Last updated at Fri, 15 Dec 2023 14:53:38 GMT

On November 7th, the National Institute of Standards and Technology (NIST) issued an update to SP 800-53, 一个由nist策划的控制目录,组织可以实现它来有效地管理安全和隐私风险. In this blog we’ll cover the new and updated controls within patch release 5.1.1, 以及回顾Rapid7 InsightCloudSec如何帮助安全团队在其组织中实施和持续执行它们. Let’s dive right in.

更新NIST SP 800-53合规性包:你需要知道的修订版5.1.1

不像几年前修订版5发生的大修订 was released -总共带来了近270个控件更新-这次更新并没有产生深远的影响. That said, there are a few changes to be aware of. Release 5.1.1 added one new control with three supporting control enhancements, 同时对其他现有控件进行一些小的语法和格式结构更改. 组织没有强制要求实施新的控制,可以选择推迟到SP 800-53第6版实施.0.0 is issued, however there is no defined timeline for when 6.0.0 will be released.

While there is no mandate at this time, Rapid7的团队通常建议我们的客户立即采用新的补丁版本,以确保与最新的最佳实践保持一致,并确保您的团队能够应对新出现的攻击向量. In this case, we recommend adopting 5.1.主要是为了确保在整个环境中有效地实现加密和身份验证控制.

新增加的控制是识别和身份验证(或IA-13),它指出组织应该“使用身份提供者和授权服务器来管理用户, device, and non-person entity (NPE) identities, attributes, 以及支持身份验证和授权决策的访问权限.”

NIST将IA-13分解为三个支持性的控制增强:

  • IA-13 (01) - Cryptographic keys that protect access tokens are generated, managed, and protected from disclosure and misuse.
  • IA-13 (02) - 在授予对系统和信息资源的访问权限之前,要验证身份断言和访问令牌的来源和完整性.
  • IA-13 (03) - Assertions and access tokens are continuously refreshed, time-restricted, 限制观众观看,必要时并在规定的不使用期限后撤销.

So, what does all that mean? Put simply, 组织应实施控制,有效跟踪和管理用户和系统实体权限,以确保只有授权用户才能访问公司系统或数据. 这包括正确使用加密、卫生和访问令牌的生命周期管理.

This is, of course, 这是一个非常需要和社区要求的附加功能,它说明了实现检查和护栏以减轻身份相关风险的意识和重要性. 这个等式的一个关键组成部分是实现一个解决方案,该解决方案可以帮助您检测云环境中尚未完全实现这些控制的区域. 在云环境中管理这一点尤其具有挑战性, given its democratized nature, 需要管理的身份和权限的绝对数量,以及发生权限和特权分配不当的可能性.

Implement and Continuously Enforce NIST SP 800-53 Rev. 5 with InsightCloudSec

InsightCloudSec允许安全团队根据组织策略建立并持续测量合规性, whether they’re based on service provider best practices, a common industry framework, or a custom pack tailored to specific business needs.

InsightCloudSec中的合规性包是一组检查,可用于持续评估您的云环境是否符合给定的监管框架, or industry or provider best practices. The platform comes out of the box with 40+ compliance packs, including a dedicated pack for NIST SP 800-53 Rev. 5.1.1,现在提供了额外的14个见解,与新加入的IA-13一致.

专用包提供367见解检查128 NIST SP 800-53 Rev .. 5.1.评估您的多云环境是否符合NIST概述的控制的1个要求. 广泛支持所有主要云服务提供商(csp)的各种资源类型, 安全团队可以自信地实施并持续执行SP 800-53 Rev 5.1.1.

InsightCloudSec持续评估您的整个多云环境是否符合一个或多个合规性包,并在创建不合规资源或进行未经批准的更改后几分钟内检测到不合规资源. If you so choose, you can make use of the platform’s native, no-code automation to contact the resource owner, 甚至可以通过删除或调整配置或权限来修复问题,而无需任何人工干预.

有关如何使用InsightCloudSec实施和强制执行NIST SP 800-53 Rev中概述的合规性标准的更多信息. 5.1.1, be sure to check out the docs page! For more on our cloud identity and access management capabilities, we’ve got some additional information on that here.