Il CMMC 2.0, che entrerà in vigore nel dicembre 2021, è una combinazione di varie best practice e standard di sicurezza informatica e rappresenta un'evoluzione continua dell'attuale DFARS 252.204-2012. Il CMMC aggiunge la verifica come requisito con vari livelli disponibili.
Tuttavia, la maggior parte delle organizzazioni sarà tenuta ad autocertificarsi al Livello 1 e ad ottenere una certificazione aggiuntiva per il Livello 2 o il Livello 3, a seconda dei requisiti contrattuali.
Poiché le politiche, gli standard e le best practice continuano ad evolversi, questa mappatura dovrebbe essere utilizzata solo come guida su come automatizzare l'NDR nelle reti aziendali a qualsiasi livello di classificazione. Poiché la piattaforma Vectra Threat Detection and Response supporta tutti i carichi di lavoro, dal cloud data center, dalle risorse IT tradizionali ai controlli e sensori industriali IoT/OT, l'applicabilità e i vantaggi in termini di valore del monitoraggio continuo e degli avvisi in tempo reale possono aiutare ad affrontare molte sfide di certificazione, riducendo al contempo il carico di lavoro complessivo del centro operativo di sicurezza (SOC) e degli analisti di sicurezza.
La sezione seguente evidenzia i requisiti chiave del CMMC con dettagli che spiegano come la piattaforma Vectra Threat Detection and Response soddisfi i requisiti della categoria. L'utilizzo di machine learning (ML) e intelligenza artificiale (AI) brevettati consente di automatizzare in pochi minuti il lavoro e l'analisi che richiederebbero settimane o mesi. Per ulteriori informazioni, contattate oggi stesso il team federale di Vectra e richiedete una presentazione della soluzione.
Per supportare la comunità federale, Vectra ha fornito questa guida di alto livello che mappa i vari requisiti alla piattaforma Vectra Threat Detection and Response. Ciò consente la mappatura del CMMC al DFARS (NIST 800-171 e NIST 800-172) e ai tradizionali controlli NIST 800-53.
Dominio: Controllo degli accessi (AC)
AC.L2-3.1.5 Privilegio minimo (CMMC 2 – 3): Applicare il principio del privilegio minimo, anche per funzioni di sicurezza specifiche e account privilegiati. (800- 53: AC-6, AC-6(1), AC-6(5))
Vectra Detect™, che funziona sulla piattaforma Vectra Threat Detection and Response, monitora gli accessi privilegiati alla ricerca di anomalie, che a loro volta consentono di identificare gli utenti che stanno svolgendo attività privilegiate. Questi rilevamenti avvengono all'interno di distribuzioni on-premise, Azure, AWS e ambienti Microsoft 365 sia in tenant commerciali che governativi. La maggior parte delle organizzazioni non è in grado di convalidare o tracciare le modifiche nell'accesso di un utente o di un host una volta concessi i privilegi e di individuare comportamenti anomali indicativi di attacchi che eseguono Command and Control, esfiltrazione di file di massa, ransomware o altre attività.
AC.L2-3.1.6 Utilizzo di account non privilegiati (CMMC 2 – 3): utilizzare account o ruoli non privilegiati quando si accede a funzioni non di sicurezza. (800-53: AC-6(2))
Vectra Detect monitora gli accessi privilegiati alla ricerca di anomalie, che a loro volta consentono di identificare quali utenti stanno svolgendo attività privilegiate. Questi rilevamenti avvengono all'interno di distribuzioni on-premise, Azure, AWS e ambienti Microsoft Office 365. Sia nei tenant commerciali che in quelli governativi. Utilizzando vari modelli di IA non supervisionati, la piattaforma Vectra Threat Detection and Response può aumentare il punteggio di minaccia e certezza sull'uso dell'account che è al di fuori della norma. Quando questo rilevamento viene correlato ad altri comportamenti degli aggressori osservati nell'ambiente, consente di generare un avviso altamente affidabile che indica che un account è coinvolto in un attacco e non sta semplicemente facendo "qualcosa di diverso". Il rilevamento delle anomalie spesso crea una grande quantità di rumore e non è affidabile. La correlazione dell'anomalia con altri comportamenti fornisce una maggiore certezza.
