La CMMC 2.0, che entrerà in vigore nel dicembre 2021, è una combinazione di varie best practice e standard di cybersecurity e rappresenta una continua evoluzione dell'attuale DFARS 252.204-2012. La CMMC aggiunge la verifica come requisito, con vari livelli disponibili.
Tuttavia, la maggior parte delle organizzazioni dovrà autocertificarsi al livello 1 e ottenere una certificazione aggiuntiva per il livello 2 o 3, a seconda dei requisiti contrattuali.
Poiché le politiche, gli standard e le best practice continuano ad evolversi, questa mappatura deve essere utilizzata solo come guida su come automatizzare l'NDR nelle reti aziendali a qualsiasi livello di classificazione. Poiché la piattaforma Vectra Threat Detection and Response supporta tutti i carichi di lavoro, dal cloud al data center, dagli asset IT tradizionali ai controlli e ai sensori industriali IoT/OT, l'applicabilità e i vantaggi di valore del monitoraggio continuo e degli avvisi in tempo reale possono aiutare in molte sfide di certificazione, riducendo al contempo il carico di lavoro complessivo del centro operativo di sicurezza (SOC) e degli analisti di sicurezza.
La sezione seguente evidenzia i requisiti chiave del CMMC con dettagli che spiegano come la piattaforma Vectra Threat Detection and Response soddisfi la categoria. L'utilizzo di machine learning (ML) e intelligenza artificiale (AI) brevettati consente di automatizzare in pochi minuti carichi di lavoro e analisi di settimane o mesi. Per maggiori informazioni, contattate oggi stesso il vostro team federale Vectra e richiedete un solution brief.
Per supportare la comunità federale, Vectra ha fornito questa guida di alto livello che mappa i vari requisiti alla piattaforma Vectra Threat Detection and Response. Ciò consente di mappare il CMMC ai controlli DFARS (NIST 800-171 e NIST 800-172) e ai controlli tradizionali NIST 800-53.
Dominio: Controllo dell'accesso (AC)
AC.L2-3.1.5 Privilegio minimo (CMMC 2 - 3): Utilizzare il principio del minimo privilegio, anche per funzioni di sicurezza specifiche e account privilegiati. (800- 53: AC-6, AC-6(1), AC-6(5))
Vectra Detect™, che funziona sulla piattaforma Vectra Threat Detection and Response, monitora gli accessi privilegiati alla ricerca di anomalie, che a loro volta possono identificare gli utenti che svolgono attività privilegiate. Questi rilevamenti avvengono all'interno di implementazioni on-premise, ambienti Azure, AWS e Microsoft 365, sia in ambito commerciale che governativo. La maggior parte delle organizzazioni non è in grado di convalidare o tenere traccia delle modifiche apportate all'accesso di un utente o di un host una volta che i privilegi sono stati concessi e di cercare comportamenti anomali indicativi di aggressori che eseguono attività di Command and Control, esfiltrazione di file di massa, ransomware o altre attività.
AC.L2-3.1.6 Uso di account non privilegiati (CMMC 2 - 3): Utilizzare account o ruoli non privilegiati quando si accede a funzioni non di sicurezza. (800-53: AC-6(2))
Vectra Detect monitora gli accessi privilegiati alla ricerca di anomalie, che a loro volta possono identificare gli utenti che svolgono attività privilegiate. Questi rilevamenti avvengono all'interno di implementazioni on premise, ambienti Azure, AWS e Microsoft Office 365. Sia nel settore commerciale che in quello governativo. Utilizzando vari modelli di intelligenza artificiale non supervisionati, la piattaforma Vectra Threat Detection and Response è in grado di aumentare il punteggio di minaccia e di certezza sull'utilizzo degli account al di fuori della norma. Quando questo rilevamento viene messo in correlazione con altri comportamenti degli aggressori osservati nell'ambiente, consente di segnalare ad alta fedeltà che un account è coinvolto in un attacco e non sta semplicemente facendo "qualcosa di diverso". Il rilevamento delle anomalie spesso crea una grande quantità di rumore e non è affidabile. La correlazione dell'anomalia con altri comportamenti fornisce una maggiore certezza.
