Home / Resources / News and Trends / Industry News / 2021 / 实现cmmc的最高级别

INDUSTRY NEWS

实现CMMC的最高水平:41种更强网络防御的实践

Author: Uday Ali Pabrai, CISSP, CMMC PA, CMMC RP, HITRUST CCSFP, MSEE, Security+
Date Published: 23 August 2021

The achievement of higher levels of the US Department of Defense (DoD)’s Cybersecurity Maturity Model Certification (CMMC), 特别是成熟度级别4和5, 增强组织保护受控非机密信息(CUI)的能力,降低高级持续威胁(APTs)的风险.1, 2 那么,什么是APT呢? APT是一种对手,它拥有先进的专业知识水平和重要的资源,允许它通过使用多种攻击载体(如网络攻击)来实现其目标, 身体攻击和欺骗.

“网络攻击是用无声武器进行的, 在某些情况下, 那些武器是探测不到的,” Ron Ross, a computer scientist and fellow of the 美国国家标准与技术研究所(NIST), said. “因为你可能还没有‘感受到’下一次黑客攻击的直接影响, you may think it is coming someday down the road; but in reality, it’s happening right now…The adversaries are bringing their ‘A-game’ in these cyberattacks 24 hours a day, 7 days a week.”3

成熟度级别4需要26个特定的额外实践,成熟度级别5需要15个额外实践, 为每个组织评估和整合其安全计划以确保可信提供了有价值的参考, 先进的网络防御.

It is worth examining the enhanced capabilities that organizations must acquire to reduce the risk of being affected by APTs. 成熟度级别4需要26个特定的额外实践,成熟度级别5需要15个额外实践, 为每个组织评估和整合其安全计划以确保可信提供了有价值的参考, 先进的网络防御.

CMMC成熟度级别4:可度量的能力,主动性计划

The CMMC’s maturity levels serve to measure an organization’s process maturity or process institutionalization. 成熟度级别3需要实现3个过程. 过程制度化提供了额外的保证,与每个级别相关联的实践得到了有效的实施.

成熟度级别4要求组织检查和测量实践的有效性. 在这个级别上的组织也能够通知高级管理人员他们的安全计划的状态,并在必要时采取纠正措施.

In addition, 成熟度级别4侧重于保护CUI免受apt的影响,并包括NIST特别出版物(SP) 800-172(取代NIST SP 800-171B)和其他网络安全最佳实践的增强安全要求的子集.4 These practices enhance the detection and response capabilities of an organization to address and adapt to the changing tactics, APTs使用的技术和程序(TTPs).

CMMC成熟度级别4所需的实践

Maturity Level 4 introduces 26 new practices in addition to the 130 practices required for Maturity Level 3. 以下是特定于成熟度级别4的CMMC实践:5

  1. 控制连接系统上安全域之间的信息流动.4.023)
  2. 定期检查和更新CUI程序访问权限(AC.4.025)
  3. Restrict remote network access based on organizationally defined risk factors such as time of day, 访问的位置, physical location, 网络连接状态, 以及当前用户和角色的度量属性(AC.4.032)
  4. 使用一种功能来发现和识别具有特定组件属性的系统(e.g.,固件级别,操作系统类型)在您的库存(AM.4.226)
  5. 对审计日志进行自动化分析,以识别关键指标(TTPs)和/或组织定义的可疑活动(AU).4.053)
  6. 除了每分钟的活动外,审查审计信息.4.054)
  7. Provide awareness training focused on recognizing and responding to threats from social engineering, APT actors, breaches, and suspicious behaviors; update the training at least annually or when there are significant changes to the threat (AT.4.059)
  8. 在意识培训中包括与当前威胁场景相一致的实践练习,并向参与培训的个人提供反馈.4.060)
  9. Employ application whitelisting and an application vetting process for systems identified by the organization (CM.4.073)
  10. 使用攻击者战术的知识, 事故响应计划和执行的技术和程序.4.100)
  11. Establish and maintain a security operations center capability that features a 24/7 response capability (IR.4.101)
  12. 编目并定期更新威胁概要和对手ttp (RM.4.149)
  13. 利用威胁情报来通知系统和安全架构的发展, 安全解决方案的选择, monitoring, threat hunting, 以及响应和恢复活动(RM.4.150)
  14. 在组织的Internet网络边界和其他组织定义的边界(RM)上执行跨边界网络边界可用的未授权端口扫描.4.151)
  15. 根据需要开发和更新, 管理与IT供应链(RM)相关的供应链风险的计划.4.148)
  16. Create, maintain, 并利用安全策略和路线图来改进组织网络安全(CA.4.163)
  17. 定期进行渗透测试, 利用自动扫描工具和使用人类专家的临时测试(CA.4.164)
  18. Periodically perform red teaming against organizational assets in order to validate defensive capabilities (CA.4.227)
  19. 建立和维护网络威胁搜索能力,以搜索和检测组织系统中的妥协指标(IoC), track, 并扰乱逃避现有控制(SA)的威胁.4.171)
  20. 设计网络和系统安全功能来利用、集成和共享IoC (SA).4.173)
  21. 在系统和安全架构中使用物理和逻辑隔离技术和/或在组织认为适当的地方(SC).4.197)
  22. Isolate administration of organizationally defined high-value critical network infrastructure components and servers (SC.4.228)
  23. Utilize threat intelligence to proactively block DNS requests from reaching malicious domains (SC.4.199)
  24. 使用机制来分析可执行代码和脚本(e.g., sandbox) traversing Internet network boundaries or other organizationally defined boundaries (SC.4.202)
  25. 利用URL分类服务和实现技术,对未经组织批准的网站进行URL过滤(SC.4.229)
  26. 使用与被保护的信息和系统相关的威胁指示器信息,以及从外部组织获得的有效缓解信息,以通知入侵检测和威胁查找(SI).4.221)

CMMC成熟度级别5:优化能力,高级程序

Maturity Level 5 requires an organization to standardize and optimize process implementation throughout the entire enterprise, 跨越所有适用的组织单元. 这一层面的重点是保护CUI免受APTs的侵害. The additional practices increase the depth and sophistication of an organization’s cybersecurity capabilities.