AC.L2-3.1.7 Funzioni privilegiate (CMMC 2 – 3): impedire agli utenti non privilegiati di eseguire funzioni privilegiate e registrare l'esecuzione di tali funzioni nei registri di controllo. (800-53: AC-6(9), AC-6(10))
La piattaforma Vectra Threat Detection and Response fornisce avvisi automatici e in tempo reale sugli utenti che agiscono in modo privilegiato tramite integrazioni in AzureAD, Active Directory, LDAP e altre fonti di identità. Esaminando le azioni degli account e i "privilegi osservati" in correlazione con altri rilevamenti basati sul comportamento, è possibile implementare avvisi in tempo reale e blocchi/contenimento degli account per mitigare potenziali minacce.
AC.L2-3.1.12 Controllo dell'accesso remoto (CMMC 2 – 3): Monitoraggio e controllo delle sessioni di accesso remoto. (800-53: AC-17(1))
Vectra Detect e Vectra Stream le sessioni e i percorsi di accesso remoto. È possibile agire sulle informazioni in base alle integrazioni con gli strumenti NAC, SOAR, EDR e SIEM. Le sessioni di accesso remoto vengono classificate e viene loro assegnato un punteggio di rischio e impatto in Vectra Detect. Ciò consente agli analisti e agli ingegneri di concentrarsi sugli utenti a rischio più elevato senza il rumore solitamente associato al monitoraggio delle sessioni di accesso remoto. All'interno dei metadati, i dettagli specifici sulle sessioni di accesso remoto e sui protocolli vengono monitorati e correlati con i potenziali comportamenti degli aggressori dai modelli di IA. La correlazione dei risultati dei vari modelli con le informazioni sulle sessioni di accesso remoto osservate consente di attuare risposte automatiche, controlli, ecc.
AC.L2-3.1.15 Accesso remoto privilegiato (CMMC 2 – 3): Autorizzare l'esecuzione remota di comandi privilegiati e l'accesso remoto alle informazioni rilevanti per la sicurezza. (800-53: AC-17(4))
Vectra Detect monitora l'esecuzione remota di comandi privilegiati. Questa funzionalità è presente in modo nativo nei cloud commerciali e governativi e negli ambienti Microsoft 365. L'esecuzione remota osservata di comandi privilegiati assegna automaticamente un punteggio elevato o critico a una risorsa in base ad altre attività comportamentali osservate.
AC.L2-3.1.8 Tentativi di accesso non riusciti (CMMC 2 – 3): limitare i tentativi di accesso non riusciti.
La piattaforma Vectra Threat Detection and Response fornisce monitoraggio e rilevamenti indicativi di attacchi brute force e meccanismi di bypass MFA comunemente associati a tentativi di accesso non riusciti. I blocchi dovuti a tentativi multipli falliti sono solitamente innocui, tuttavia, se associati ad altri rilevamenti di comportamenti di attacco, Vectra è in grado di fornire rimedi automatizzati, contenimento degli account o altre azioni.
AC.L1-3.1.20 Connessioni esterne (CMMC 1 – 3): Verificare e controllare/limitare le connessioni e l'uso di sistemi informativi esterni. (800-53: AC-20, AC-20(1))
Vectra Detect e Vectra Stream le connessioni da e verso sistemi informativi esterni. I rilevamenti basati su queste funzionalità vengono correlati con altre fonti di dati per automatizzare le risposte in base ai comportamenti osservati da Vectra e da altri strumenti di sicurezza e orchestrazione. Ad esempio, molti aggressori, malware o minacce interne sfruttano PowerAutomate per creare connessioni nascoste e relazioni di fiducia con fonti di dati esterne (DropBox, SharePoint, ecc.). Vectra offre la possibilità di rilevare queste "attività sospette" e le relazioni di fiducia federate utilizzando privilegi elevati.
