Il CMMC 2.0, che entrerà in vigore nel dicembre 2021, è un insieme di diverse best practice e standard di sicurezza informatica e rappresenta un’evoluzione dell’attuale DFARS 252.204-2012. Il CMMC introduce la verifica come requisito, con diversi livelli disponibili.
Tuttavia, la maggior parte delle organizzazioni dovrà autocertificarsi al Livello 1 e ottenere una certificazione aggiuntiva per il Livello 2 o il Livello 3, a seconda dei requisiti contrattuali.
Poiché le politiche, gli standard e le migliori pratiche sono in continua evoluzione, questa mappatura dovrebbe essere utilizzata solo come guida su come automatizzare l'NDR nelle reti aziendali a qualsiasi livello di classificazione. Poiché la piattaforma Vectra Threat Detection and Response supporta tutti i carichi di lavoro – dal cloud data center, dalle risorse IT tradizionali ai controlli e sensori industriali IoT/OT – l'applicabilità e i vantaggi in termini di valore del monitoraggio continuo e degli avvisi in tempo reale possono aiutare ad affrontare molte sfide di certificazione, riducendo al contempo il carico di lavoro complessivo del centro operativo di sicurezza (SOC) e degli analisti di sicurezza.
La sezione seguente illustra i requisiti fondamentali del CMMC, fornendo dettagli su come la piattaforma Vectra Threat Detection and Response soddisfi tali requisiti. Grazie all'impiego di tecnologie brevettate di machine learning (ML) e intelligenza artificiale (AI), è possibile automatizzare in pochi minuti carichi di lavoro e analisi che richiederebbero altrimenti settimane o mesi. Per ulteriori informazioni, contattate oggi stesso il team federale di Vectra e richiedete una scheda informativa sulla soluzione.
Per supportare la comunità federale, Vectra ha messo a disposizione questa guida di alto livello che illustra la corrispondenza tra i vari requisiti e la piattaforma Vectra Threat Detection and Response. Ciò consente di mappare il CMMC ai controlli DFARS (NIST 800-171 e NIST 800-172) e ai controlli tradizionali NIST 800-53.
Ambito: Controllo degli accessi (AC)
AC.L2-3.1.5 Principio del privilegio minimo (CMMC 2 – 3): applicare il principio del privilegio minimo, anche per specifiche funzioni di sicurezza e account con privilegi. (800-53: AC-6, AC-6(1), AC-6(5))
Vectra Detect™, che opera sulla piattaforma Vectra Threat Detection and Response, monitora gli accessi privilegiati alla ricerca di anomalie, consentendo così di identificare gli utenti che stanno svolgendo attività con privilegi. Questi rilevamenti avvengono all’interno di implementazioni on-premise, ambienti Azure, AWS e Microsoft 365, sia in tenant commerciali che governativi. La maggior parte delle organizzazioni non è in grado di convalidare o tracciare le modifiche nell'accesso di un utente o di un host una volta che il privilegio è stato concesso e cerca comportamenti anomali indicativi di aggressori che eseguono Command and Control, esfiltrazione di massa di file, ransomware o altre attività.
AC.L2-3.1.6 Utilizzo di account non privilegiati (CMMC 2 – 3): utilizzare account o ruoli non privilegiati quando si accede a funzioni non legate alla sicurezza. (800-53: AC-6(2))
Vectra Detect monitora gli accessi privilegiati alla ricerca di anomalie, riuscendo così a identificare quali utenti stanno svolgendo attività privilegiate. Questi rilevamenti avvengono all’interno di implementazioni on-premise, nonché in ambienti Azure, AWS e Microsoft Office 365, sia nei tenant commerciali che in quelli governativi. Grazie all’utilizzo di vari modelli di IA non supervisionata, la piattaforma Vectra Threat Detection and Response è in grado di assegnare un punteggio di minaccia e di certezza all’utilizzo di un account che si discosta dalla norma. Quando questo rilevamento viene messo in correlazione con altri comportamenti degli aggressori osservati nell'ambiente, consente di generare avvisi altamente affidabili che indicano che un account è coinvolto in un attacco e non sta semplicemente facendo "qualcosa di diverso". Il rilevamento delle anomalie spesso genera una grande quantità di rumore ed è inaffidabile. La correlazione dell'anomalia con altri comportamenti fornisce una maggiore certezza.
