Support technique
Documentation
Connexion
Nous contacter
La mise en conformité grâce au Live Patching
Le 4 janvier 2023 - L'équipe de relations publiques de TuxCare
Le National Institute of Standards and Technology (NIST) a conseillé aux organisations, notamment aux fournisseurs de soins de santé, aux administrations fédérales et d'État et aux services financiers, de déployer des mises à jour logicielles au moyen d'outils de gestion des correctifs d'entreprise en utilisant une méthode structurée afin de réduire les risques associés en les appliquant à tous les hôtes et à toutes les applications.
Les organisations extérieures au gouvernement fédéral adopteront souvent la norme NIST 800-171 en raison de sa large couverture de conformité et des mandats de protection de la vie privée imbriqués dans les divers contrôles qui y sont définis, notamment la conformité des correctifs et les flux de travail d'automatisation recommandés.
Le Live Patching de TuxCare, qui fournit des correctifs de vulnérabilité automatisés sans avoir besoin de redémarrer le noyau Linux, s'aligne sur le cadre NIST 800-171 en fournissant des correctifs critiques accélérés aux hôtes Linux et autres composants qui permettent aux organisations de rester à jour avec les dernières vulnérabilités de sécurité.
Alors, comment le live patching aide-t-il spécifiquement à chaque régime de conformité ?
Live Patching pour FedRamp
La procédure standard FedRamp pour l'acquisition et la fourniture de services en nuage vise à fournir les informations de sécurité requises aux ministères et aux organisations qui font affaire avec le gouvernement fédéral. FedRamp s'aligne sur la norme NIST 800-53 et tous les départements du gouvernement fédéral sont tenus de se conformer à ce cadre.
La conformité à FedRamp est rigoureuse et coûteuse ; cependant, elle ouvre aux entreprises de toute taille l'accès au marché croissant du cloud. Il est essentiel d'atteindre les objectifs de sécurité en faisant appel à un CSP FedRamp approuvé, notamment en matière de confidentialité et de respect de la vie privée ; cela concerne la protection des informations personnelles. La conformité de la gestion des correctifs aide les services à respecter les normes réglementaires tout en réduisant l'impact des vulnérabilités critiques touchant diverses surfaces d'attaque.
Les solutions de correctifs en direct aident les organismes gouvernementaux à se conformer à la norme NIST 800-53 dans le cadre de deux volets de la réglementation FedRamp : la correction des failles et la protection contre les codes malveillants. Les contrôles de conformité FedRamp s'appliquent uniquement aux services de cloud computing.
Contrairement à d'autres approches de correction, la correction en direct permet aux organisations d'appliquer automatiquement les derniers correctifs sans avoir à redémarrer les systèmes, ce qui les aide à respecter les exigences de la norme NIST 800-53 en réduisant considérablement le travail manuel et les temps d'arrêt.
Respecter le domaine d'entretien de la CMMC
Pour être conforme à la CMMC, l'organisation doit examiner et documenter les activités afin d'en évaluer l'efficacité, informer la direction de haut niveau de tout problème et veiller à ce que les processus soient optimisés dans toute l'organisation.
Le domaine de maintenance (MD) de la CMMC publie des directives pour la priorisation, l'organisation et l'exécution de la maintenance :
- 2.111 Effectuer la maintenance des correctifs sur les systèmes mandatés par les normes de conformité.
- 2.112 Fournir des contrôles sur les outils, les techniques et le personnel utilisés pour effectuer la maintenance du système, y compris l'automatisation de la gestion des correctifs.
- 2.113 Exiger le MFA pour établir des sessions de maintenance non locales via des connexions réseau externes.
- 2.114 Superviser les activités de maintenance du personnel sans accès requis.
Grâce aux solutions de patching en direct de TuxCare pour les hôtes Linux, OpenSSL, les bases de données open-source et d'autres bibliothèques critiques, les clients peuvent plus facilement répondre aux exigences du domaine de maintenance de la CMMC. En plus de l'application de correctifs sur les systèmes critiques, TuxCare prend en charge le placement interne de leur console de gestion des correctifs dans un réseau fermé en boucle pour un déploiement sécurisé des mises à jour.
Les correctifs comme médecine préventive pour l'informatique de santé
Les organismes de santé devraient continuellement appliquer des correctifs à tous leurs systèmes afin de se protéger contre toutes les vulnérabilités connues. De nombreux organismes de santé admettent avoir subi une violation de données en raison de vulnérabilités non corrigées. En raison des difficultés budgétaires rencontrées sur le marché des soins de santé, de nombreuses organisations ne disposent pas d'un programme de gestion des vulnérabilités défini et d'un processus de gestion des correctifs à l'échelle de l'entreprise. Comme de plus en plus de prestataires de soins de santé déplacent leurs applications vers le cloud, la nécessité d'une gestion avancée des vulnérabilités est essentielle.
Gérer la conformité HIPAA avec des ressources limitées
L'HIPAA ne traite pas spécifiquement de la gestion des vulnérabilités, mais elle couvre l'identification des vulnérabilités.