Dominio: Identificazione e autenticazione (IA)
IA.L2-3.5.3 Autenticazione multifattoriale (CMMC 2 – 3): utilizzare l'autenticazione multifattoriale per l'accesso locale e di rete agli account privilegiati e per l'accesso di rete agli account non privilegiati.
Sebbene l'autenticazione a più fattori (MFA) fornisca una verifica dell'identità avanzata, molti avversari sofisticati e Stati nazionali sono in grado di aggirare questi controlli tramite credenziali compromesse, spoofing e manipolazione delle configurazioni sottostanti all'interno di strumenti come Azure AD. La capacità di Vectra di rilevare accessi che aggirano l'MFA, amministratori M365/AzureAD che apportano modifiche atipiche all'MFA e scansioni complete della postura delle oltre 7.500 linee di configurazione all'interno di AzureAD consentono di inviare avvisi a meccanismi che i sistemi root stessi non sono in grado di rilevare.
Ambito: Risposta agli incidenti (IR)
IR.L2-3.6.1 Gestione degli incidenti (CMMC 2 – 3): Stabilire una capacità operativa di gestione degli incidenti per i sistemi organizzativi che includa attività di preparazione, rilevamento, analisi, contenimento, ripristino e risposta degli utenti. (800-53: IR-2, IR-4, IR-5, IR-6, IR-7)
Sfruttando le funzionalità di Vectra, l'IR viene potenziato con dati che supportano il rilevamento, il contenimento e altri metadati arricchiti dall'intelligenza artificiale per la reportistica e l'analisi forense. Inoltre, Vectra Detect fornisce funzionalità di rilevamento comportamentale preventivo che mitigano l'IR effettivo sulla base del rilevamento precoce e dell'applicazione e dell'allerta automatizzati. Grazie alla capacità di rilevare in tempo reale minacce nuove e sconosciute senza firme, Vectra è in grado di fornire rilevamento e contenimento entro pochi secondi dalla prima comparsa dei comportamenti dell'aggressore. Per mantenere la gestione delle modifiche, è possibile sfruttare i playbook basati su ticketing e SOAR per consentire un periodo di interazione umana prima di creare un contenimento/blocco automatico dell'host o dell'utente.
IR.L2-3.6.2 Segnalazione degli incidenti (CMMC 2 – 3): monitorare, documentare e segnalare gli incidenti ai funzionari e/o alle autorità designate sia all'interno che all'esterno dell'organizzazione. (800-53: IR-2, IR-4, IR-5, IR-6, IR-7)
Vectra Detect rileva, classifica e segnala tramite la dashboard Vectra gli incidenti come gravi o critici. Questi avvisi e i report in tempo reale in Vectra Detect consentono di intraprendere azioni immediate. L'integrazione con SIEM e strumenti di ticketing offre ulteriori funzionalità di reportistica e risposta basate sulle normative per fonti interne ed esterne.
Ambito: Gestione dei rischi (RM)
RA.L2-3.11.2 Scansione delle vulnerabilità (CMMC 2 – 3): eseguire periodicamente la scansione delle vulnerabilità nei sistemi e nelle applicazioni dell'organizzazione e quando si verificano nuove vulnerabilità che li riguardano. (800-53: RA-5, RA-5(5))
Vectra Stream e archivia metadati di rete arricchiti con informazioni di sicurezza provenienti da tutto il traffico. I metadati sono arricchiti con approfondimenti di sicurezza e contestualizzazioni delle minacce fondamentali per identificare i sistemi vulnerabili all'interno degli strumenti SIEM. Allo stesso tempo, Vectra Detect identifica in tempo reale i nuovi sistemi che potrebbero essere vulnerabili sulla base del comportamento osservato degli utenti, dei movimenti laterali degli aggressori e di oltre 70 modelli comportamentali basati su intelligenza artificiale brevettati. Alcune parti dei metadati possono essere utilizzate per evidenziare caratteristiche come cifrari deboli (vecchie versioni TLS), condivisioni SMB e beaconing che possono essere indicativi di risorse vulnerabili. Molte organizzazioni scoprono che con la piattaforma Vectra Threat Detection and Response si rendono conto che nel loro ambiente ci sono molte più risorse che non vengono prese in considerazione, ma che sono anche obiettivi primari per gli aggressori.