AC.L2-3.1.7 Funzioni con privilegi (CMMC 2 – 3): impedire agli utenti senza privilegi di eseguire funzioni con privilegi e registrare l'esecuzione di tali funzioni nei registri di audit. (800-53: AC-6(9), AC-6(10))
La piattaforma Vectra Threat Detection and Response fornisce avvisi automatici e in tempo reale relativi agli utenti che agiscono con privilegi, grazie alle integrazioni con Azure AD, Active Directory, LDAP e altre fonti di identità. Analizzando le azioni degli account e i "privilegi osservati" in correlazione con altri rilevamenti basati sul comportamento, è possibile attivare avvisi in tempo reale e il blocco/contenimento degli account per mitigare potenziali minacce.
AC.L2-3.1.12 Controllo dell'accesso remoto (CMMC 2 – 3): Monitorare e controllare le sessioni di accesso remoto. (800-53: AC-17(1))
Vectra Detect e Vectra Stream le sessioni e i percorsi di accesso remoto. È possibile agire sulle informazioni raccolte grazie alle integrazioni con strumenti NAC, SOAR, EDR e SIEM. Le sessioni di accesso remoto vengono classificate e assegnate a un punteggio di rischio e impatto in Vectra Detect. Ciò consente ad analisti e tecnici di concentrarsi sugli utenti a più alto rischio senza il rumore di fondo solitamente associato al monitoraggio delle sessioni di accesso remoto. All'interno dei metadati, i dettagli specifici sulle sessioni di accesso remoto e sui protocolli vengono tracciati e correlati con i potenziali comportamenti degli aggressori derivati dai modelli di IA. La correlazione dei risultati dei vari modelli con le informazioni sulle sessioni di accesso remoto osservate consente di attuare risposte automatiche, controlli, ecc.
AC.L2-3.1.15 Accesso remoto con privilegi (CMMC 2 – 3): autorizzare l'esecuzione remota di comandi con privilegi e l'accesso remoto alle informazioni rilevanti per la sicurezza. (800-53: AC-17(4))
Vectra Detect monitora l'esecuzione remota di comandi con privilegi. Questa funzionalità è integrata nativamente nei cloud commerciali e governativi, nonché negli ambienti Microsoft 365. L'esecuzione remota di comandi con privilegi rilevata assegna automaticamente un punteggio elevato o critico a una risorsa, sulla base di altre attività comportamentali osservate.
AC.L2-3.1.8 Tentativi di accesso non riusciti (CMMC 2 – 3): limitare i tentativi di accesso non riusciti.
La piattaforma Vectra Threat Detection and Response offre funzionalità di monitoraggio e rilevamento di attacchi di tipo "brute force" e di meccanismi di aggiramento dell'autenticazione a più fattori (MFA), spesso associati a tentativi di accesso non riusciti. I blocchi degli account dovuti a ripetuti tentativi falliti sono solitamente innocui; tuttavia, se associati al rilevamento di altri comportamenti di attacco, Vectra è in grado di fornire interventi correttivi automatizzati, il contenimento dell'account o altre azioni.
AC.L1-3.1.20 Connessioni esterne (CMMC 1 – 3): verificare e controllare/limitare le connessioni a sistemi informativi esterni e il loro utilizzo. (800-53: AC-20, AC-20(1))
Vectra Detect e Vectra Stream le connessioni da e verso i sistemi informativi esterni. I rilevamenti basati su queste funzionalità vengono correlati con altre fonti di dati per automatizzare le risposte in base ai comportamenti osservati da Vectra, nonché con altri strumenti di sicurezza e orchestrazione. Ad esempio, molti aggressori, malware o minacce interne sfruttano PowerAutomate per stabilire connessioni nascoste e relazioni di fiducia con fonti di dati esterne (DropBox, SharePoint, ecc.). Vectra fornisce la possibilità di rilevare queste "attività sospette" e le relazioni di fiducia federate utilizzando privilegi elevati.
