国防部新的网络安全成熟度模型认证要求与其合作的 300,000 家企业、大学和组织中的每一个都升级——否则就退出游戏
John Martin 的插图自第一卷以来, 2006 年,本出版物讲述了 F-35 联合攻击战斗机的故事,它经过反复试验,有时甚至是痛苦的错误,从大胆的设计发展到分布式制造供应链,最后成为全球服役的战机.该计划的总估计成本——所有在设计和执行方面来之不易的创新——估计为 1.5 万亿美元。据报道,F-35 的飞行费用为每小时 40,000 美元。这是纳税人的一大笔钱,但结果是一架独特灵活的战机。
但不像以前那么独特了。
2014 年,中国 de展示了自己的新型战斗机——J-31。 J-31 看起来非常熟悉。事实上,用负责采购和维持的国防部副部长办公室负责采购的首席信息安全官 (CISO) 凯蒂·阿灵顿 (Katie Arrington) 的话来说,J-31 几乎是 F-35 的“几乎一模一样的复制品”。 (翻页查看照片。)
值得一提的是,没有一架 F-35 失踪或在某些军事行动中被俘:没有人在黑暗或战斗的掩护下实际拍摄过一架 F-35对其进行逆向工程。飞机本身都已被查明。
因此,解释必须是由于网络安全漏洞(或者更可能是漏洞)导致相关数据外泄。 (“渗透”是一个常见的网络安全术语。它的意思是偷偷溜出去,而不是潜入渗透。)
这只是像中国这样的国际对手在信息社会中可以做的事情的一个明显例子e.
“网络攻击为对手提供了严重破坏或破坏关键基础设施和能力的低成本和不可否认的机会,”负责采办和维持的国防部副部长埃伦·罗德在 1 月份的新闻发布会上警告说。
她说,每年约有 6000 亿美元(约占全球国内生产总值的 1%)因网络盗窃而损失。
为什么国防工业基地 (DIB) 没有能够阻止外国对手的网络入侵?当然,主要制造商已经在网络安全项目上投入了数百万美元和数小时。那么,出了什么问题?
冷静的方法
美国国防部 (DoD) 认为它知道并做出了新的回应。
自 2019 年 3 月开始开发的网络安全成熟度模型认证 (CMMC) 计划是在 300,000 家企业、大学和组织中实施网络安全的统一标准国防部与之合作。
F-35 联合攻击战斗机是耗资约 1.5 万亿美元的艰苦设计和生产过程的产物。于 1 月发布,旨在确保受控非机密信息 (CUI ) 由任何 DIB 系统和网络使用和存储,防止未经授权的用户访问。
CMMC 管理的技巧是包罗万象,同时又不是“一刀切”的解决方案.国防部定义了五个不同级别的 CMMC 合规性,每个级别都有一组支持实践和流程。要达到给定级别,承包商不仅需要满足其指定标准,还需要满足低于该级别的任何级别的标准。
这是国防部对每个 CMMC 级别的总结:
- 第 1 级:基本网络安全
- 第 2 级:包括普遍接受的网络安全bersecurity 最佳实践
- 3 级:涵盖所有美国国家标准与技术研究院 (NIST) 800-171,rev 1 控制
- 4 级:高级和复杂的网络安全实践
- 第 5 级:高度先进的网络安全实践
从今年秋季开始,CMMC 合规性将成为国防部新合同的先决条件。
任何供应商存储或传输受控非机密信息 (CUI) 需要至少达到 3 级合规性,这已经是此类承包商的当前严格标准。
认证有效期为三年。
CISO Arrington 表示,开发 CMMC 是为了直接应对过去几年的网络安全故障。在由航空航天工业协会 (AIA) 和国防工业协会 (NDIA) 共同主办的网络安全会议上,她通过将新计划与之前已经发生和发生的错误进行对比,解释了新计划的内容。改变网络安全格局
一个很大的区别是,几乎每个与国防部有业务往来的组织都需要至少获得 1 级认证。
唯一的目前例外的是商用现成 (COTS) 产品的制造商。换句话说,如果作战人员使用市售座椅组件,飞机制造商可以从商业座椅制造商处订购座椅,而无需该供应商进行认证。