AC.L2-3.1.7 Funzioni privilegiate (CMMC 2 - 3): Impedire agli utenti non privilegiati di eseguire funzioni privilegiate e registrare l'esecuzione di tali funzioni nei registri di audit. (800-53: AC-6(9), AC-6(10))
La piattaforma Vectra Threat Detection and Response fornisce avvisi automatici e in tempo reale di utenti che agiscono in modo privilegiato tramite integrazioni con AzureAD, Active Directory, LDAP e altre fonti di identità. Esaminando le azioni degli account e il "privilegio osservato" in correlazione con altri rilevamenti basati sul comportamento, è possibile attivare avvisi in tempo reale e il blocco/contenimento dell'account per mitigare le potenziali minacce.
AC.L2-3.1.12 Controllo dell'accesso remoto (CMMC 2 - 3): Monitorare e controllare le sessioni di accesso remoto. (800-53: AC-17(1))
Vectra Detect e Vectra Stream monitorano le sessioni e i percorsi di accesso remoto. Le informazioni possono essere utilizzate in base alle integrazioni con strumenti NAC, SOAR, EDR e SIEM. Le sessioni di accesso remoto vengono classificate e assegnate a un punteggio di rischio e impatto in Vectra Detect. Ciò consente ad analisti e ingegneri di concentrarsi sugli utenti a più alto rischio senza il rumore solitamente associato al monitoraggio delle sessioni di accesso remoto. All'interno dei metadati, i dettagli specifici sulle sessioni di accesso remoto e sui protocolli sono tracciati e correlati ai comportamenti dei potenziali aggressori dai modelli di intelligenza artificiale. La correlazione dei risultati dei vari modelli con le informazioni sulle sessioni di accesso remoto osservate consente di mettere in atto risposte automatiche, controlli, ecc.
AC.L2-3.1.15 Accesso remoto privilegiato (CMMC 2 - 3): Autorizzare l'esecuzione remota di comandi privilegiati e l'accesso remoto a informazioni rilevanti per la sicurezza. (800-53: AC-17(4))
Vectra Detect monitora l'esecuzione remota di comandi privilegiati. Questa funzionalità esiste in modo nativo, nei cloud commerciali e governativi e in ambienti Microsoft 365. L'osservazione dell'esecuzione remota di comandi privilegiati assegna automaticamente un punteggio elevato o critico a una risorsa in base ad altre attività comportamentali osservate.
AC.L2-3.1.8 Tentativi di accesso non riusciti (CMMC 2 - 3): Limitare i tentativi di accesso non riusciti.
La piattaforma di rilevamento e risposta alle minacce Vectra fornisce monitoraggio e rilevamenti indicativi di attacchi di forza bruta e meccanismi di bypass MFA, comunemente associati a tentativi di accesso non riusciti. I blocchi dovuti a più tentativi falliti sono di solito benigni, ma se abbinati ad altri rilevamenti di comportamenti di attacco, Vectra può fornire una riparazione automatica, il contenimento dell'account o altre azioni.
AC.L1-3.1.20 Connessioni esterne (CMMC 1 - 3): Verificare e controllare/limitare le connessioni e l'uso di sistemi informativi esterni. (800-53: AC-20, AC-20(1))
Vectra Detect e Vectra Stream monitorano le connessioni da e verso sistemi informativi esterni. I rilevamenti basati su queste funzionalità sono correlati con altre fonti di dati per automatizzare le risposte in base ai comportamenti osservati da Vectra e da altri strumenti di sicurezza e orchestrazione. Ad esempio, molti aggressori, malware o minacce interne sfruttano PowerAutomate per creare connessioni nascoste e relazioni di fiducia con fonti di dati esterne (DropBox, SharePoint, ecc.). Vectra fornisce un'abilitazione per rilevare queste "attività sospette" e i trust federati utilizzando i privilegi escalation.