RA.L2-3.11.3 Rimedio alle vulnerabilità (CMMC 2 – 3): porre rimedio alle vulnerabilità in conformità con le valutazioni dei rischi. (800-53: RA-5)
Vectra Detect e Vectra Stream in grado di intervenire immediatamente contro le vulnerabilità, sia in modo nativo che quando integrati in un ambiente di orchestrazione. Il rilevamento di account con MFA disattivato, host con SMB aperto o cifrari deboli e altre analisi del traffico dei metadati consentono di intervenire prima che siano state completate le valutazioni dei rischi. La piattaforma Vectra Threat Detection and Response è in grado di eseguire la disattivazione automatica degli account all'interno di LDAP e AD e di coordinare la modifica dell'autorizzazione (COA) all'interno di una soluzione NAC per revocare l'autorizzazione o modificare gli ACL all'interno di un ambiente. Sulla base di vari rilevamenti, la capacità di contenere host con determinati punteggi di minaccia e certezza da Vectra può essere automatizzata all'interno di strumenti EDR come Microsoft Defender, CrowdStrike e CarbonBlack.
RA.L2-3.11.2 Scansione delle vulnerabilità (CMMC 2 – 3): eseguire periodicamente la scansione delle vulnerabilità nei sistemi e nelle applicazioni dell'organizzazione e quando vengono identificate nuove vulnerabilità che interessano tali sistemi e applicazioni.
Una delle principali lacune nella maggior parte delle valutazioni cloud e conformità cloud è la configurazione di oltre 7.500 righe individuali per utente all'interno di AzureAD/M365. In molti casi è stato riscontrato che i token e l'autenticazione sono stati clonati da malintenzionati che hanno sfruttato questi spazi facili da manipolare. Vectra fornisce una funzionalità di monitoraggio/scansione continua della configurazione all'interno di AzureAD nelle enclavi commerciali, GCC, GCC-HIGH e governative SECRET e TOP SECRET. Vectra Protect è l'unica funzionalità approvata da Microsoft per supportare queste iniziative.
Dominio: Valutazione della sicurezza (CA)
CA.L2-3.12.3 Monitoraggio dei controlli di sicurezza (CMMC 2 – 3): monitorare costantemente i controlli di sicurezza per garantirne l'efficacia continua. (800-53: CA-2, CA-5, CA-7, P-2)
Il motore di rilevamento Vectra AI fornisce viste dashboard in tempo reale e avvisi di potenziali problemi, consentendo la convalida dei controlli di sicurezza e la possibilità di verificare ulteriormente se tali controlli sono efficaci e completi. Idealmente, un ambiente dovrebbe essere ben controllato e protetto, tuttavia la maggior parte delle aziende non fornisce controlli adeguati sui sistemi ausiliari che consentono il movimento laterale verso ambienti più critici. L'utilizzo della dashboard Vectra Detect fornisce una consapevolezza in tempo reale dei sistemi compromessi, dei nuovi attacchi che aggirano gli attuali controlli di sicurezza e un mezzo per rilevare i team Red/Purple durante le valutazioni.
Dominio: Protezione dei sistemi e delle comunicazioni (SC)
SC.L2-3.13.6 Comunicazione di rete per eccezione (CMMC 2 – 3): negare il traffico di comunicazione di rete per impostazione predefinita e consentire il traffico di comunicazione di rete per eccezione (ovvero, negare tutto, consentire per eccezione).
