首页。 / 资源 / 新闻及趋势 / 澳门赌场官方软件 / 2021 / 达到cmmc的最高水平

实现CMMC的最高水平:41种强化网络防御的实践

Uday Ali Pabrai
作者: Uday Ali Pabrai, CISSP, CMMC PA, CMMC PI, CMMC RP, HITRUST CCSFP, Security+
发表日期: 2021年8月23日

获得美国国防部(DoD)网络安全成熟度模型认证(CMMC)的更高级别, 特别是4级和5级成熟度, 增强组织保护受控非机密信息(CUI)的能力,并降低高级持续性威胁(apt)的风险。.1, 2 那么,APT到底是什么呢? APT是一个拥有复杂专业知识和大量资源的对手,可以通过使用多种攻击媒介(如网络攻击)来实现其目标, 身体攻击和欺骗.

“网络攻击是用无声武器进行的, 在某些情况下, 那些武器是探测不到的,罗恩·罗斯, 计算机科学家,美国国家标准与技术研究院(NIST)研究员, 说. “因为你可能还没有‘感受到’下一次黑客攻击的直接影响, you may think it is coming someday down the road; but in reality, 它正在发生……对手们每天24小时都在进行网络攻击, 一周7天.”3

成熟度级别4需要26个特定的额外实践,成熟度级别5需要15个额外实践, 为每个组织提供有价值的参考,以评估和整合其安全计划,以确保其可靠性, 先进的网络防御.

有必要检查组织必须获得的增强功能,以降低受apt影响的风险. 成熟度级别4需要26个特定的额外实践,成熟度级别5需要15个额外实践, 为每个组织提供有价值的参考,以评估和整合其安全计划,以确保其可靠性, 先进的网络防御.

CMMC成熟度级别4:测量能力,主动计划

CMMC的成熟度级别用于度量组织的过程成熟度或过程制度化. 成熟度级别3要求实现3个过程. 过程制度化提供了额外的保证,确保与每个级别相关的实践都得到了有效的实现.

成熟度级别4要求组织审查和度量实践的有效性. 该级别的组织还能够定期向高级管理层通报其安全计划的状态,并在必要时采取纠正措施.

除了, 成熟度级别4侧重于保护CUI免受apt攻击,并包含NIST特别出版物(SP) 800-172(取代NIST SP 800-171B)和其他网络安全最佳实践中增强的安全需求的子集.4 这些实践增强了组织处理和适应不断变化的策略的检测和响应能力, apt使用的技术和程序(TTPs).

CMMC成熟度第4级所需的实践

除了成熟度级别3所需的130个实践之外,成熟度级别4引入了26个新的实践. 以下是针对成熟度等级4的CMMC实践:5

  1. 控制连接系统(AC)上安全域之间的信息流.4.023)
  2. 定期审查和更新CUI程序访问权限(AC).4.025)
  3. 根据组织定义的风险因素(如一天中的时间)限制远程网络访问, 通道位置, 物理位置, 网络连接状态, 以及当前用户和角色(AC)的度量属性.4.032)
  4. 使用一种功能来发现和识别具有特定组件属性的系统.g.,固件级别,操作系统类型)在您的库存(AM.4.226)
  5. 自动分析审计日志,以识别关键指标(TTPs)和/或组织定义的可疑活动(AU)并对其采取行动.4.053)
  6. 除了每分钟活动(AU)外,还审查广泛活动的审计信息.4.054)
  7. 提供关注于识别和响应来自社会工程的威胁的意识培训, 恰当的演员, 违反, and suspicious behaviors; update the training at least annually or when there are significant changes to the threat (AT.4.059)
  8. 在意识培训中包括与当前威胁情景相一致的实践练习,并向参与培训的个人提供反馈(AT).4.060)
  9. 为组织(CM)识别的系统采用应用程序白名单和应用程序审查过程.4.073)
  10. 使用攻击者战术的知识, 事件应变计划及执行的技术及程序.4.100)
  11. 建立和维护一个具有24/7响应能力(IR)的安全运营中心.4.101)
  12. 编目并定期更新威胁配置文件和对手http (RM).4.149)
  13. 利用威胁情报为系统和安全架构的发展提供信息, 安全解决方案的选择, 监控, 威胁狩猎, 响应和恢复活动(RM).4.150)
  14. 通过组织的Internet网络边界和其他组织定义的边界(RM),对跨外围网络边界可用的未授权端口执行扫描.4.151)
  15. 根据需要进行开发和更新, 管理与IT供应链(RM)相关的供应链风险的计划.4.148)
  16. 创建, 维护, 并利用安全战略和组织网络安全改进路线图(CA).4.163)
  17. 定期进行渗透测试, 利用自动扫描工具和使用人工专家(CA)的临时测试.4.164)
  18. 定期对组织资产执行红队,以验证防御能力(CA).4.227)
  19. 建立并维护网络威胁搜索能力,以在组织系统中搜索并检测入侵指标(IoC), track, 并破坏逃避现有控制的威胁(SA.4.171)
  20. 设计网络和系统安全功能以利用、集成和共享IoC (SA).4.173)
  21. 在系统和安全架构和/或组织认为适当的地方采用物理和逻辑隔离技术(SC).4.197)
  22. 隔离组织定义的高价值关键网络基础设施组件和服务器(SC)的管理.4.228)
  23. 利用威胁情报主动阻止DNS请求到达恶意域(SC).4.199)
  24. 使用机制来分析可执行代码和脚本(例如.g.,沙盒)穿越互联网网络边界或其他组织定义的边界(SC.4.202)
  25. 利用URL分类服务和实现技术来强制对未经组织(SC)批准的网站进行URL过滤.4.229)
  26. 使用与受保护的信息和系统相关的威胁指示信息,以及从外部组织获得的有效缓解措施,为入侵检测和威胁搜索(SI)提供信息.4.221)

CMMC成熟度等级5:优化能力,高级程序

成熟度级别5要求组织在整个澳门赌场官方下载中标准化和优化过程实现, 跨越所有适用的组织单位. 该级别侧重于保护CUI免受apt攻击. 额外的实践增加了组织网络安全能力的深度和复杂性.