Settore: Identificazione e autenticazione (IA)
IA.L2-3.5.3 Autenticazione a più fattori (CMMC 2 – 3): utilizzare l'autenticazione a più fattori per l'accesso locale e di rete agli account con privilegi e per l'accesso di rete agli account senza privilegi.
Sebbene l'autenticazione a più fattori (MFA) garantisca una verifica dell'identità più rigorosa, molti aggressori sofisticati e Stati-nazione sono in grado di aggirare questi controlli tramite credenziali compromesse, spoofing e la manipolazione delle configurazioni sottostanti all'interno di strumenti come Azure AD. La capacità di Vectra di rilevare accessi che aggirano l'MFA, amministratori M365/AzureAD che apportano modifiche atipiche all'MFA e scansioni complete dello stato delle oltre 7.500 righe di configurazione all'interno di AzureAD consentono di generare avvisi che i sistemi di base non sono in grado di fornire.
Settore: Risposta agli incidenti (IR)
IR.L2-3.6.1 Gestione degli incidenti (CMMC 2 – 3): Istituire una capacità operativa di gestione degli incidenti per i sistemi dell'organizzazione che comprenda attività di preparazione, rilevamento, analisi, contenimento, ripristino e risposta agli utenti. (800-53: IR-2, IR-4, IR-5, IR-6, IR-7)
Grazie alle funzionalità di Vectra, la risposta agli incidenti (IR) viene potenziata con dati che supportano il rilevamento e il contenimento, oltre a metadati arricchiti dall'intelligenza artificiale per la reportistica e le analisi forensi. Inoltre, Vectra Detect offre funzionalità di rilevamento comportamentale proattivo che mitigano la risposta agli incidenti effettiva basandosi sul rilevamento precoce, sull'applicazione automatizzata delle politiche e sugli avvisi. Grazie alla capacità di rilevare in tempo reale minacce completamente nuove e sconosciute senza ricorrere alle firme, Vectra è in grado di fornire rilevamento e contenimento entro pochi secondi dal primo avvistamento dei comportamenti dell'autore dell'attacco. Per mantenere la gestione del cambiamento, è possibile sfruttare i playbook basati su ticketing e SOAR per consentire un periodo di interazione umana prima di creare un contenimento/blocco automatico dell'host o dell'utente.
IR.L2-3.6.2 Segnalazione degli incidenti (CMMC 2 – 3): monitorare, documentare e segnalare gli incidenti ai funzionari e/o alle autorità designate, sia interne che esterne all'organizzazione. (800-53: IR-2, IR-4, IR-5, IR-6, IR-7)
Vectra Detect individua, classifica e segnala tramite la dashboard di Vectra gli incidenti di livello elevato o critico. Questi avvisi e i report in tempo reale di Vectra Detect consentono di intraprendere azioni immediate. L'integrazione con strumenti SIEM e di gestione dei ticket offre ulteriori funzionalità di reportistica e risposta in conformità con le normative vigenti per fonti interne ed esterne.
Settore: Gestione dei rischi (RM)
RA.L2-3.11.2 Analisi delle vulnerabilità (CMMC 2 – 3): Effettuare periodicamente un'analisi delle vulnerabilità nei sistemi e nelle applicazioni dell'organizzazione, nonché ogni volta che si individuino nuove vulnerabilità che li riguardano. (800-53: RA-5, RA-5(5))
Vectra Stream e archivia metadati di rete arricchiti con informazioni di sicurezza provenienti dall'intero traffico. I metadati vengono arricchiti con approfondimenti di sicurezza e contestualizzazioni delle minacce fondamentali per identificare i sistemi vulnerabili all'interno degli strumenti SIEM. Allo stesso tempo, Vectra Detect identifica in tempo reale i nuovi sistemi potenzialmente vulnerabili sulla base del comportamento osservato degli utenti, dei movimenti laterali degli aggressori e di oltre 70 modelli comportamentali brevettati basati sull'intelligenza artificiale. Alcune parti dei metadati possono essere utilizzate per individuare caratteristiche quali cifrari deboli (vecchie versioni TLS), condivisioni SMB e beaconing che potrebbero essere indicativi di risorse vulnerabili. Molte organizzazioni scoprono che, grazie alla piattaforma Vectra Threat Detection and Response, nel proprio ambiente sono presenti molte più risorse di cui non si era tenuto conto, ma che rappresentano anche obiettivi primari per gli aggressori.