Dominio: Identificazione e autenticazione (IA)
IA.L2-3.5.3 Autenticazione a più fattori (CMMC 2 - 3): Utilizzare l'autenticazione a più fattori per l'accesso locale e di rete agli account privilegiati e per l'accesso di rete agli account non privilegiati.
Sebbene l'autenticazione a più fattori (MFA) fornisca una migliore verifica dell'identità, molti avversari sofisticati e stati nazionali sono in grado di aggirare questi controlli tramite credenziali compromesse, spoofing e manipolazione delle configurazioni sottostanti all'interno di strumenti come Azure AD. La capacità di Vectra di rilevare i login che eludono l'MFA, gli amministratori di M365/AzureAD che apportano modifiche MFA atipiche e le scansioni complete della postura delle oltre 7.500 linee di configurazioni all'interno di AzureAD consentono di allertare i meccanismi che i sistemi radice stessi non possono fare.
Settore: Risposta agli incidenti (IR)
IR.L2-3.6.1 Gestione degli incidenti (CMMC 2 - 3): Stabilire una capacità operativa di gestione degli incidenti per i sistemi organizzativi che includa attività di preparazione, rilevamento, analisi, contenimento, recupero e risposta agli utenti. (800-53: IR-2, IR-4, IR-5, IR-6, IR-7)
Utilizzando le funzionalità di Vectra, le IR sono arricchite da dati che supportano il rilevamento, il contenimento e altri metadati arricchiti dall'intelligenza artificiale per la reportistica e la forensics. Inoltre, Vectra Detect fornisce funzionalità di rilevamento comportamentale in anticipo che mitigano l'IR effettiva sulla base del rilevamento precoce e dell'applicazione e degli avvisi automatizzati. Grazie alla capacità di rilevare in tempo reale minacce nuove e sconosciute senza firme, Vectra è in grado di fornire il rilevamento e il contenimento entro pochi secondi dall'individuazione dei primi comportamenti degli aggressori. Per mantenere la gestione delle modifiche, è possibile utilizzare ticket e playbook basati su SOAR per consentire un periodo di interazione umana prima di creare un contenimento/blocco automatico dell'host o dell'utente.
IR.L2-3.6.2 Segnalazione degli incidenti (CMMC 2 - 3): Tracciare, documentare e segnalare gli incidenti ai funzionari e/o alle autorità designate, sia interne che esterne all'organizzazione. (800-53: IR-2, IR-4, IR-5, IR-6, IR-7)
Vectra Detect individua, tara e segnala tramite il cruscotto Vectra gli incidenti come elevati o critici. Questi avvisi e la reportistica in tempo reale di Vectra Detect consentono di intraprendere azioni immediate. L'integrazione con gli strumenti SIEM e di ticketing consente ulteriori funzionalità di reporting e di risposta in base alle normative per le fonti interne ed esterne.
Dominio: Gestione del rischio (RM)
RA.L2-3.11.2 Scansione delle vulnerabilità (CMMC 2 - 3): Eseguire una scansione delle vulnerabilità nei sistemi e nelle applicazioni dell'organizzazione periodicamente e quando nuove vulnerabilità interessano tali sistemi e applicazioni. (800-53: RA-5, RA-5(5))
Vectra Stream raccoglie e archivia metadati di rete arricchiti di sicurezza da tutto il traffico. I metadati sono arricchiti da approfondimenti sulla sicurezza e dal contesto delle minacce, fondamentali per identificare i sistemi vulnerabili all'interno degli strumenti SIEM. Allo stesso tempo, Vectra Detect identifica in tempo reale nuovi sistemi che potrebbero essere vulnerabili in base al comportamento degli utenti osservati, ai movimenti laterali degli aggressori e agli oltre 70 modelli comportamentali brevettati basati sull'intelligenza artificiale. Alcune porzioni dei metadati possono essere utilizzate per far emergere caratteristiche come cifrari deboli (vecchie versioni di TLS), condivisioni SMB e beaconing che possono essere indicative di risorse vulnerabili. Molte organizzazioni scoprono che con la piattaforma Vectra Threat Detection and Response si rendono conto che ci sono molte più risorse nel loro ambiente che non sono considerate, ma che sono anche obiettivi primari per gli aggressori.