中国沉阳FC-31,又称J-31 ,被强烈怀疑从 F-35 制造供应链泄露的数据中获益。话虽如此,美国国防部甚至建议 COTS 供应商将实施 1 级安全控制作为良好的商业实践。并且有可能虽然国防部不要求它,但它的合同之一制造商可能无论如何都需要它们。
根据 Arrington 的说法,国防部的观点是,即使是供应链的最边缘也有最低水平的网络安全能力是合理的。
原因是外国对手知道他们可以期望顶级制造商拥有强大的网络安全计划,因此更愿意以下游供应商为目标。
阿灵顿以 F-35 为例:“你不认为那种情况下的首要任务 [Northrop Grumman] 非常努力地保持 F-35 信息的机密性吗?因为我可以告诉你,它的安全性很好。” (Prime 是主要承包商的简写。)
然而,外国对手“看看我们最脆弱的环节,通常在供应链中向下六、七、八级。他们耐心等待,”她说。 “一旦进入网络,他们就会慢慢提取数据。他们有能力从各种来源收集数据。”
这就是为什么每个 DIB 组织都需要达到最低级别 - 级别 1。
“级别 1 反映了我们无论如何都应该每天使用的基本网络卫生技能,”阿灵顿说。 “有人问我,‘女士,我为政府做景观美化工作。我应该获得 CMMC 认证吗?”实际上我的回答是,‘是的,我希望你至少达到 1 级’。”
目标不仅是一个新的证书,而且是一种新的文化,她说。
“五十年前,你可以走到制造车间和车床前,你可能会戴护目镜或眼镜,也可能不会。”然而,现在,如果没有护目镜和耳塞,你将不能上场。 “那是因为我们已将安全作为基础,”她说。 “我们现在需要确保我们在安全方面做同样的事情。”
换句话说,抵御 cy 的主要防御措施ber spy 并不是从 1960 年代电视剧“The Man from U.N.C.L.E.”中的角色中提取的反间谍。而是每个供应商的每个员工的基本安全能力。
不再自我证明
CMMC 的其他级别反映了超越 1 级“基本卫生”的网络安全实力。要达到第一个级别需要完成 17 个步骤,但到第 3 级时,组织将需要证明它可以满足这些步骤以及额外的 93 个步骤。
如前所述,第 3 级地图完全符合 NIST 800-171,rev 1——处理受控非机密信息 (CUI) 所需的 NIST 标准——但这是过去实践与 CMMC 所有级别之间的另一个重要区别:在此之前,组织被期望自我证明他们满足了 800-171 的要求。
Katie Arrington 是负责采办和维持的国防部副部长办公室负责采办的首席信息安全官,他在 1 月份在五角大楼举行的关于 CMMC 计划的新闻发布会上发表讲话。是的,国防部委托其承包方——通常简而言之,素数——评估他们自己和他们的供应商。
不再:CMMC 水平将由第三方审核员评估。
为此,一个名为网络安全成熟度模型认证认可委员会 (CMMC AB) 已经成立,并被国防部认可为负责资格、培训和认证 CMMC 第三方审核员 (C3PAO) 的独立组织。在开发培训并且 C3PAO 获得提供 CMMC 认证后,CMMC AB 将发布公开可用的 C3PAO 列表。此 C3PAO 列表发布后,寻求 CMMC 认证的组织可以直接联系 C3PAO。
这些组织可以 exp等人需要支付 3,000 到 5,000 美元才能完成 1 级认证流程,并且随着 CMMC 级别的提高,成本将逐渐增加。
并且 CMMC 认证不会是一次性事件,而是而是一个经常性的更新要求。但是,它在国防部的合同中被归类为“允许的成本”。
对第三方审计员的依赖有几件重要的事情。
过去, DoD 合同的条款规定合同主要负责确保满足 NIST CUI 安全标准。这意味着 prime 不仅要掌控自己的网络安全,还要掌控供应商的网络安全。将负担推给第三方可以减轻质数的负担。总理的任务变成了寻找具有适当认证级别的供应商,具体来说,供应商的任务是什么——而不是进行尽职调查以确保供应r达到了那个水平。