RA.L2-3.11.3 Risoluzione delle vulnerabilità (CMMC 2 – 3): risolvere le vulnerabilità in base alle valutazioni dei rischi. (800-53: RA-5)
Vectra Detect e Vectra Stream in grado di intervenire immediatamente sulle vulnerabilità, sia in modo nativo che se integrati con un ambiente di orchestrazione. L'individuazione di account con MFA disattivata, host con SMB aperto o algoritmi di crittografia deboli e l'analisi di altri metadati del traffico consentono di intervenire correttivamente prima ancora che le valutazioni dei rischi siano state completate. La piattaforma Vectra Threat Detection and Response può eseguire la disattivazione automatica degli account all'interno di LDAP e AD e coordinare la modifica dell'autorizzazione (COA) all'interno di una soluzione NAC per revocare l'autorizzazione o modificare gli ACL all'interno di un ambiente. Sulla base di vari rilevamenti, la capacità di contenere host con determinati punteggi di minaccia e certezza da parte di Vectra può essere automatizzata all'interno di strumenti EDR come Microsoft Defender, CrowdStrike e CarbonBlack.
RA.L2-3.11.2 Analisi delle vulnerabilità (CMMC 2 – 3): Effettuare periodicamente un'analisi delle vulnerabilità nei sistemi e nelle applicazioni dell'organizzazione, nonché ogni volta che vengano individuate nuove vulnerabilità che interessano tali sistemi e applicazioni.
Una delle principali lacune nella maggior parte delle valutazioni cloud e conformità cloud è rappresentata dallo stato delle oltre 7.500 singole righe di configurazione per utente all'interno di Azure AD/M365. In molti casi è stato riscontrato che gli aggressori hanno clonato token e credenziali di autenticazione sfruttando questi spazi facilmente manipolabili. Vectra offre una funzionalità di monitoraggio e scansione continua dello stato di sicurezza all'interno di AzureAD negli ambienti commerciali, GCC, GCC-HIGH e governativi SECRET e TOP SECRET. Vectra Protect è l'unica soluzione approvata da Microsoft a supportare queste iniziative.
Settore: Valutazione della sicurezza (CA)
CA.L2-3.12.3 Monitoraggio dei controlli di sicurezza (CMMC 2 – 3): monitorare costantemente i controlli di sicurezza per garantirne l'efficacia nel tempo. (800-53: CA-2, CA-5, CA-7, P-2)
Il motore di rilevamento Vectra AI offre una panoramica in tempo reale tramite dashboard e avvisi su potenziali problemi, consentendo di verificare l'efficacia dei controlli di sicurezza e di accertare se questi siano completi ed efficaci. Idealmente, un ambiente dovrebbe essere ben controllato e protetto, tuttavia la maggior parte delle aziende non fornisce controlli adeguati sui sistemi ausiliari che consentono il movimento laterale verso ambienti più critici. L'utilizzo della dashboard di Vectra Detect offre una consapevolezza in tempo reale dei sistemi compromessi, dei nuovi attacchi che aggirano gli attuali controlli di sicurezza e uno strumento per rilevare i team Red/Purple durante le valutazioni.
Settore: Protezione dei sistemi e delle comunicazioni (SC)
SC.L2-3.13.6 Comunicazioni di rete basate su eccezioni (CMMC 2 – 3): bloccare per impostazione predefinita il traffico di rete e consentirlo solo in casi eccezionali (ovvero, bloccare tutto e consentire solo in casi eccezionali).