La réglementation 45 C.F.R. § 164.308 (a) (5) (ii) (B), ainsi que sa norme d'évaluation 45 C.F.R. § 164.308 (a) (8), couvre également les processus de gestion des correctifs.
Les organisations programment et effectuent une analyse formelle des risques afin de déterminer toute violation potentielle des informations de santé personnelles électroniques afin de respecter la confidentialité, l'intégrité et la disponibilité conformément à 45 C.F.R. § 164.308 (a) (1) (i) (A). Ensuite, des processus de gestion des risques conformes à l'HIPAA doivent être mis en œuvre, comme indiqué au paragraphe 164.308 (a) (1) (i) (B) du règlement 45 C.F.R.
Cependant, les organisations doivent identifier et atténuer le risque posé par les logiciels non corrigés. Ils devraient inclure un inventaire des logiciels comme l'un des éléments de leur plan d'atténuation des attaques de sécurité. Le maintien d'un système précis de rapports sur l'état de conformité des correctifs aidera les organismes de soins de santé à prendre conscience du risque qu'ils courent pour divers systèmes et applications.
Les correctifs en direct se sont avérés efficaces pour sécuriser rapidement les systèmes de soins de santé en permettant une automatisation complète des mises à jour des vulnérabilités logicielles sans fenêtres de contrôle des changements complexes, avec moins de ressources SecOps et sans redémarrage du système lié aux correctifs.
PCI 6.2 (traitement des cartes de crédit) : des correctifs pour protéger chaque transaction
Pour se conformer à l'exigence 6.2 de la norme PCI DSS, les organisations qui traitent des données de cartes de paiement doivent installer toutes les mises à jour de sécurité disponibles sur tous les systèmes concernés dans un délai d'un mois à compter de leur disponibilité.
Toutes les activités de correction doivent signaler un système de gestion des journaux à l'échelle de l'entreprise pour l'analyse de la sécurité et les rapports de conformité.
Pourquoi les correctifs sont-ils essentiels à la conformité PCI ?
- Les attaquants peuvent exploiter ces vulnérabilités pour attaquer ou perturber un système ou obtenir un accès non autorisé à des données sensibles.
- Les organisations doivent donner la priorité aux systèmes et dispositifs d'infrastructure critique PCI lors de l'application des mises à jour de sécurité.
Lors des audits mensuels ou annuels, les organisations traitant des cartes de crédit sur des systèmes non corrigés ou vulnérables seront soumises à des amendes et à la suspension de l'acceptation des cartes de crédit jusqu'à ce que la sécurité soit résolue et fasse l'objet d'un nouvel audit.
D'autres exigences de conformité PCI, dont la DS6.4, exigent que toutes les applications et tous les systèmes sécurisés suivent une gestion appropriée des changements, y compris l'application de correctifs aux mises à jour de sécurité et aux applications spécifiques prenant en charge les systèmes de cartes de crédit.
Les terminaux de traitement des cartes de crédit fonctionnant avec des systèmes d'exploitation Linux peuvent être corrigés plus souvent et plus tôt après la mise à disposition des correctifs lorsque les organisations adoptent une approche de correction en direct.
Support PCI 6.4 Contrôle des modifications
L'exigence 6.4 de PCI DSS comprend des procédures autour des processus de contrôle des changements pour toutes les modifications apportées aux composants du système.
Il a également recommandé des correctifs pour les éléments suivants :
- Les correctifs doivent s'appliquer à tous les environnements de développement, d'étape et d'assurance qualité, de la même manière que les systèmes de production en direct.
Les organisations doivent maintenir une distance entre les environnements d'assurance qualité et de développement et les données des titulaires de cartes de production. Cette distance est nécessaire pour éviter que les données des titulaires de cartes de production ne soient compromises par des configurations moins sûres et des faiblesses potentielles des plateformes d'assurance qualité ou de développement.
Répondre aux exigences de conformité avec TuxCare
Les mandats de conformité sont essentiels à la poursuite des activités de la plupart des organisations réglementées. Les entreprises qui exercent leurs activités sur des marchés réglementés et dont les systèmes informatiques, les applications et la protection de la cybersécurité doivent répondre aux différents mandats de conformité, notamment FedRamp, CMMC, HIPAA et PCI, peuvent adopter une approche de correctifs en direct pour mettre en pilote automatique leurs correctifs de vulnérabilité et se conformer plus facilement à ces régimes.
Non seulement TuxCare offre non seulement des correctifs en direct automatisés et sans redémarrage pour toutes les distributions Linux d'entreprise populaires, mais les solutions de correctifs en direct de TuxCare présentent une interopérabilité parfaite avec les scanners de vulnérabilité, les capteurs de sécurité, l'automatisation et les outils de rapport.
Au-delà des noyaux Linux d'entreprise, TuxCare déploie des correctifs en direct pour les bibliothèques partagées, les plateformes de virtualisation, les bases de données open-source et les appareils IoT - ainsi que pour les Linux en fin de vie, comme CentOS 7.
Vous êtes prêt à discuter avec un expert en correctifs Linux pour découvrir comment l'adoption d'une approche de correctifs en direct peut améliorer l'efficacité opérationnelle de votre organisation ?