第三方审核也给出了更客观的评估。即使是最善意的组织也会受到内部偏见的影响。
“我们需要信任,但也需要验证,”阿灵顿说。 “因为如果我们真的总是按照标准要求做所有事情,我们的对手就不会驾驶看起来像我们的飞机。”
小型企业的优势
CMMC系统旨在让供应商(包括较小的下游供应商)更容易了解他们在网络安全方面的期望。
直到现在,连同 NIST 800-171 认证,供应商可以被要求遵守一系列其他网络安全计划,无论是来自 ISO、AIA 还是个别国家和公司。这是一个需要学习和实施的非常密集的实践拼凑而成。
对于较小的公司来说,驾驭这些实践的时间和成本可能令人望而却步。这CMMC 由编码级别组成,并根据最佳实践发展而来,并以 NIST 800-171 修订版 1 为中心级别,消除了任何给定公司可能需要了解的内容中的许多歧义。
“如果一个 DoD 程序有 CUI,你会立即认为第一级必须是 CMMC 3 级。但随后将该信息向下传递给 prime 的供应商是非常重要的,”Arrington 说。 “我们不应该给没有准备好或不期望获得 CUI 的小企业增加负担。如果他们不接触受控的非机密信息,他们只需要处于 1 级。”
第三方评估也将使较小的公司受益。
“人们问我, 'CMMC 会阻止小企业公平竞争和工作吗?' 恰恰相反,”她说。
阿灵顿提供了这个例子:想象一下两个小企业竞标国防部的工作。他们的 ne 上都有 CUI工作,所以他们都曾经自我证明他们正在执行国防联邦采购法规补充 (DFARS) 条款 252.204.7012 所要求的 110 项控制措施。
“公司 A 可能实际上只执行了 80这些控制措施,以及执行其他 30 个他们尚未实施的行动计划。同时,B公司实际上在做所有110控制。在这种情况下,A 公司的费率通常会更低,因为他们没有进行额外的 30 项控制,”她说。但是因为两家公司都在自我证明他们的合规性,所以他们都在竞争合同。但是一个人——不诚实的人——更有可能获得合同。
“CMMC 将改变这一点,”她断言。 “我们需要确保我们的行业合作伙伴准备好承担这项工作,而第三方审计员将确保他们正在实施我们需要的做法,以确保国家安全。国防和我们的工业基地。”
紧迫感
当您阅读本文时,CMMC 计划已计划成为新国防部合同的一部分。但是 COVID-19 可能已经放慢了进度。
国防工业协会战略项目首席主管 Corbin Evans 在 5 月的 NDIA 网络研讨会上告诉与会者 CMMC 进展,CMMC 要求进入DoD 合同,需要首先更改相关的 DFARS 规则。问题在于,此类规则更改必须在决定之前包括公开听证会。他说,保持社交距离的要求使公开听证会出现问题。
尽管存在这种阻碍,CMMC AB 仍在推进招募和培训这些 C3PAO 的计划。
Evans 和 Arrington 都建议组织现在就开始为实施 CMMC 做好准备。
第一步是查看 CMMC 网站上的常见问题解答:https://www.acq.osd.mil/cmmc/faq.html。
Arrington 说,虽然国防部一直在努力确保细节正确无误,但她希望公司也能感受到紧迫感,因为虽然网络安全得到改善,网络攻击者的能力也是如此。
例如,她警告说,量子计算——其强大到足以破解标准加密——已经在开发中,而 5G 将在短短几年内变得更加普遍.
“我们的对手很有耐心,可以慢慢地从毫无准备的供应商那里窃取数据。有了 5G,他们就不必再慢了,”Arrington 说。 “1 PB 的数据相当于 Facebook 上的 3000 万张图片。下载 3000 万张图片 [通常] 需要很长时间。使用5G,不到五分钟。五年后,对手将不必担心标准加密。他们可以以光速从你身上拿走东西。”
现在是采取预防措施的时候了,她说。