RA.L2-3.11.3 Eliminazione delle vulnerabilità (CMMC 2 - 3): Rimediare alle vulnerabilità in conformità alle valutazioni del rischio. (800-53: RA-5)
Vectra Detect e Vectra Stream sono in grado di agire immediatamente contro le vulnerabilità, sia in modo nativo che integrato con un ambiente di orchestrazione. Il rilevamento di account con MFA disattivato, host con SMB aperti o cifrari deboli e altre analisi del traffico di metadati consentono di porre rimedio alla situazione prima che siano state completate le valutazioni del rischio. La piattaforma Vectra Threat Detection and Response è in grado di eseguire la disattivazione automatica degli account all'interno di LDAP e AD e di coordinare la modifica dell'autorizzazione (COA) all'interno di una soluzione NAC per de-autorizzare o modificare le ACL in un ambiente. In base a vari rilevamenti, la capacità di contenere gli host con determinati punteggi di minaccia e certezza di Vectra può essere automatizzata all'interno di strumenti EDR come Microsoft Defender, CrowdStrike e CarbonBlack.
RA.L2-3.11.2 Scansione delle vulnerabilità (CMMC 2 - 3): Eseguire la scansione delle vulnerabilità nei sistemi e nelle applicazioni dell'organizzazione periodicamente e quando vengono identificate nuove vulnerabilità che interessano tali sistemi e applicazioni.
Una delle principali lacune nella maggior parte delle valutazioni della sicurezza e della conformità cloud è la postura delle oltre 7.500 linee di configurazione individuali per utente in AzureAD/M365. È stato riscontrato in molti casi che i token e l'autenticazione sono stati clonati da avversari che hanno sfruttato questi spazi facili da manipolare. Vectra fornisce una capacità di monitoraggio/scansione continua della postura all'interno di AzureAD nelle enclavi commerciali, GCC, GCC-HIGH e governative SECRET e TOP SECRET. Vectra Protect è l'unica funzionalità approvata da Microsoft per supportare queste iniziative.
Dominio: Valutazione della sicurezza (CA)
CA.L2-3.12.3 Monitoraggio dei controlli di sicurezza (CMMC 2 - 3): Monitorare i controlli di sicurezza su base continuativa per garantire la costante efficacia dei controlli. (800-53: CA-2, CA-5, CA-7, P-2)
Il motore di rilevamento informatico di Vectra AI fornisce visualizzazioni del cruscotto in tempo reale e avvisi di potenziali problemi, consentendo la convalida dei controlli di sicurezza e la possibilità di convalidare ulteriormente se i controlli di sicurezza sono efficaci e completi. Idealmente, un ambiente è ben controllato e bloccato, ma la maggior parte delle aziende non fornisce controlli adeguati sui sistemi ausiliari che consentono il movimento laterale in ambienti più critici. L'utilizzo del dashboard Vectra Detect consente di conoscere in tempo reale i sistemi compromessi, i nuovi attacchi che aggirano gli attuali controlli di sicurezza e di individuare i team rosso/viola durante le valutazioni.
Settore: Protezione dei sistemi e delle comunicazioni (SC)
SC.L2-3.13.6 Comunicazione di rete per eccezione (CMMC 2 - 3): Negare il traffico di comunicazioni di rete per impostazione predefinita e consentire il traffico di comunicazioni di rete per eccezione (cioè, negare tutto, consentire per eccezione).