Le organizzazioni che stanno adottando un'architettura Zero Trust devono affrontare numerose sfide. In quanto base analitica di numerose architetture Zero Trust delle agenzie di intelligence, la piattaforma Vectra Threat Detection and Response fornisce a tutti gli ambienti un contesto aggiuntivo per il rilevamento delle anomalie nell'uso dei privilegi da parte di host/account con privilegi elevati che utilizzano risorse al di fuori della norma appresa. Sebbene zero trust l'accesso di base, spesso non è sufficientemente granulare per monitorare gli account abilitati dopo che sono state concesse loro le autorizzazioni.
SC38: SC.L2-3.13.11 Crittografia delle informazioni classificate (CUI) (CMMC 2 – 3): Utilizzare sistemi di crittografia certificati FIPS per proteggere la riservatezza delle informazioni classificate (CUI). (800-53: SC-13)
I metadati arricchiti della piattaforma Vectra Threat Detection and Response sono in grado di individuare nell’ambiente i sistemi di crittografia deboli che indicano l’uso di algoritmi non conformi allo standard FIPS. Un dato emerso in molti rapporti è che, sebbene l’ambiente sia conforme allo standard FIPS, molti strumenti legacy o ambienti OT/IoT/ICS utilizzano sistemi di crittografia deboli o obsoleti. L’individuazione automatica di tali elementi all’interno della piattaforma Vectra Threat Detection and Response può fornire una visibilità immediata. La piattaforma Vectra Threat Detection and Response utilizza crittografia conforme allo standard FIPS 140-2 per tutte le trasmissioni e i dati federali inattivi (DAR) relativi a metadati potenziati dal machine learning e alle istanze micro-PCAP. Tutte le interfacce con sistemi di terze parti vengono avviate con crittografia conforme. La piattaforma Vectra Threat Detection and Response non richiede la decrittografia dei flussi di traffico per eseguire le funzionalità di rilevamento comportamentale basate sul ML. Ciò significa che non è necessario alcun "break-and-inspect" per le operazioni.
SC39: SC.L1-3.13.1 Protezione dei confini (CMMC 1 – 3): Monitorare, controllare e proteggere le comunicazioni dell'organizzazione (ovvero le informazioni trasmesse o ricevute dai sistemi informativi dell'organizzazione) ai confini esterni e ai confini interni chiave dei sistemi informativi. (800-53: SC-7, SA-8) Vectra Detect e Vectra Stream le comunicazioni ai confini esterni e a quelli chiave. I rilevamenti informatici comportamentali basati su reti neurali identificano e avvisano gli analisti della sicurezza in tempo reale in merito a potenziali minacce a tutti i livelli dei sistemi di comunicazione. A differenza delle funzionalità basate su firme, Vectra non è vincolata a vettori di attacco "noti" per aggirare i confini, ma è invece in grado di rilevare attacchi completamente nuovi o "sconosciuti" sulla base dei comportamenti successivi.
Settore: Integrità dei sistemi e delle informazioni (SI)
SI.L1-3.14.1 Risoluzione delle vulnerabilità (CMMC 1 – 3): identificare, segnalare e correggere tempestivamente le vulnerabilità relative alle informazioni e ai sistemi informativi. (800-53: SI-2, SI-3, SI-5)
Vectra Stream una completa integrazione con il data lake per funzionalità di reporting e analisi forense sia durante che dopo un incidente. Questi dati possono essere correlati con altre piattaforme per individuare anomalie nei set di dati e consentire ai team SOC di effettuare analisi comparative utilizzando metadati arricchiti dall'intelligenza artificiale. Gli avvisi in tempo reale vengono visualizzati nella dashboard della piattaforma Vectra Threat Detection and Response: ecco perché molti CISO delle organizzazioni consultano Vectra all'inizio e alla fine di ogni turno per comprendere la situazione attuale.