Le organizzazioni che passano a un'architettura Zero Trust devono affrontare molte sfide. Come base analitica di numerose architetture Zero Trust delle agenzie di intelligence, la piattaforma Vectra Threat Detection and Response fornisce a tutti gli ambienti un contesto aggiuntivo sul rilevamento delle anomalie nell'uso dei privilegi di host/account con privilegi elevati che utilizzano risorse al di fuori della loro norma appresa. Sebbene zero trust l'accesso sottostante, spesso non è abbastanza granulare per tracciare gli account abilitati dopo che sono state concesse loro le autorizzazioni.
SC38: SC.L2-3.13.11 Crittografia CUI (CMMC 2 – 3): Utilizzare la crittografia convalidata FIPS quando viene impiegata per proteggere la riservatezza delle CUI. (800-53: SC-13)
I metadati arricchiti della piattaforma Vectra Threat Detection and Response sono in grado di distinguere i codici crittografici deboli nell'ambiente che indicano una crittografia non convalidata FIPS. Una delle principali conclusioni emerse da molti rapporti è che, sebbene l'ambiente sia abilitato FIPS, molti strumenti legacy o ambienti OT/IoT/ICS utilizzano una crittografia debole o obsoleta. La rilevazione automatica di questi elementi all'interno della piattaforma Vectra Threat Detection and Response può fornire una visibilità immediata. La piattaforma Vectra Threat Detection and Response sfrutta la crittografia conforme allo standard FIPS 140-2 per tutte le trasmissioni e i dati federali inattivi (DAR) dei metadati potenziati con ML e delle istanze micro-PCAP. Tutte le interfacce con sistemi di terze parti vengono avviate con crittografia conforme. La piattaforma Vectra Threat Detection and Response non richiede la decrittografia dei flussi di traffico per eseguire le funzionalità di rilevamento comportamentale basate su ML. Ciò significa che non è necessario alcun break-and-inspect per le operazioni.
SC39: SC.L1-3.13.1 Protezione dei confini (CMMC 1 – 3): monitorare, controllare e proteggere le comunicazioni organizzative (ovvero le informazioni trasmesse o ricevute dai sistemi informativi organizzativi) ai confini esterni e ai confini interni chiave dei sistemi informativi. (800-53: SC-7, SA-8) Vectra Detect e Vectra Stream le comunicazioni ai confini esterni e chiave. I rilevamenti comportamentali basati su reti neurali identificano e avvisano gli analisti della sicurezza in tempo reale di potenziali minacce a tutti i livelli dei sistemi di comunicazione. A differenza delle funzionalità basate su firme, Vectra non è vincolato a vettori di attacco "noti" per aggirare i confini, ma è invece in grado di rilevare attacchi nuovi o "sconosciuti" sulla base dei comportamenti successivi.
Ambito: Integrità dei sistemi e delle informazioni (SI)
SI.L1-3.14.1 Correzione dei difetti (CMMC 1 – 3): Identificare, segnalare e correggere tempestivamente i difetti delle informazioni e dei sistemi informativi. (800-53: SI-2, Si-3, SI-5)
Vectra Stream una completa integrazione del data lake per funzionalità di reporting e analisi forense durante e dopo un incidente. Questi dati possono essere correlati con altre piattaforme per individuare difetti nei set di dati e consentire ai team SOC di completare esercizi comparativi utilizzando metadati arricchiti dall'intelligenza artificiale. Gli avvisi in tempo reale vengono completati nella dashboard della piattaforma Vectra Threat Detection and Response, motivo per cui molte organizzazioni CISO guardano Vectra all'inizio e alla fine di ogni turno per comprendere la loro situazione attuale.
