准备对网络安全成熟度模型认证进行猛烈攻击

对于国防工业基地(DIB),国防部(国防部)网络安全成熟度模型认证(CMMC) 合规要求 是2021年的热门新闻话题。实际上,在整个DIB市场中,至少在2025年之前,CMMC合规性仍将是重点。

网络安全成熟度模型认证

但是,从长远来看,许多组织都希望了解CMMC将在DIB之外产生的潜在影响。 1月21日,美国国防部CISO巧妙地宣布,她的代理机构正在与国土安全部(国土安全部 )在其合同中实施CMMC。换句话说,与其他代理机构签约的公司开始问:“我如何高效,经济地遵守法规?”答案应该包括寻找NIST 800-170,加强其系统,以及自动遵守STIG。

代理商为什么要跳上网络安全成熟度模型认证?

简而言之,CMMC提供了第一个联邦合规性要求,旨在创建明确的网络安全标准。

真实的故事要长一点。

与国防部或任何联邦机构签约的任何公司都必须已经满足各种合规性要求。有ITAR,DFARS,FAR,NIST 800-171,NIST 800-53,NIST网络安全框架(脑脊液)和CERT弹性管理模型。将所有这些合规性标准交叉映射是耗时,繁琐,昂贵且具有挑战性的。 CMMC从所有这些方面汲取了灵感,创建了一套要求,每个DIB成员都可以使用这些要求来证明其网络安全状况。

在DIB之外,想要与代理商合作的云计算公司需要获得 FedRAMP批准。同样,这是另一个耗时,繁琐,昂贵且具有挑战性的合规性要求。同样,FedRAMP从CMMC使用的相同标准中提取了许多合规性要求。此外,五角大楼在2020年8月表示,获得FedRAMP认证的组织将获得CMMC的对等授权。

尽管尚未正式确定,但减少重复合规活动及其相关成本的需求是合理的。

建立CMMC所花费的时间,精力和金钱意味着,其他需要保护其供应链的代理商可以利用已完成的工作更快,更好地获得投资回报。毕竟,正如古老的谚语所说:“如果没有破裂,就不要修复它。”再说一次,在这一点上,没有人知道CMMC是否损坏。

这对与其他代理机构合作的公司意味着什么?

尽管有关于官僚主义繁文tape节的笑话,但现实是,大多数机构缺乏充分控制其供应链所需的资源和资金。这个痛点推动了CMMC的要求,即灌注必须监视其潜艇,而这些潜艇也应监视其潜艇。对于已经满足其他隐私或安全合规性要求的公司(例如欧盟)来说,这种下降趋势可能并不新鲜 GDPR 或纽约金融服务部(纽约DFS)网络安全规则。对于直接与代理机构合作的组织,此责任模型可能会引起关注。

从根本上讲,此模型创建了两个新要求。公司需要提高自身的网络安全成熟度,但也需要使自己的供应链成熟以使其网络安全成熟。供应链管理会影响公司履行合同义务的能力。

首先,符合这些要求的公司需要完善其网络安全性。 DIB供应链中的对话已经估计,要达到这一标准,整个行业的成本为65亿美元。现在,与与国防部签约的代理机构合作的任何公司都需要应用相同的合规性要求。拥有DHS合同并适用于DHS与国防部的合同的公司创建了一条全新的供应链,需要加快其网络安全成熟度。到目前为止,还没有人知道这涉及多少供应商。但是,现在是时候开始弄清楚这一点了。

其次,公司需要找到解决方案来帮助他们监控分包商。如果分包商不符合适当的CMMC级别合规性,则公司将不再维持这种关系。考虑以下情形:公司A生产需要分包商1的服务的软件。分包商1不符合CMMC合规性要求。公司A需要替换分包商1并找到合格的分包商。在公司A找到新的合规分包商之前,它不能再竞标合同。

CMMC对与希望采用CMMC作为通用网络安全成熟度标准的政府机构签约的组织造成的最大问题是他们的供应流。

获得可见性并获得合规

组织可以更快地使其合规的一种方法是自动执行《安全技术实施指南》(STIG)的合规性。 CMMC中的交叉引用和交叉映射可以追溯到NIST 800-128,最终为组织提供了一种更快的获取合规性的方法。

前往STIG

在所有不同的NIST要求之间映射了引用之后,互连性如下所示:

  • CMMC对NIST 800-171进行了数百次引用。 NIST 800-171对NIST 800-128进行了7次引用。
  • CMMC对NIST 800-53进行了数百次引用。 NIST 800-53对NIST 800-128进行了76次引用。
  • 国家标准技术研究所 800-128对CMMC评估指南(共3级)进行了5次引用
  • 国家标准技术研究所 800-128直接通向NIST 800-70

国家标准技术研究所 800-128和NIST 800-70对STIG的引用对于需要快速合规的组织真正突出:

  • 国家标准技术研究所 800-128对STIG进行了9次引用
  • 国家标准技术研究所 800-70对STIG进行了4次引用

利用STIG满足CMMC的要求

国家标准技术研究所 800-70 “国家IT产品清单程序 –清单用户和开发人员指南》解释说,安全配置清单提供了一系列强化或基准化IT产品配置的说明。 NIST将STIG指定为批准的清单之一。

组织使用清单来增强其安全状态,最终导致增强他们的安全性。 网络安全成熟度。他们使用清单的另一种方法是证明对其安全状况的管理。当遵守清单时,组织通常会记录其评论,例外和更新。本文档充当审核跟踪。

在功能上,DIB成员和需要满足CMMC合规性要求的其他成员可以利用STIG来加速其NIST 800-171和800-53策略。许多公司在设置STIG时发现合规性可能会破坏其系统,使它们无法正常运行。此外,STIG每90天更新一次。符合STIG可能会确保公司安全,但会带来成本,例如停机造成的生产力损失或手动更新带来的运营成本。

自动化STIGS:更快,更省钱地使CMMC兼容

自动化为公司提供了一种使STIG增值的方法。检查表被认为是保护数据的最佳实践,它们与CMMC的连接表明,记录STIG遵从性可以简化流程。另外,当使用正确的技术使STIG自动化时,组织会创建一个审计跟踪,以减少合规成本。

网络安全成熟度模型认证将继续存在,并且,有了它,DIB成员需要尽快做好准备。非DIM成员必须开始观察来自国防部和其他机构的信号。当国防部将CMMC应用于与其他机构的合同时,这些机构可能会开始在其自己的供应链中开始实施CMMC。归根结底,想要在任何级别上竞标美国联邦机构合同的组织的目标应该是早日合规,并且以经济有效的方式寻求合规。

分享这个