Киберугрозы против США и Министерства обороны (DoD) вполне реальны, и связанные с сертификацией модели зрелости кибербезопасности (CMMC) усилия, осуществлённые ранее в этом году, предпринимаются для снижения рисков, которые влияют на DoD и его подрядчиков, рассуждает Майк Рэймонд, федеральный менеджер по продажам компании Ordr.
CMMC призвана помочь организациям установить низкие показатели соответствия NIST 800-171 – стандарту, написанному для защиты контролируемой несекретной информации (CUI), – и станет требованием, разработанным для того, чтобы только предприятия с действующей сертификацией могли участвовать в торгах и выигрывать контракты с правительством США. CMMC – это многоуровневая модель, потенциально способная повлиять на любой бизнес в оборонно-промышленной базе (DIB).
Подрядчики Минобороны скоро будут оцениваться именно по этой модели зрелости, которая содержит семнадцать областей возможностей, каждая из которых охватывает отдельную область безопасности, встроенную в цепочку поставок DoD.
Модель была создана, чтобы помочь организациям понять сложность и широту достижения истинного состояния безопасности и смягчить проблемы безопасности, которые преследовали подрядчиков в прошлом.
Современные эксплойты (средства проникновения – прим. пер.) и атаки обычно в какой-то момент проходят через IT/OT-инфраструктуры, поскольку в наши дни всё «связано». (ОТ здесь – операционная технология: хард и софт, определяющие причины изменений – прим. пер.). Это означает, что без видимости и подотчётности IoT вся сеть потенциально находится под угрозой, и аудиторы CMMC хорошо осведомлены об этом факте.
Хорошая новость – в том, что большинство доменов модели применимо к сетевым устройствам IoT, например, для обнаружения активов, обнаружения угроз и реагирования на инциденты. Это часть любого интеллектуального и комплексного пакета реагирования, а защита Интернета вещей и других подключённых устройств является неотъемлемой частью требований CMMC.
Домены возможностей, описанные в CMMC (версия 1), очень широки и включают в себя всё: от физической безопасности и безопасности персонала до управления активами и любого другого применимого контроля безопасности, о котором может думать правительство.
Поскольку CMMC охватывает большую территорию, очень важно, чтобы любая организация, желающая конкурировать и выигрывать прибыльные контракты, прислушивалась к призыву и учитывала свои уязвимости в безопасности IoT/OT, а также другие средства контроля и программы безопасности.
Ниже приведены пять основных шагов и соображений от Майка Рэймонда, которые могут, по его мнению, помочь организациям встать на правильный путь к достижению соответствия требованиям CMMC, особенно в отношении сетевых устройств IoT/OT, и обеспечить упреждающую подотчётность правительству.
1) Видимость – важный первый шаг.
Вы не можете защитить то, чего не видите, и не можете защитить предприятие, если не знаете все устройства в своей сети. А поскольку встроенные устройства IoT/ICS часто не поддерживают агентов и могут быть не видны IT -командам или инструментам, невозможно определить приоритеты рисков, выявить активные угрозы, уже существующие в среде, или доказать, что система безопасности достаточно сильна и выполняет свои функции.
2) Понять поведение устройства.
CMMC фокусируется на создании более сильной позиции в области кибербезопасности у подрядчиков цепочки поставок Министерства обороны США, требуя от организаций подробного описания того, как они выстроили сильный общий подход к защите всех подключённых к сети устройств. Одной из составляющих надёжной системы безопасности является обеспечение того, чтобы все устройства обменивались данными с Интернетом только в соответствии с назначением, путём сопоставления шаблонов связи и определения базового поведения устройства.
3) Выявить уязвимости.
Основные требования CMMC сосредоточены на выявлении и устранении уязвимостей на всех устройствах и компонентах инфраструктуры. Для сетей с устройствами IoT/OT это может означать распространённые уязвимости, неисправные устройства или наличие неавторизованных портов или мошеннических приложений.
CMMC требует способности обнаруживать уязвимости и приоритизировать их, поэтому необходимо понимать профиль риска для этих устройств и выявлять аномальное поведение, например, соединение несанкционированного или заражённого устройства с плохим доменом.
4) Используйте аналитику.
Угрозы Интернета вещей и устройств отличаются от угроз, нацеленных на устаревшие IТ-системы и конечные точки. Из-за этого пробела в безопасности организации может потребоваться включить IoT и аналитику с учётом устройств, чтобы обнаружить ненормальное поведение машины, которое может помочь идентифицировать атаку.
Расширенная аналитика также даёт организациям представление об использовании устройств для принятия решений по бюджету и обслуживанию, что позволяет лучше управлять капитальными ресурсами.
5) Подготовка к аудитам.
Как и любое другое федеральное требование сертификации, третья сторона будет проверять соответствие организаций, включая устройства IoT, средства контроля безопасности устройств и инвентаризацию активов. Чтобы свести к минимуму время и затраты, крайне важно иметь точную инвентаризацию и полную видимость каждого актива, включая устройства IoT, до проведения аудита.
Автоматизация важна для обеспечения точности, непрерывности и актуальности вашей программы соответствия CMMC. Благодаря автоматизации, организации, которым необходимо соответствовать требованиям CMMC, могут быстро обнаруживать и классифицировать каждое устройство, подключённое к сети. Они также могут легко понять функции и поведение устройств и разработать эффективные политики сегментации для защиты всех этих устройств. Автоматизация исключает человеческую ошибку, что приводит к более совершенным операционным процессам по добавлению, перемещению и изменениям устройств Интернета вещей.