SI.L1-3.14.2 Protezione da codice dannoso (CMMC 1 – 3): fornire protezione da codice dannoso in punti appropriati all'interno dei sistemi informativi dell'organizzazione. (800-53: SI-2, SI-3, SI-5)
Anziché prevenire il codice dannoso, la piattaforma Vectra Threat Detection and Response rileva e risponde a nuovi comportamenti di minaccia, tra cui comunicazioni di comando e controllo, esfiltrazione di dati e movimenti laterali. Di conseguenza, la piattaforma Vectra Threat Detection and Response è in grado di mettere automaticamente in quarantena o honeypot un sistema e di avvalersi della partnership industriale con soluzioni NAC (Network Access Control), EDR ( Endpoint and Response) e SOAR (Security Orchestration and Response) per mitigare l'ulteriore propagazione ad altri sistemi ed endpoint in ambienti cloud, remoti e di altro tipo. L'approccio che sfrutta l'intelligenza artificiale per automatizzare una risposta zero trust a potenziali attori malintenzionati e attacchi nuovi consente a Vectra di bloccare gli attacchi prima che abbiano inizio.
SI.L1-3.14.4 Aggiornamento della protezione dai codici dannosi (CMMC 1 – 3): aggiornare i meccanismi di protezione dai codici dannosi quando sono disponibili nuove versioni. (800-53: SI-3)
Grazie alla natura comportamentale della piattaforma Vectra Threat Detection and Response, non sono necessari aggiornamenti e il sistema sfrutta continuamente nuovi algoritmi AL per rilevare le minacce emergenti prima che le definizioni tradizionali vengano rilasciate dalla maggior parte dei fornitori e delle organizzazioni di sicurezza. Sfruttando i rilevamenti comportamentali dell'IA, è possibile ridurre la minaccia rappresentata dai nuovi aggressori e ridurre i tempi di rilevamento e di risposta da ore, giorni o settimane a pochi minuti.
SI.L2-3.14.6 Monitoraggio delle comunicazioni per individuare eventuali attacchi (CMMC 2 – 3): monitorare i sistemi organizzativi, compreso il traffico delle comunicazioni in entrata e in uscita, per individuare attacchi e indicatori di potenziali attacchi. (800-53: AU-2, AU-2(3), AU-6, SI-4, SI-4(4))
Vectra Detect offre funzionalità IDS/IPS di nuova generazione e rilevamento comportamentale degli attacchi basato sull'intelligenza artificiale senza necessità di definizioni, decrittografia del traffico o altre tecniche comuni nella maggior parte delle offerte commerciali. Supportando la maggior parte dei nostri consumatori di sistemi di sicurezza nazionale (NSS), Vectra consente ai team informatici di mitigare un attacco prima che passi allo stato di replica o causi danni.
SI.L2-3.14.7 Identificare gli usi non autorizzati (CMMC 2 – 3): Identificare gli usi non autorizzati dei sistemi organizzativi. (800-53: SI-4)
Vectra Detect identifica, risponde e mitiga l'abuso e la compromissione degli account privilegiati quando gli utenti eseguono attività che superano i comportamenti normali. Questi comportamenti dannosi sono indicatori primari del fatto che un aggressore ha preso il controllo dell'account e dei privilegi di un utente o ha creato un account falso per muoversi lateralmente alla ricerca di risorse da sottrarre. La maggior parte degli attacchi recenti ha sfruttato un certo livello di compromissione degli account M365 e movimenti laterali negli ambienti basati su privilegi elevati. Essere in grado di rilevare questi comportamenti prima che abbiano il tempo di essere eseguiti nel GCC-HIGH è un elemento chiave per proteggere l'azienda.
In sintesi
Vectra mappa i vari requisiti del CMMC attraverso la piattaforma Vectra Threat Detection and Response. In qualità di piattaforma numero uno per il rilevamento e la risposta alle minacce basata sull'intelligenza artificiale, Vectra supporta i carichi di lavoro su tutta la rete a qualsiasi livello di classificazione, inclusi cloud, data center, IoT e enterprise. La piattaforma consente il monitoraggio continuo e gli avvisi in tempo reale, riducendo al contempo i carichi di lavoro complessivi del centro operativo di sicurezza (SOC) e degli analisti di sicurezza.
Apprezzato da esperti e aziende in tutto il mondo
