今年年初,美国国防部 (DoD) 发布了网络安全成熟度模型认证 (CMMC) 1.0 版——这是一项备受期待的统一标准,旨在确保该机构庞大的供应链安全。 例如,当与其他国家紧张局势加剧时,许多人担心报复不仅会通过网络空间进行,还会通过“潜在的脆弱国防承包商”进行。
CMMC 在过去五年内陆续推出,旨在减少(如果不能消除的话)此类漏洞并应对重大的国家安全挑战。 国防工业基础(DIB)包括超过30万家公司,此前对这些公司的监管明显不足。 这些公司在自己的系统上访问和存储敏感的国防信息。 CMMC 代表着保护这些信息的重要一步。
尽管有长期利益,CMMC 可能会给许多承包商带来短期混乱。 根据承包商的工作情况,他们必须满足五个新的安全级别之一。 然而,改善安全态势的起点大致相同。
对于那些希望在 CMMC 之后快速了解安全最佳实践的人来说,强调持续安全的美国国家标准与技术研究院 ( NIST ) 网络安全框架是一个很好的起点。 NIST 框架分为五个部分或功能:识别、保护、检测、响应和恢复。
第一个桶当然是基础。 为了识别威胁,公司首先必须能够识别其自身系统的广度,这在 BYOD 和影子 IT 时代可能具有挑战性。 如果您不完全了解您的员工、资产和数据,就无法确保系统的安全。 不过,从以应用程序为中心的可视化到SSL 可见性,有许多工具可以帮助实现这种可见性。 后者解密并重新加密流量以确保其不包含恶意软件。
只有全面了解系统和数据,公司才能采取必要的保护措施,例如防范常见的网络漏洞、恶意 IP 和协同攻击类型。 访问权限管理(例如单点登录、安全 VDI 和特权用户访问)提供了一种防止不良行为者的方法。 简而言之,联邦政府需要能够验证承包商的身份是否属实,并相应地授予适当级别的访问权限。
但保安并不能止步于门口。 即使在用户通过身份验证后,公司仍必须继续监控和记录他们的活动,以完成 NIST 框架的第三个组成部分:快速检测。 为此,可以使用行为分析、人工智能和机器学习来分析流量并标记危险或异常行为。
如果没有这前三个步骤,最后两个步骤——制定响应计划和恢复受影响系统和资产的计划——几乎不可能实现。 当然,CMMC 的目标是让最后这两个步骤变得罕见。 通过持续监控,目标是完全防止国防部承包商和分包商受到损害。
短期内,国防部供应链中的公司应该投资于支持可视性、保护性和快速检测的技术。 这将奠定认证和安全所需的基础。 尽管许多承包商可能发现 CMMC 的前景令人望而生畏,但事实是,这是对多年忽视的必要回应。
不过,重要的是,这种新的安全级别不会排挤在供应链中同样发挥着关键作用的小分包商。 好消息是,国防部估计大多数承包商只需要一级认证,该认证以基本的网络卫生为中心。 即使公司不访问敏感的政府数据,他们也应该实施这些最佳实践。 对于国防工业基地的人来说,防护和检测的时间就是昨天。