CMMC成熟度级别5所需的实践

要达到成熟度5级,总共需要实施171个做法. This level introduces 15 additional practices beyond the 156 practices required for Maturity Level 4:6

  1. Identify and mitigate risk associated with unidentified wireless access points connected to the network (AC.5.024)
  2. Identify assets not reporting audit logs and assure appropriate organizationally defined systems are logging (AU.5.055)
  3. Verify the integrity and correctness of security critical or essential software as defined by the organization (e.g.、信任、正式验证或加密签名的根源)
  4. 以应对网络事件, 利用受影响系统的法医数据收集, 确保法医数据的安全传输和保护(IR.5.106)
  5. 结合使用手动和自动, 对匹配事件模式(IR)的异常活动的实时响应.5.102)
  6. 建立和维护一个网络事件响应小组,可以在24小时内在任何地点对问题进行物理或虚拟调查.5.108)
  7. Perform unannounced operational exercises to demonstrate technical and procedural responses (IR.5.110)
  8. Ensure information processing facilities meet organizationally defined 信息安全 continuity, redundancy, 和可用性要求(RE.5.140)
  9. Utilize an exception process for non-whitelisted software that includes mitigation techniques (RM.5.152)
  10. 至少每年分析安全解决方案的有效性,根据当前和积累的威胁情报(RM)解决系统和组织预计的风险.5.155)
  11. 配置监控系统来记录通过组织的Internet网络边界和其他组织定义边界(SC)的数据包.5.198)
  12. 执行端口和协议遵从性(SC.5.230)
  13. Employ organizationally defined and tailored boundary protections in addition to commercially available solutions (SC.5.208)
  14. 分析系统行为,以检测和减轻正常系统命令和脚本的执行,表明恶意行为(SI.5.222)
  15. Monitor individuals and system components on an ongoing basis for anomalous or suspicious behavior (SI.5.223)

CMMC的领域

CMMC由17个域组成, 其中大部分来源于美国联邦信息处理标准(FIPS)出版物200中与安全相关的部分,以及NIST SP 800-171中描述的相关安全系列.7 然而,还有3个剩余的领域是CMMC所独有的:8

  1. 资产管理(AM)
  2. Recovery (RE)
  3. 态势感知(SA)

这3个领域引入的功能包括:

  1. 资产管理领域
    • 标识和文档化资产
    • 管理资产库存
  2. Recovery Domain
    • Manage backups
    • 管理资讯保安的连续性
  3. 态势感知域  
    • 实现威胁监视

Conclusion

The CMMC’s maturity processes institutionalize cybersecurity activities to ensure that they are consistent, 可重复使用,质量高, 虽然其做法提供了5个成熟度级别的一系列缓解措施, 最终降低来自成熟度级别4和5的apt的风险.

Every organization must study the CMMC’s Maturity Levels 4 and 5 and their associated processes and practices. 这是可靠的、先进的网络防御的要素和要求.

Editor’s Note

The foundation of the CMMC is built in part upon ISACA’s own Capability Maturity Model Integration® (CMMI®). 要了解更多关于CMMI如何帮助您获得CMMC的信息,请访问 CMMI website.

Endnotes

1 卡内基梅隆大学, Pittsburgh, Pennsylvania, USA, 约翰霍普金斯大学应用物理实验室有限责任公司, Baltimore, Maryland, USA, 网络安全成熟度模型认证(CMMC)版本1.022020年3月18日,美国
2 美国国防部(DOD) DoD CUI Program
3 美国国家标准与技术研究所(NIST), “NIST提供工具帮助防御国家支持的黑客,” 美国,2021年2月2日
4 Ross, R.; V. Pillitteri; G. Guissanie; R. Wagner; R. Graubart; D. Bodeau; 保护受控非机密信息的增强安全要求:NIST特别出版物800-171的补充, NIST,美国,2021年2月
5 Ibid.
6Ibid
7 NIST和美国商务部, 联邦信息处理标准出版物(FIPS)出版物200:联邦信息和信息系统的最低安全要求, USA, March 2006
8 Office of the Under Secretary of Defense for Acquisition and Sustainment—Cybersecurity Maturity Model Certification, CMMC Appendices Version 1.022020年3月18日,美国

Uday Ali Pabrai, CMMC PA, CMMC RP, CISSP, HITRUST CCSFP, MSEE, Security+

首席执行官是 ecfirst, an Inc. 500 business. 他的职业生涯始于美国能源部的核研究设施, 费米国家加速器实验室. 他曾在纳斯达克公司担任副董事长和若干高级管理职务. Pabrai也是该组织的成员 InfraGard, a partnership between the US Federal Bureau of Investigation (FBI) and members of the private sector. 可以联系到他 Pabrai@ecfirst.com.

Quick Links

Resources

COBITISACA JournalPress ReleasesResources FAQs
见解和专业知识
News & Trends
框架、标准和模型