Le organizzazioni che passano a un'architettura di sicurezza Zero Trust devono affrontare molte sfide. In quanto base analitica di numerose architetture di riferimento Zero Trust delle agenzie di intelligence, la piattaforma Vectra Threat Detection and Response fornisce a tutti gli ambienti un contesto aggiuntivo per il rilevamento delle anomalie nell'uso dei privilegi di host/account con privilegi elevati che utilizzano risorse al di fuori della norma appresa. Sebbene la zero trust limiti l'accesso sottostante, spesso non è abbastanza granulare da tracciare gli account abilitati dopo che sono stati concessi i permessi.
SC38: SC.L2-3.13.11 Crittografia CUI (CMMC 2 - 3): Impiegare la crittografia convalidata FIPS quando viene utilizzata per proteggere la riservatezza delle CUI. (800-53: SC-13)
I metadati arricchiti della piattaforma Vectra Threat Detection and Response sono in grado di distinguere i cifrari deboli presenti nell'ambiente, indicativi di una crittografia non convalidata FIPS. Uno dei principali risultati di molti report è che, sebbene l'ambiente sia abilitato FIPS, molti strumenti legacy o ambienti OT/IoT/ICS utilizzano crittografie deboli o deprecate. L'individuazione automatica di questi elementi all'interno della piattaforma Vectra Threat Detection and Response può fornire una visibilità immediata. La piattaforma Vectra Threat Detection and Response sfrutta la crittografia conforme a FIPS 140-2 per tutte le trasmissioni e i dati federali a riposo (DAR) dei metadati potenziati da ML e delle istanze micro-PCAP. Tutte le interfacce con sistemi di terze parti sono avviate con crittografie conformi. La piattaforma Vectra Threat Detection and Response non richiede la decodifica dei flussi di traffico per eseguire le funzionalità di rilevamento comportamentale basate su ML. Ciò significa che per le operazioni non è necessario effettuare un break-and-inspect.
SC39: SC.L1-3.13.1 Protezione dei confini (CMMC 1 - 3): Monitorare, controllare e proteggere le comunicazioni dell'organizzazione (cioè le informazioni trasmesse o ricevute dai sistemi informativi dell'organizzazione) ai confini esterni e ai confini interni chiave dei sistemi informativi. (800-53: SC-7, SA-8) Vectra Detect e Vectra Stream monitorano le comunicazioni ai confini esterni e ai confini chiave. I rilevamenti informatici comportamentali basati su reti neurali identificano e avvisano gli analisti della sicurezza di potenziali minacce in tempo reale a tutti i livelli dei sistemi di comunicazione. A differenza delle funzionalità basate sulle firme, Vectra non è vincolato a vettori di attacco "noti" per aggirare i confini, ma è invece in grado di rilevare attacchi nuovi o "sconosciuti" in base ai comportamenti successivi.
Dominio: Integrità del sistema e delle informazioni (SI)
SI.L1-3.14.1 Eliminazione delle falle (CMMC 1 - 3): Identificare, segnalare e correggere tempestivamente i difetti delle informazioni e dei sistemi informativi. (800-53: SI-2, Si-3, SI-5)
Vectra Stream offre un'integrazione completa dei data lake per la creazione di report e funzionalità forensi durante e dopo un incidente. Questi dati possono essere correlati con altre piattaforme per individuare le falle nei set di dati e consentire ai team SOC di completare esercizi comparativi utilizzando metadati arricchiti dall'intelligenza artificiale. Gli avvisi in tempo reale vengono completati nella dashboard della piattaforma Vectra Threat Detection and Response, motivo per cui molti CISO guardano Vectra all'inizio e alla fine di ogni turno per capire la situazione attuale.
