في عالم الامتثال الحكومي، لا يتم عادةً إلقاء كلمة “سريع” على محمل الجد. تاريخيًا، يعد نقل المنتج من “جاهز” إلى “مصرح به” في عملية FedRAMP بمثابة ماراثون يمكن أن يمتد لعدة سنوات، مما يؤدي في كثير من الأحيان إلى توقف الابتكار.
في Wiz، نظرنا إلى هذه التحديات التاريخية ليس كعائق، ولكن كفرصة لإثبات أن المؤسسة الحديثة القائمة على المخاطر يمكنها تلبية المعايير الفيدرالية الصارمة دون التضحية بالسرعة. لقد علمنا من خلال خبرتنا في العمل مع العملاء في مواجهة مجموعة من التحديات التنظيمية أن الأنظمة يمكن أن تكون متوافقة وآمنة وتحافظ على مرونة الابتكار.
التفكير في رحلتنا إلى ارتفاع فيدرامب، من اللافت للنظر أن نرى كيف سمح هذا النهج المرن لعرض Wiz for Gov بالنمو في مثل هذا الوقت القصير، لحماية التعليمات البرمجية، من خلال السحابة، ووقت التشغيل، وحتى مخاطر الذكاء الاصطناعي مع ارتفاع انتشارها.
هذه الابتكارات ليست مجرد ميزات جديدة؛ إنها النتيجة المباشرة لنفس فلسفة “التصميم الآمن” التي استخدمناها لتسريع عملية الترخيص الخاصة بنا.
لقد ركزنا على بناء الأساس الذي سمح لنا بالتنقل في رحلة FedRAMP مع الوصول في نفس الوقت إلى تكافؤ الميزات الرئيسية. باستخدام Wiz لتأمين Wiz، أثبتنا أن التركيز على المخاطر لا يرضي عملية التدقيق فحسب؛ فهو يمهد الطريق للابتكار المستمر. في هذه السلسلة، نشارك المخطط الذي نستخدمه للبقاء سريعًا تحت المجهر الفيدرالي، حتى تتمكن من المخاطرة وتسريع رحلتك للحصول على الترخيص.
الدرس الأول: الثبات في المخاطر، وليس فقط قوائم التحقق من الامتثال
في حين أن العديد من المؤسسات تتعامل مع FedRAMP كممارسة امتثال واسعة النطاق، فقد نظرنا إليها على أنها تحدي تحديد أولويات المخاطر. في Wiz، تركز فرق البحث لدينا على كيفية ظهور التهديدات فعليًا في العالم الحقيقي، حيث تؤدي المجموعات السامة من نقاط الضعف والهويات ذات الامتيازات المفرطة والتكوينات الخاطئة وغيرها من حالات التعرض إلى حدوث انتهاكات. لقد طبقنا نفس منظور “العالم الحقيقي” في إعدادنا لمراجعة الحسابات، وذلك باستخدام الأتمتة لتحديد المخاطر المهمة حقًا والتخفيف من حدتها.
