国防工业基地 (DIB) 的现有和潜在成员公司饶有兴趣地关注着美国国防部 (DoD) 制定的包罗万象的网络安全成熟度模型认证 (CMMC) 计划。国防部于 2020 年底开始实施 CMMC。该计划旨在确保任何 DIB 系统和网络使用和存储的受控非机密信息 (CUI) 都受到保护,不会被未经授权的用户访问。
David Rampton,供应链管理咨询公司 Aerofied 副总裁
大多数国防供应商已经从广义上了解 CMMC 与以前的网络安全计划有何不同:CMMC 定义了五个级别的合规性,每个级别都有一组支持实践和流程。为达到特定级别,每个承包商必须满足特定级别的实践和流程n 该级别及其以下级别。他们是否达到特定水平将不会像过去那样基于自我评估。相反,一个名为网络安全成熟度模型认证认可委员会 (CMMC AB) 的非营利组织已经成立,并被国防部认可为负责资格、培训和认证 CMMC 第三方审核员 (C3PAO) 的独立组织。
这些信息足以让最稳重的供应链领导者感到担忧,他们正在争先恐后地了解这些新期望的细节以及如何最好地准备满足这些期望。 12 月,Smart Manufacturing 举办了一场集体智慧圆桌会议来提供帮助。可以在 /cmmc 上观看该视频。专家们强调了几点:
You have to put the time in
“我认为我们称 CMMC 为‘成熟度模型’很有趣。有一个与时间相关的函数有了那个,”小组主持人大卫兰普顿说,VP 在供应链管理咨询公司 Aerofied 工作。
“据我所知,不可能通过拨动开关,就世界上所有的钱,来表现出成熟,”他说。 “您可能拥有出色的资源供您使用,您可能有一个非常健全的计划,但如果没有经过一段时间来实际展示成熟度,”很难说您已经达到了给定的水平。
咨询公司 Totem Tech 的网络安全负责人 Adam Austin 对此表示同意,并补充警告说,达到 CMMC 第三级(与 CUI 合作所需的最低级别)所需的时间投入可能会使达到标准所需的工作时间相形见绌,例如AS9001质量管理标准。供应商需要投入的时间与 CMMC 第三方评估可能花费的时间比 AS9001 评估要长得多。
“预计 CMMC 评估将花费更多时间更激烈的您的平均 ISO 9001 审核,”他说。 “事实上,国防部估计,即使是小型企业,四名评估员也需要数百小时来执行评估。您可以将其与一两个人为小型企业执行 ISO 9001 审核所花费的 [仅仅] 几十个小时进行比较。”
咨询公司 Totem Tech 的网络安全负责人 Adam Austin
值得记住的是,这些评估不会由供应商自己的员工或为此选择和聘用的顾问进行。它们将由真正的第三方评估员制定,他们来到公司时没有事先的假设或偏见,而且他们将是彻底的,Austin 警告说:
“C3PAO 有三种方法,他们可以而且将会从中选择以评估您组织的网络安全成熟度状态。他们他们可以采访你的员工,他们可以检查系统和文件,他们可以实际测试程序和网络安全执行机制。我们实际上可以期望评估人员执行所有这三种方法。
“例如,他们可能会要求,而且他们有权要求在您的网络中创建一个临时用户帐户,”创造机会与系统管理员面谈并确定他们对帐户创建程序的了解。然后他们可以自己检查这些程序。
“他们会采访然后检查。他们实际上可能会测试保护措施是否到位,”他说。评估员有权不相信系统管理员的话。
结果:不要等待。
工业 4.0 不会“解决”CMMC
智能工厂环境为网络安全挑战增添了新因素。工业 4.0 的速度和效率由网络实现从事数字通信工作,从车间设备到最高管理层,然后再返回。这就是它的力量。但从网络安全的角度来看,网络链的每个环节都可能是安全可能被破坏的地方,网络安全咨询公司 NaviSec 的总裁肖恩诺布尔斯说。
系统的边缘,互联网连接进入设施的地方,”他说。 “现在有多个层次。”
Nobles 承认,为防止入侵而开发的高速人工智能数字系统可能会在某种程度上平衡恶作剧目标的增加。但是,如果产品被用作发展企业范围的安全文化的替代品,那么依赖产品(任何产品)都会存在危险。
“面对新兴的智能工厂技术,这些技术正在出来了,那里也有供应商”声称他们拥有“能够涵盖任何可能出现的新兴用例”的数字解决方案,他说。当心,他说,“当安全供应商出来说我们是运营技术网络所需的唯一解决方案时。”
Sean Nobles,网络安全咨询公司 NaviSec 总裁
Nobles 强调这一点:购买产品不能保证符合 CMMC。他说,这样的产品肯定可以帮助系统变得更加安全,但它并不能取代安全心态:
“最终可能发生的是,一家公司认为他们比他们是因为他们拥有这种下一代机器学习、人工智能类型的解决方案,这应该是他们需要购买的最后一个网络安全解决方案。那可能很危险如果公司认为那是真的,那就振作起来。因为它不是。”
他说,在整个企业中,首先要做的是将网络安全的基础知识内化。 “一旦你这样做了,看看那些更先进的供应商技术可能是个好主意。”
例如,“没有什么可以替代培训某人如何不打开可疑电子邮件。这可能是最薄弱的环节。您可以拥有世界上所有的安全措施。但是,如果有人点击它或插入 USB 驱动器,它就可以绕过你现有的所有控制。”
这不是“今天是 NIST,明天是 CMMC”
一些供应商可能对 CMMC 如何以及何时影响他们感到困惑。例如,CMMC 没有被追溯:它的要求已经开始进入新的 DoD 合同,但它不是当前合同的附录。这听起来像是公司完全占据了机智h 当前的合同有一些喘息的空间。
另一个因素:自 2017 年以来,国防联邦采购法规补充 (DFARS) 条款 252.204-7012 已经要求 CUI 用户证明足够的网络安全,并且制定了 NIST 网络安全标准为了满足该要求,NIST 800-171 与 CMMC 的第三级(CUI 所需的最低级别)完全对应。
因此,问题是,如果一家公司现在有符合 DFARS 7012 要求的国防合同,准备合同中包含 CMMC 要求的合同时,它需要做些什么不同的事情吗?