SI.L1-3.14.2 Protezione dal codice dannoso (CMMC 1 – 3): garantire la protezione dal codice dannoso nei punti appropriati all'interno dei sistemi informativi dell'organizzazione. (800-53: SI-2, SI-3, SI-5)
Anziché limitarsi a prevenire il codice dannoso, la piattaforma Vectra Threat Detection and Response rileva e reagisce a comportamenti di minaccia completamente nuovi, tra cui le comunicazioni di comando e controllo, l'esfiltrazione di dati e il movimento laterale. Di conseguenza, la piattaforma Vectra Threat Detection and Response è in grado di mettere automaticamente in quarantena o utilizzare un honeypot su un sistema e avvalersi di partnership di settore con soluzioni di Network Access Control (NAC), Endpoint and Response (EDR) e Security Orchestration and Response (SOAR) per mitigare l'ulteriore propagazione ad altri sistemi ed endpoint in ambienti cloud, remoti e di altro tipo. L'approccio che sfrutta l'intelligenza artificiale per automatizzare una risposta zero trust a potenziali attori malintenzionati e attacchi completamente nuovi consente a Vectra di bloccare gli attacchi prima ancora che abbiano inizio.
SI.L1-3.14.4 Aggiornamento della protezione contro il codice dannoso (CMMC 1 – 3): aggiornare i meccanismi di protezione contro il codice dannoso quando sono disponibili nuove versioni. (800-53: SI-3)
Data la natura comportamentale della piattaforma Vectra Threat Detection and Response, non sono necessari aggiornamenti e il sistema sfrutta costantemente nuovi algoritmi di intelligenza artificiale per individuare le minacce emergenti prima ancora che le definizioni tradizionali siano state rilasciate dalla maggior parte dei fornitori e delle organizzazioni di sicurezza. Grazie all'utilizzo dei sistemi di rilevamento comportamentale basati sull'intelligenza artificiale, è possibile ridurre la minaccia rappresentata dai nuovi aggressori e abbattere i tempi di rilevamento e di risposta da ore, giorni o settimane a pochi minuti.
SI.L2-3.14.6 Monitoraggio delle comunicazioni per individuare eventuali attacchi (CMMC 2 – 3): monitorare i sistemi dell'organizzazione, compreso il traffico di comunicazioni in entrata e in uscita, per individuare attacchi e indicatori di potenziali attacchi. (800-53: AU-2, AU-2(3), AU-6, SI-4, SI-4(4))
Vectra Detect offre funzionalità IDS/IPS di nuova generazione e un rilevamento comportamentale degli attacchi basato sull'intelligenza artificiale, senza ricorrere a definizioni, decrittografia del traffico o altre tecniche comunemente utilizzate nella maggior parte delle soluzioni commerciali. Utilizzato dalla maggior parte dei nostri clienti nel settore dei sistemi di sicurezza nazionale (NSS), Vectra consente ai team di sicurezza informatica di mitigare un attacco prima che raggiunga una fase di propagazione o provochi danni.
SI.L2-3.14.7 Individuazione degli utilizzi non autorizzati (CMMC 2 – 3): Individuare gli utilizzi non autorizzati dei sistemi dell'organizzazione. (800-53: SI-4)
Vectra Detect identifica, reagisce e mitiga gli abusi e le compromissioni degli account con privilegi quando gli utenti svolgono attività che esulano dai comportamenti normali. Questi comportamenti dannosi sono indicatori chiave del fatto che un aggressore abbia assunto il controllo dell'account e dei privilegi di un utente oppure abbia creato un account falso per muoversi lateralmente alla ricerca di risorse da sottrarre. La maggior parte degli attacchi recenti ha sfruttato un certo livello di compromissione degli account M365 e di movimento laterale attraverso gli ambienti sulla base di privilegi elevati. Essere in grado di rilevare questi comportamenti prima che abbiano il tempo di essere eseguiti nel GCC-HIGH è una componente chiave per proteggere l'azienda.
In sintesi
Vectra soddisfa i vari requisiti del CMMC attraverso la piattaforma Vectra Threat Detection and Response. In qualità di piattaforma leader nel settore per il rilevamento e la risposta alle minacce basati sull'intelligenza artificiale, Vectra supporta i carichi di lavoro su tutta la rete a qualsiasi livello di classificazione, inclusi cloud, data center, IoT e ambiente aziendale. La piattaforma consente il monitoraggio continuo e la generazione di avvisi in tempo reale, riducendo al contempo il carico di lavoro complessivo del centro operativo di sicurezza (SOC) e degli analisti di sicurezza.