هذه الفلسفة القائمة على المخاطر ليست مجرد تفضيل داخلي. ينص NIST SP 800-53r5 صراحةً على أن الأمان الفعال يتطلب تقييمًا مستمرًا لكيفية تقاطع التهديدات ونقاط الضعف:
…من أجل تطوير الخطط التشغيلية، يجب تقييم مجموعة التهديدات ونقاط الضعف والتأثيرات من أجل تحديد الاتجاهات المهمة وتحديد أين ينبغي بذل الجهد للقضاء على قدرات التهديد أو تقليلها؛ القضاء على نقاط الضعف أو الحد منها؛ وتقييم وتنسيق وتفادي تعارض جميع عمليات الفضاء الإلكتروني…
نيست SP 800-53r5، مقدمة
في رحلتنا إلى FedRAMP High، قمنا بترجمة هذا المطلب الأساسي إلى نهج رشيق من ثلاث مراحل لإدارة المخاطر:
-
المرحلة 1، السياق الدقيق- أتمتة الرؤية الكاملة للموارد والتقنيات والهويات السحابية لتحديد المخاطر ومعالجتها قبل استغلالها (إدارة المخاطر الاستباقية)
-
المرحلة الثانية، آمنة حسب التصميم- “تحويل الأمان إلى اليسار” عن طريق نقل تقييم المخاطر في وقت مبكر إلى دورة حياة تطوير البرمجيات لتحديد ومنع إدخال المخاطر الجديدة على مستوى المطور، قبل أن تتمكن من الوصول إلى الإنتاج (إدارة المخاطر الوقائية)
-
المرحلة 3، الاستجابة المستندة إلى السياق- تعزيز أنشطة الاستجابة للحوادث باستخدام التعليمات البرمجية والسياق السحابي لتصفية الضوضاء، والتأكد من أنه في حالة اكتشاف تهديد، يتم إخطار الفرق بالسبب الجذري و”نطاق الانفجار” الذي تم تحديده بالفعل (إدارة المخاطر التفاعلية)
من خلال التركيز على نموذج المخاطر التكيفي هذا، لم نقم فقط بتحديد المربعات للعائلات مثل التحكم في الوصول (AC) أو الاستجابة للحوادث (IR)؛ قمنا ببناء نظام آمن بطبيعته، وبالتالي، متوافق بطبيعته. وهذا ما جعل عملية الارتقاء من المتوسط إلى المرتفع أكثر قابلية للإدارة وقلل بشكل كبير من العبء اليدوي لتقاريرنا الشهرية.
الدرس الثاني: استبدال الجهد اليدوي بالسياق الآلي
والحقيقة هي أنه لن تكون هناك بيئة خالية تمامًا من المخاطر. تم تصميم FedRAMP حول هذه الحقيقة، مما يتطلب من المؤسسات ليس فقط تحديد المخاطر ولكن أيضًا وضع استراتيجيات تخفيف واضحة. ومع ذلك، غالبًا ما تعتمد الأساليب القديمة على أدوات غير متصلة وعمليات يدوية، مما يحول إدارة المخاطر إلى كابوس توثيقي بدلاً من انتصار أمني.
ويتجلى ذلك بشكل أوضح في عملية خطة العمل والمعالم التقليدية (POA&M). تاريخيًا، تتعامل المؤسسات مع POA&M كقائمة من نقاط الضعف والتعرضات الشائعة المعزولة (CVEs)، لكن CVE في حد ذاتها لا تخبرك إلا بالقليل جدًا. ركزت إرشادات معالجة الثغرات السابقة على تصنيف مكافحة التطرف العنيف نفسه، دون سياق أوسع حول التأثير على النظام. على سبيل المثال، يجب أن يكون لـ CVE ذو درجة منخفضة ضمن نظام تسجيل نقاط الضعف الشائعة (CVSS) على نظام حساس أولوية أعلى من CVE ذو درجة عالية من CVSS على أصل غير عام بدون معلومات حساسة. قد يتطلب التركيز فقط على درجة CVE معالجة لمدة 30 يومًا على درجة CVSS CVE العالية والسماح للأولى بالمرور 180 يومًا دون عواقب لعدم تلبية اتفاقية مستوى الخدمة هذه. وهذا يمكن أن يترك النظام في خطر إجمالي أعلى على الرغم من تقليل مكافحة التطرف العنيف الأكثر أهمية على ما يبدو. وهذا هو سبب أهمية وجود سياق أوسع، ويمكن أن يساعد في تعديلات مخاطر POA&M إعطاء الأولوية لمعالجة الضعف حول ما هو أكثر أهمية.
للتحرك بشكل أسرع، استخدمنا الحذق CNAPP لدمج أدوات الأمان المختلفة في عرض واحد موحد. وقد سمح لنا هذا بتحويل تركيزنا من “إصلاح مكافحة التطرف العنيف” إلى “معالجة المخاطر”. من خلال فهم الأنظمة التي تم الكشف عنها، والهويات التي يمكنها الوصول إليها، ومكان وجود البيانات، تمكنا من أتمتة اكتشاف وتوثيق بيئتنا، وإدخال السياق الذي تشتد الحاجة إليه في تدقيقنا.