SI.L1-3.14.2 Protezione da codice maligno (CMMC 1 - 3): Fornire una protezione da codice maligno in posizioni appropriate all'interno dei sistemi informativi dell'organizzazione. (800-53: SI-2, SI-3, SI-5)
Invece di prevenire il codice maligno, la piattaforma Vectra Threat Detection and Response rileva e risponde ai nuovi comportamenti netti delle minacce, tra cui la comunicazione command-and-control, l'esfiltrazione dei dati e il movimento laterale. Di conseguenza, la piattaforma Vectra Threat Detection and Response è in grado di mettere automaticamente in quarantena o in honeypot un sistema e di utilizzare la partnership del settore con le soluzioni NAC (Network Access Control), EDR ( Endpoint Detection and Response) e SOAR (Security Orchestration and Response) per mitigare l'ulteriore propagazione ad altri sistemi ed endpoint in ambienti cloud, remoti e di altro tipo. L'approccio che sfrutta l'intelligenza artificiale per automatizzare una risposta di sicurezza zero trust a potenziali attori maligni e attacchi net-new consente a Vectra di bloccare gli attacchi prima che abbiano inizio.
SI.L1-3.14.4 Aggiornare la protezione da codice maligno (CMMC 1 - 3): Aggiornare i meccanismi di protezione da codice maligno quando sono disponibili nuove versioni. (800-53: SI-3)
Grazie alla natura comportamentale della piattaforma Vectra Threat Detection and Response, gli aggiornamenti non sono necessari e il sistema sfrutta continuamente nuovi algoritmi AL per rilevare le minacce emergenti prima che le definizioni tradizionali siano state rilasciate dalla maggior parte dei fornitori e delle organizzazioni di sicurezza. Sfruttando i rilevamenti comportamentali dell'intelligenza artificiale, è possibile ridurre la minaccia dei nuovi aggressori e ridurre il tempo di rilevamento e di risposta da ore, giorni o settimane a minuti.
SI.L2-3.14.6 Monitoraggio delle comunicazioni per gli attacchi (CMMC 2 - 3): Monitorare i sistemi organizzativi, compreso il traffico di comunicazioni in entrata e in uscita, per rilevare attacchi e indicatori di potenziali attacchi. (800-53: AU-2, AU-2(3), AU-6, SI-4, SI-4(4))
Vectra Detect offre funzionalità IDS/IPS di nuova generazione e rilevamento comportamentale degli attacchi guidato dall'intelligenza artificiale, senza la necessità di definizioni, decrittazione del traffico o altre tecniche comuni alla maggior parte delle offerte commerciali. Supportando la maggior parte dei nostri consumatori di sistemi di sicurezza nazionale (NSS), Vectra consente ai team informatici di mitigare un attacco prima che si sia spostato in uno stato di replica o che abbia causato danni.
SI.L2-3.14.7 Identificare l'uso non autorizzato (CMMC 2 - 3): Identificare l'uso non autorizzato dei sistemi organizzativi. (800-53: SI-4)
Vectra Detect identifica, risponde e mitiga l'abuso e la compromissione degli account privilegiati quando gli utenti eseguono attività che vanno oltre i normali comportamenti. Questi comportamenti dannosi sono i primi indicatori del fatto che un aggressore si è impadronito dell'account e dei privilegi di un utente o ha creato un account falso per muoversi lateralmente alla ricerca di risorse da esfiltrare. La maggior parte degli attacchi recenti ha sfruttato un certo livello di compromissione dell'account M365 e il movimento laterale attraverso gli ambienti basato sull'escalation dei privilegi. Essere in grado di rilevare questi comportamenti prima che abbiano il tempo di essere eseguiti nel GCC-HIGH è un componente chiave per proteggere l'azienda.
In sintesi
Vectra mappa i vari requisiti del CMMC attraverso la piattaforma Vectra Threat Detection and Response. Vectra, la piattaforma numero uno per il rilevamento e la risposta alla rete basata sull'intelligenza artificiale, supporta i carichi di lavoro in tutta la rete a qualsiasi livello di classificazione, compresi cloud, data center, IoT e aziende. La piattaforma consente il monitoraggio continuo e gli avvisi in tempo reale, riducendo al contempo il carico di lavoro complessivo dei centri operativi di sicurezza (SOC) e degli analisti di sicurezza.
Fiducia da parte di esperti e aziende di tutto il mondo