CMMC成熟度等级5所需的实践

为了达到成熟度级别5,总共需要实现171个实践. 此级别在成熟度级别4所需的156个实践之外引入了15个额外的实践:6

  1. 识别并降低与连接到网络(AC)的未识别无线接入点相关的风险.5.024)
  2. 识别不报告审计日志的资产,并确保适当的组织定义的系统正在进行日志记录(AU).5.055)
  3. 验证组织定义的安全关键或必要软件的完整性和正确性(e).g.信任的根、形式验证或加密签名)
  4. 为了应对网络事件, 利用跨受影响系统的取证数据收集, 确保安全传输和保护法医数据(IR).5.106)
  5. 使用手动和自动的组合, 对与事件模式(IR)匹配的异常活动的实时响应.5.102)
  6. 建立并维护一个网络事件响应团队,该团队可以在24小时内在任何地点进行物理或虚拟调查.5.108)
  7. 执行未经宣布的操作演习,以演示技术和程序反应(IR).5.110)
  8. 确保信息处理设施符合组织定义的信息安全连续性, 冗余, 和可用性需求(RE).5.140)
  9. 对非白名单软件使用包含缓解技术(RM)的异常流程.5.152)
  10. 根据当前和累积的威胁情报(RM),至少每年分析一次安全解决方案的有效性,以解决系统和组织可能面临的风险.5.155)
  11. 配置监控系统,记录通过组织的Internet网络边界和其他组织定义的边界(SC)的数据包.5.198)
  12. 强制端口和协议遵从性(SC).5.230)
  13. 除了商业上可用的解决方案(SC)外,还采用组织定义和定制的边界保护.5.208)
  14. 分析系统行为,以检测和减轻指示恶意操作(SI)的正常系统命令和脚本的执行.5.222)
  15. 监控个人和系统组件的异常或可疑行为(SI).5.223)

CMMC的域

CMMC由17个域组成, 其中大部分源自美国联邦信息处理标准(FIPS)第200版中与安全相关的部分以及NIST SP 800-171中描述的相关安全系列.7 然而,还有3个领域是CMMC独有的:8

  1. 资产管理(AM)
  2. 恢复(RE)
  3. 态势感知(SA)

这3个域引入的功能包括:

  1. 资产管理领域
    • 识别和记录资产
    • 管理资产盘点
  2. 复苏的领域
    • 管理备份
    • 管理资讯保安的连续性
  3. 态势感知领域  
    • 实施威胁监控

结论

CMMC的成熟度过程将网络安全活动制度化,以确保它们是一致的, 可重复,高质量, 虽然其实践提供了跨越5个成熟度级别的一系列缓解措施, 最终降低4级和5级成熟度apt的风险.

每个组织都必须学习CMMC的成熟度等级4和5,以及它们相关的过程和实践. 这些都是可靠的、先进的网络防御的要素和要求.

编者按

CMMC的基础部分建立在ISACA自己的能力成熟度模型集成之上® (CMMI®). 要了解更多关于CMMI如何帮助您获得CMMC,请访问 CMMI的网站.

尾注

1 卡耐基梅隆大学, 匹兹堡, 宾西法尼亚, 美国, 约翰霍普金斯大学应用物理实验室有限责任公司, 巴尔的摩, 马里兰, 美国, 网络安全成熟度模型认证(CMMC.022020年3月18日,美国
2 美国国防部(DOD) 国防部崔程序
3 美国国家标准与技术研究院(NIST) “NIST提供工具帮助防御国家资助的黑客,” 美国,2021年2月2日
4 罗斯,R.; V. Pillitteri; G. Guissanie; R. Wagner; R. Graubart; D. Bodeau; 保护受控非机密信息的增强安全要求:NIST特别出版物800-171的补充, NIST, 美国, 2021年2月
5 同前.
6同前
7 NIST和美国商务部, 联邦信息处理标准出版物(FIPS)出版物200:联邦信息和信息系统的最低安全要求2006年3月,美国
8 负责采办和维持的国防部副部长办公室——网络安全成熟度模型认证, CMMC附录 版本1.022020年3月18日,美国

Uday Ali Pabrai, CMMC PA, CMMC RP, CISSP, HITRUST CCSFP, MSEE, Security+

首席执行官是 ecfirst,一家公司. 500年业务. 他的职业生涯始于美国能源部的核研究机构, 费米国家加速器实验室. 他曾担任纳斯达克(nasdaq)公司的副董事长和多个高级管理职位. Pabrai也是 InfraGard, 美国联邦调查局(FBI)与私营部门成员之间的伙伴关系. 可以联系到他 Pabrai@ecfirst.com.