L’évolution du projet NIST pourrait aider à alléger le fardeau des logiciels ATO | Réseau de nouvelles fédérales

L’Institut national des normes et de la technologie espère engager une communauté plus large de parties prenantes pour faire avancer son programme Open Security Controls Assessment Language.

Le programme open source « OSCAL » pourrait être un élément crucial pour aider les agences à accélérer l’adoption des technologies numériques, a déclaré mardi le directeur de l’information du Département du commerce, Andr Mendes, lors du quatrième atelier annuel OSCAL du NIST.

Nous ne pouvons pas simplement continuer à ajouter des experts en cybersécurité, a déclaré Mendes. Cela ne fonctionne pas. Il n’est pas à l’échelle. Les cyberdéfenses et les processus doivent donc évoluer.

OSCAL est un ensemble de formats de données structurés qui fournissent « des représentations lisibles par machine des catalogues de contrôle, des lignes de base de contrôle, des plans de sécurité du système et des plans et résultats d’évaluation », selon le NIST. Les formats actuels sont exprimés en XML, JSON et YAML.

Mendes a déclaré qu’OSCAL pourrait être un outil pour aider les agences à accélérer la compilation et l’examen des packages d’autorisation de sécurité pour les logiciels, souvent un processus laborieux et long de plusieurs mois.

C’est là qu’intervient quelque chose comme OSCAL, parce que l’allégement du fardeau d’OSCAL en termes d’anciens processus bureaucratiques pour [Authorization to Operate], par exemple, est énorme, a déclaré Mendes. Les possibilités y sont énormes. Et ils sont en cours de réalisation, alors qu’OSCAL continue d’être adopté.

Le NIST a déployé la version 1.0 d’OSCAL en juin 2021 et a publié des correctifs supplémentaires depuis lors.

Le programme travaille sur des versions de correctifs supplémentaires pour s’assurer que nous pouvons apporter des modifications avec des corrections de bogues et des améliorations de fonctionnalités qui ne rompent pas la rétrocompatibilité avec l’ancienne version afin que les gens puissent créer des logiciels fiables, Alexander Stein, directeur technique OSCAL par intérim au NIST , a déclaré lors de la conférence.

L’équipe OSCAL a également une vision renouvelée du projet. Le NIST prévoit de travailler avec les parties prenantes pour développer des modèles OSCAL pouvant être utilisés par les organisations et les fournisseurs de services cloud pour démontrer un échange d’informations d’évaluation de la sécurité transparent et continu entre eux, en partageant des informations sur les parties de leurs systèmes et sur la manière dont ces parties doivent être évaluées, sans verrouillage du fournisseur, selon Michaela Iorga, directrice de la sensibilisation stratégique OSCAL au NIST.

Et un aspect clé de la vision du NIST est d’engager une communauté plus large de parties prenantes.

Nous réaliserons cette vision en augmentant l’engagement et la collaboration avec la communauté, les secteurs privé et public, afin que les modèles OSCAL atteignent plus rapidement l’état de maturité souhaité pour soutenir une adoption internationale plus large, a déclaré Iorga.

Iorga a proposé de créer un comité de collaboration communautaire pour mieux organiser et développer la communauté OSCAL.

Cela aidera la communauté à se présenter d’une seule voix, ce qui aidera la communauté à s’organiser en interne, a déclaré Iorga. C’est quelque chose que nous avons pensé que cette communauté peut faire pour aider également à faire passer le programme OSCAL et le développement et la maintenance d’OSCAL à un niveau supérieur.

Certaines agences ont commencé à adopter le langage open source. Les Centers for Medicare et Medicaid Services placent OSCAL au centre de leurs plans de mise en œuvre d’un processus ATO continu, a déclaré Robert Wood, responsable de la sécurité de l’information chez CMS.

C’est vraiment excitant parce que c’est une nouvelle et nouvelle façon de faire des logiciels dans l’écosystème fédéral, en particulier en assurant la conformité autour des logiciels créés, gérés et exécutés dans l’écosystème fédéral, a-t-il déclaré. Et s’il y a jamais une institution où, nous avons toujours procédé de cette façon, est si profondément enracinée, c’est probablement le gouvernement fédéral. Et ce mouvement, ce genre de changement, le fer de lance d’une conformité différente, est vraiment excitant pour moi.

Des éléments de l’industrie sont également à bord. Amazon Web Services, IBM et Google ont tous présenté OSCAL lors de la conférence de cette semaine, tout comme des représentants de la Cloud Security Alliance et du Center for Internet Security.

Phil Venables, responsable de la sécurité des informations chez Google Clouds, a déclaré que le langage open source sera crucial pour faire évoluer efficacement les programmes de sécurité dans les entreprises.

Plus nous pouvons dépasser les attaquants, plus nous pouvons garder une longueur d’avance sur les menaces, plus nous pouvons inventer des catégories entières de contrôle qui déjouent des classes entières d’attaques, et le faire de plus en plus vite dans nos entreprises étendues, puis finalement, nous gagnons , dit Venables. OSCAL est le carburant de la façon dont nous allons connecter tout cela ensemble.

L’un des principaux partenaires fédéraux de l’effort OSCAL a été le programme fédéral de gestion des risques et des autorisations des administrations des services généraux (FedRAMP) pour l’évaluation et l’autorisation des services cloud.

Le programme n’a pas été présenté au sommet OSCAL, mais dans une interview sur Federal Drive en décembre dernier, le directeur par intérim Brian Conrad a déclaré que FedRAMP développait un outil pour permettre la gestion automatisée des colis et les validations automatisées.

La première étape consiste à obtenir OSCAL et notre [Governance Risk and Compliance tool] en ligne pour nous assurer que nous pouvons automatiser l’ingestion des packages, a déclaré Conrad. Nous l’avons déjà fait une fois sur un cas de test. Étaient vraiment enthousiasmés par les économies de ressources à tous les niveaux, pas seulement pour le [Joint Authorization Board] équipes de révision, mais aussi pour les fournisseurs de cloud. Tout ce que nous pouvons faire pour rendre les choses meilleures, plus solides et plus rapides profitera à la fois au gouvernement et à l’industrie.

Les législateurs poussent également les agences à rationaliser FedRAMP grâce à l’automatisation. La loi d’autorisation FedRAMP de 2022, intégrée au projet de loi sur la politique de défense de l’année dernière, a ordonné à la GSA de proposer un plan pour l’automatisation des évaluations et des examens de sécurité FedRAMP dans un délai d’un an.

La législation a également ordonné à la GSA de créer un comité consultatif fédéral sur le cloud sécurisé composé de représentants du gouvernement et de l’industrie pour proposer des recommandations sur la manière dont FedRAMP et les processus associés pourraient être améliorés. La GSA a annoncé les membres inauguraux du comité plus tôt ce mois-ci. Le conseil d’administration sera dirigé par Ann Lewis, directrice des services de transformation technologique.

Pendant ce temps, Stein a déclaré qu’OSCAL est un format de données structuré, ce qui signifie que le NIST a besoin que différentes organisations se joignent à la table pour aider à l’appliquer à divers cadres et cas d’utilisation.

Nous avons vraiment besoin d’une communauté de personnes pour établir d’abord quels sont leurs contrôles dans leurs cadres respectifs, a déclaré Stein. Et ce n’est pas qu’une question de bouton poussoir. Il existe différentes manières de structurer ces informations. Et souvent, beaucoup de ces exigences sont très axées sur les êtres humains et sur le fait qu’elles ne sont pas structurées. Il y a donc beaucoup de travail à faire dans les différents cadres respectifs avant de pouvoir travailler sur eux.