وعلى وجه التحديد، ساعد استخدامنا لبرنامج Wiz CNAPP في أتمتة ما يلي:
-
الحماية من التعليمات البرمجية الضارة
-
إدارة المخزون والأصول
-
مجموعة أثرية لمراجعي الحسابات
-
المراقبة المستمرة (ConMon) للترخيص المستمر
باستخدام Wiz لتأمين Wiz، لم نقم فقط بتبسيط عملية التدقيق؛ لقد تأكدنا من أن فريق الأمان لدينا كان يقضي وقته في دراسة المخاطر المهمة بالفعل، بدلاً من ربط البيانات يدويًا في جدول بيانات.
الدرس الثالث: سد فجوة الابتكار
أحد أكبر التحديات على الطريق إلى FedRAMP هو الوقت. تاريخيًا، يمكن أن تستغرق العملية سنوات، مما يؤدي إلى خلق “فجوة ابتكارية” حيث تتخلف العروض السحابية الحكومية عن نظيراتها التجارية. بمجرد الترخيص، يجب على المؤسسات أيضًا الحفاظ على الامتثال المستمر من خلال المراقبة المستمرة (ConMon)، والتي تضيف جهدًا شهريًا متكررًا، ويمكن أن تزيد من التوقيت بين تقديم الميزة في البيئات التجارية والاعتماد داخل بيئات FedRAMP.
طوال تقييم FedRAMP المعتدل، واصلنا إطلاق إمكانات تجارية جديدة، بما في ذلك مستشعر وقت التشغيل و إدارة وضع أمن البيانات (DSPM). ومن خلال الحفاظ على أساس مرن لإدارة المخاطر، تمكنا من تسريع جلب هذه الإمكانات نفسها إلى Wiz for Gov. وفي الأشهر التي أعقبت ترخيصنا المتوسط، أكملنا بنجاح أربعة طلبات تغيير مهمة (SCRs)، مما أدى إلى تكافؤ عروض حكومتنا في الميزات الرئيسية مع الارتقاء في نفس الوقت إلى FedRAMP High، والذي تم تحقيقه من خلال ترخيص ترعاه الوكالة.
لقد حددنا الطريق إلى التكافؤ من خلال ثلاثة معالم:
-
إنشاء خط الأساس: الحصول على ترخيص FedRAMP المعتدل (مكتمل)
-
رفع المعيار: تحقيق تكافؤ الميزات الرئيسية والوصول إلى مستوى FedRAMP المرتفع (مكتمل)
-
مزامنة الابتكار: تحقيق تكافؤ إصدار الميزات، مما يضمن إطلاق ميزات جديدة في Commercial وWiz for Gov في وقت واحد (قيد التقدم)
من خلال توثيق وأتمتة عملية إدارة المخاطر لدينا، قدمنا الشفافية اللازمة للمقيمين الخارجيين والمسؤولين المعتمدين لدينا للاختبار والمراجعة والموافقة. لقد قمنا بتحويل ما يعتبر عادةً “وقت توقف الامتثال” إلى وقت تطوير، مما يضمن حصول عملاء حكومة الولايات المتحدة على إمكانية الوصول إلى نفس القدرات المتطورة التي يتمتع بها القطاع الخاص.
الطريق إلى الأمام: يتعلق الأمر دائمًا بالمخاطر
إن تحديث رحلة FedRAMP الخاصة بك يتعلق بالانتقال من إعداد التقارير اليدوية الثابتة إلى إستراتيجية ديناميكية متجذرة في التشغيل الآلي. ومن خلال تبني أساس رشيق، يمكن للمؤسسات اكتشاف المخاطر وربطها وتوثيقها في جزء صغير من الوقت. وهذا لا يؤدي فقط إلى تبسيط المسار إلى الترخيص الأولي؛ فهو يحول المتطلبات المتكررة للمراقبة المستمرة إلى عملية مبسطة توفر الشفافية في الوقت الفعلي لتعزيز أمان المهام الحرجة لديك.
في الجزء الثاني من دليل Agile FedRAMP، سننتقل من الإستراتيجية إلى التنفيذ. سنتعمق أكثر في الإدارة الاستباقية للمخاطر، ونوضح لك كيفية تحقيق مراقبة مستمرة عالية الدقة من خلال الرؤية الكاملة والسياق الآلي.
