FedRAMP加速推进漏洞修复

联邦安全监管机构正在考虑要求主要云供应商在短短三天内解决关键网络安全漏洞——比当前FedRAMP指南快十倍。

更新的合规规则将适用于联邦风险管理授权计划（FedRAMP）中的软件供应商，这是政府为任何云服务设定安全基线的系统。更快的修复时间表反映了不断变化的威胁形势，自主AI对手正在立即大规模利用高影响漏洞。

三天修复关键漏洞非常快，将给安全团队带来巨大压力。也许这就是当前合规提案使用"应该"的原因：

“供应商应在检测到可信可利用漏洞后的三个日历日内，及时完全缓解或修复互联网可访问资源中的漏洞，“FedRAMP在其关于新漏洞规则的征求意见中说。

达到FedRAMP高级安全级别（该计划最严格的许可，有数百项严格的安全控制）的公司已经被期望在30天内修复关键漏洞。通过这次更新，任何FedRAMP授权组织将只有72小时来处理这些漏洞。这些变更将适用于旗舰安全计划的"FedRAMP 20x"改造，这是一项旨在简化FedRAMP流程的努力。

为什么这么急？FedRAMP计划经理只是试图阻止安全领导者享受三天周末吗？

代理AI对FedRAMP环境的压力

如果说有什么的话，新指南并没有推动软件供应商足够快地修复关键缺陷。这是因为AI技术正在使对手能够缩短利用软件漏洞所需的时间。

防御者可以"安全地"坐视关键软件漏洞数周而不修复的日子已经一去不复返了。这当然从来不是安全最佳实践——允许关键、可利用的漏洞在企业环境中未修补地存在，相当于数字上不锁家门并希望不被盗窃。当然，可能不会有人每天尝试门把手，但这是你愿意承担的风险吗？

生成式AI工具正在让攻击者日夜尝试所有门把手。在代理AI技术出现之前，零日漏洞公开披露与该漏洞实际利用之间的差距已经从几周缩短到几天。正如Mandiant报告的那样，这种"利用时间”（TTE）指标已从2018年的63天急剧下降到2023年的仅5天。到明年，我们可能会看到实际利用在漏洞细节公开后几小时内发生。

回到FedRAMP的三天期限：云安全计划的管理者显然已经注意到了这些漏洞趋势。新标准的目标是"通过考虑整个上下文而不仅仅是通用漏洞评分系统（CVSS）风险评分，优先处理实际可利用的弱点，并鼓励自动化漏洞管理，确保供应商及时检测和响应关键漏洞。”

FedRAMP已指出其拟议规则仍可能根据行业反馈而变化。但无论8月21日评论截止后发生什么，趋势已经很明显。利用时间正在加速。防御者需要加快速度。

Synack可以提供帮助。在使用Synack的FedRAMP中等授权渗透测试即服务平台（PTaaS）的第一年，客户将其修复关键漏洞的平均时间减少了50%。要了解Synack PTaaS如何帮助您的组织应对新的FedRAMP环境，请安排演示。

Allison Williams是Synack的公共部门副总裁。