“我认为第一步是必须改变思维方式。今天有 800-171,而 CMMC 是未来的东西,我们已经过去了。他们都是今天,”航空航天巨头贝尔飞行公司的飞行器网络安全总监内森赖特说。
Aerospace prime Bell Flight 的飞行器网络安全总监 Nathan Wright
“我建议公司做的是,如果您有 DFARS 7012 条款,请确保您遵守它。执行内部自我评估。”
如何?“DCMA [国防部的国防合同管理机构] 实际上是被授权和委托的开发评估程序。他们有一个模型,您可以按照该模型对自己进行 NIST 800-171 自我评估。继续这样做非常重要,现在就开始实施改进,”他说。
“当 CMMC 评估员来找您时,您需要在与 800-171 实施的相同领域表现出成熟度。现在开始很关键。”
Wright向刚起步的人提供以下建议:与您根据当前合同供应的任何航空航天材料保持联系。
“作为您正在尝试了解法规,因为您正在尝试实施更改,如果您遇到问题和挑战,请联系您。你的成功符合他们的最大利益,”他指出,他们在网络安全方面的专业知识很可能比下层供应商更多。
“他们会有人帮助回答问题.他们不会给你所有的答案,他们不会为你做这些工作。但它们作为一种资源存在。他们想确保你成功。”
除了间谍软件:犯罪软件
由于 CMMC 是国防部的要求,供应商通常认为网络入侵是主要的国际间谍领域——对手希望窃取情报数据以复制他们自己的版本,例如,联合攻击战斗机。但正如 Aerofied 的 Rampton 指出的那样,通常情况并非如此。更多时候,他说,入侵者的希望只是金钱。
“2020 年,Verizon 做了一项关于制造业数据泄露的研究。对于制造商之间的数据泄露,73% 的数据泄露是出于经济动机,而 27% 是出于间谍活动,”他指出。
Totem Tech 的奥斯汀指出,制造商更有可能参与其中与其他企业相比,这类网络犯罪分子更容易受到攻击:
“所有行业都面临着金融盗窃——但制造业是迄今为止敌对间谍活动的最大目标,”他说。 “根据 Verizon 的报告,这比任何其他行业高出近 10%。”
同一份报告中提到的违规行为中,有超过 90% 实际上是由有组织犯罪或民族国家级对手实施的,奥斯汀
“所以,我们谈论的是东欧犯罪集团,或者中国军方级别的犯罪集团这些攻击的复杂性,针对制造业的所有成员,从大型主承包商一直到夫妻店企业。偷东西比自己设计更便宜、更简单。而我们的对手积极追求这种盗窃行为非常有能力。他们组织良好,而且积极主动。”
NaviSec 的 Sean Nobles 指出,危险不仅仅来自大型组织。
“根据我们自己的经验,我们已经看到现在有勒索软件作为 SaaS 提供:‘勒索软件即服务’,它就在那里,犯罪分子订阅了,”他警告说。 “他们可以访问这些勒索软件工具包,然后将这些工具包部署到制造业等行业。”
Bell Flight 的 Nathan Wright 表示同意。
“我的主要收获之一今天是如果你有邪恶的意图,很容易去你在那里,获取一些复杂的犯罪软件并开始攻击制造商,”他说。
“更重要的是,为什么要采取措施落实基本保护措施,然后在这些基本保护措施的基础上进行建设如此重要,”他说兰普顿。 “因为参与犯罪方面的门槛非常低。”
好消息是实施 CMMC 标准将减轻网络攻击——无论攻击者的动机是为外国势力服务还是仅仅是一些容易赚钱的东西。
