویکتوریا پیلیتری ، که رهبری این پروژه را بر عهده دارد ، گفت: “این تغییرات برای تأکید بر شیوه های توسعه نرم افزار ایمن و کمک به سازمان ها در درک نقش خود در اطمینان از امنیت نرم افزار در سیستم های خود است.” “در نهایت ، ما می خواهیم به آنها کمک کنیم تا در عین حال خطر ابتلا به پچ را به حداقل برسانند و عواقب ناخواسته را به حداقل برسانند.”

بیشتر نرم افزارها مستقیماً در معرض اینترنت قرار دارند که آن را در معرض خطر قابل توجهی از سازش قرار می دهد. پچ زدن یکی از مؤلفه های مهم نگهداری پیشگیرانه است که به کاهش خطر نقض داده ها و سایر عوارض جانبی کمک می کند.

مدیریت به روزرسانی می تواند به دلیل نیاز به تعادل در معاملات بین استفاده از تکه های سریع برای رفع آسیب پذیری های مهم و یا اشکالات ، چالش برانگیز باشد کاملاً آزمایش برای اطمینان از تأثیر عملکرد و خدمات مهم. هنگامی که یک فروشنده آسیب پذیری را در نرم افزار خود تشخیص داد ، استقرار یک پچ به سرعت پنجره فرصت را برای مهاجمان کاهش می دهد ، اما این خطر را افزایش می دهد که پچ کمتر آزمایش شده ممکن است عملکرد یک سازمان را مختل کند. در مقابل ، آزمایش کامل خطر اختلال عملیاتی را کاهش می دهد اما پنجره فرصت را برای مهاجمان افزایش می دهد.

Pillitteri گفت: “کنترل های به روز شده بر اهمیت نظارت بر مؤلفه خاص که به روز می شود و همچنین رابطه مؤلفه با سیستم کلی تأکید می کند.”

تغییرات در SP 800-53 به جنبه های مختلفی از فرآیند توسعه و استقرار نرم افزار ، از جمله پرداختن به نرم افزار و انعطاف پذیری سیستم با طراحی ، آزمایش توسعه دهنده ، استقرار و مدیریت به روزرسانی ها و یکپارچگی نرم افزار و اعتبار سنجی می پردازد. در میان تغییرات سه کنترل کاملاً جدید وجود دارد:

• نحو ورود به سیستم (SA-15) یک قالب الکترونیکی را تعریف می کند برای ضبط رویدادهای مرتبط با امنیت برای حمایت از پاسخ بهتر حادثه. تعریف قالب های داده اتوماسیون را تسهیل می کند و به تیم ها کمک می کند تا سریعتر حوادث مربوط به امنیت را بازسازی کنند.
• تجزیه و تحلیل علت ریشه (SI-02 (07)) انجام یک بررسی را برای یافتن علت مسئله یا عدم موفقیت در بروزرسانی نرم افزار و ارائه یک برنامه عملی و اجرای آن مشخص می کند.
• طراحی برای مقاومت سایبری (SA-24) طراحی سیستم هایی را برای زنده ماندن توصیه می کند-توانایی پیش بینی ، مقاومت در برابر ، پاسخ و بازیابی از حمله ضمن حفظ عملکردهای مهم.

این بروزرسانی همچنین محتوای فنی برخی از کنترل های موجود را مرور می کند و نمونه های دیگری از نحوه اجرای آنها را ارائه می دهد.

مجموعه کامل تغییرات در ابزار امنیت سایبری و حریم خصوصی در دسترس است (cprt) ، جایی که نسخه به روز شده به عنوان ذکر شده است SP 800-53 Rev. 5.2.0بشر

علاوه بر این ، NIST اکنون به روزرسانی هایی را در فهرست کنترل از طریق CPRT ارائه می دهد ، که امکان بارگیری در قالب های قابل خواندن با دستگاه از جمله OSCAL و JSON را فراهم می کند. این آژانس همچنین یک روند جدید درگیری عمومی را اتخاذ کرده است که به ذینفعان اجازه می دهد تا در دوره های اظهار نظر به تغییرات پیشنهادی در زمان واقعی پاسخ دهند و در هر زمان پیشنهادات ارائه دهند.

Pillitteri گفت که روند جدید درگیری به NIST اجازه می دهد سخت گیری و شفافیت معمول خود را حفظ کند ، در حالی که قالب های مختلف موجود ، اجرای کنترل های به روز شده را برای کاربران آسان تر می کند.

وی گفت: “ما در حال تلاش برای حفظ این مجموعه جامع از کنترل های امنیتی و حریم خصوصی چابک هستیم.” “NIST اکنون می تواند ضمن هماهنگی با ذینفعان به روشی شفاف که تقاضای مشتری را برآورده می کند ، به روزرسانی های این راهنما را توسعه داده و به سرعت صادر کند. این بخشی از تلاش ما برای تدوین و صادر کردن استانداردها با سرعت فناوری است.”