Per proteggere le Covered Defense Information (CDI) - dati non classificati e classificati come sensibili perché forniti o generati per il governo degli Stati Uniti e non destinati alla divulgazione - è stato introdotto il DFARS 252.204-7012 e le regole relative alla "Salvaguardia delle Covered Defense Information e alla segnalazione di incidenti informatici".
Il supplemento DFARS si applica a tutte le sollecitazioni del Dipartimento della Difesa degli Stati Uniti (DoD) diverse dagli appalti per "articoli commerciali off-the-shelf".
Se un'azienda ha contratti con il DoD o è un subappaltatore di un appaltatore principale con contratti DoD, ha tempo fino al 31 dicembre 2017 per implementare il NIST SP 800-171. Questo requisito è previsto dal DFARS 252.204-7012.
La clausola cyber del DFARS deve essere estesa a tutti i fornitori o subappaltatori che memorizzeranno, elaboreranno e/o genereranno CDI nell'ambito dell'esecuzione del contratto.
Le CDI comprendono informazioni tecniche controllate non classificate o altre informazioni, come descritto nel Registro delle informazioni non classificate controllate (CUI). Richiedono controlli di salvaguardia o di diffusione in conformità alla legge, ai regolamenti e alle politiche governative e sono:
- Contrassegnati o altrimenti identificati nel contratto, nell'ordine di missione o nell'ordine di consegna e forniti al contraente da o per conto del Dipartimento della Difesa a sostegno dell'esecuzione del contratto; oppure
- Raccolti, sviluppati, ricevuti, trasmessi, utilizzati o conservati da o per conto del contraente a sostegno dell'esecuzione del contratto.
Per informazioni tecniche controllate si intendono le informazioni tecniche con applicazioni militari o spaziali soggette a controlli sull'accesso, l'uso, la riproduzione, la modifica, l'esecuzione, la visualizzazione, il rilascio, la divulgazione o la diffusione.
Le informazioni tecniche controllate soddisfano i criteri, se diffuse, per le dichiarazioni di distribuzione da B a F, utilizzando i criteri stabiliti nell'Istruzione DoD 5230.24, Dichiarazioni di distribuzione sui documenti tecnici. Il termine non include le informazioni che sono legalmente disponibili al pubblico senza restrizioni.
La buona notizia è che il NIST 800-171 contiene una tabella di mappatura (Appendice D) per mappare i controlli dal NIST 800-53 al NIST 800-171. Il NIST 800-53 è il quadro federale per la sicurezza delle infrastrutture critiche, uno standard ampiamente utilizzato per la mappatura dei processi e della maturità di un programma di sicurezza.
Le sezioni che seguono evidenziano i componenti chiave del framework NIST e forniscono dettagli su come la piattaforma Vectra AI fornisce agli appaltatori e subappaltatori del DoD un rilevamento e una risposta alle minacce continui e automatizzati su tutte le reti aziendali, dai carichi di lavoro cloud e del data center ai dispositivi utente e IoT.
Grazie all'intelligenza artificiale, la piattaforma Vectra AI riduce in pochi minuti settimane o mesi di lavoro, consentendo ai team operativi di sicurezza di agire rapidamente per prevenire furti o danni da attacchi informatici. Le categorie descritte dalla norma NIST 800- 171 che sono supportate dalla piattaforma Vectra AI sono dettagliate nelle tabelle seguenti:
3.4 Gestione della configurazione
Requisiti di sicurezza di base
| Sottocategoria |
Capacità Vectra AI di Vectra AI |
| 3.4.1 Stabilire e mantenere le configurazioni di base e gli inventari dei sistemi informativi dell'organizzazione (compresi hardware, software, firmware e documentazione) durante i rispettivi cicli di vita del sistema. |
Vectra AI monitora e analizza continuamente il traffico di rete interno, il traffico verso Internet e il traffico del data center, compreso il traffico tra carichi di lavoro virtuali nel data center, per stabilire le linee di base dei comportamenti del sistema e identificare le attività non approvate. |
| 3.4.2 Stabilire e applicare le impostazioni di configurazione della sicurezza per i prodotti informatici utilizzati nei sistemi informativi dell'organizzazione. |
Vectra AI monitora e analizza continuamente il traffico di rete interno, il traffico verso Internet e il traffico del data center, compreso il traffico tra carichi di lavoro virtuali nel data center, per stabilire le linee di base dei comportamenti del sistema e identificare le attività non approvate. |
Requisiti di sicurezza derivati
| Sottocategoria |
Capacità Vectra AI di Vectra AI |
| 3.4.3 Tracciare, rivedere, approvare/disapprovare e verificare le modifiche ai sistemi informativi. |
Vectra AI tiene traccia dell'infrastruttura Kerberos interna per comprendere i normali comportamenti di utilizzo e rilevare quando le credenziali dell'utente fidato vengono compromesse dagli aggressori, compreso l'uso improprio delle credenziali amministrative e l'abuso dei protocolli amministrativi, come IPMI. |
| 3.4.4 Analizzare l'impatto sulla sicurezza delle modifiche prima dell'implementazione. |
Vectra AI offre molteplici opportunità di allerta precoce per rilevare ransomware, altre varianti malware e attività dannose che precedono un attacco su qualsiasi dispositivo di rete, compresi i dispositivi che non eseguono software antivirus. |
| 3.4.5 Definire, documentare, approvare e applicare le restrizioni di accesso fisico e logico associate alle modifiche al sistema informativo. |
Vectra AI monitora e analizza costantemente tutto il traffico di rete, compreso quello interno tra host fisici e virtuali con un indirizzo IP, come laptop, smartphone, dispositivi BYOD e IoT, indipendentemente dal sistema operativo o dall'applicazione. |
| 3.4.6 Utilizzare il principio della minima funzionalità configurando il sistema informativo in modo da fornire solo le funzionalità essenziali. |
Una combinazione di apprendimento automatico supervisionato e non supervisionato applicato alla rete locale sviluppa la linea di base del comportamento appropriato e approvato da cui identificare il comportamento non approvato di personale, connessioni, dispositivi e software. |
| 3.4.7 Limitare, disabilitare e impedire l'uso di funzioni, porte, protocolli e servizi non essenziali. |
Una combinazione di apprendimento automatico supervisionato e non supervisionato applicato alla rete locale sviluppa la linea di base del comportamento appropriato e approvato da cui identificare il comportamento non approvato di personale, connessioni, dispositivi e software. |
| 3.4.8 Applicare una politica di negazione per eccezione (blacklist) per impedire l'uso di software non autorizzato o una politica di negazione per tutti e di permesso per eccezione (whitelisting) per consentire l'esecuzione di software autorizzato. |
Una combinazione di apprendimento automatico supervisionato e non supervisionato applicato alla rete locale sviluppa la linea di base del comportamento appropriato e approvato da cui identificare il comportamento non approvato di personale, connessioni, dispositivi e software. |
3.6 Risposta agli incidenti
| Sottocategoria |
Capacità Vectra AI di Vectra AI |
| 3.6.1 Stabilire una capacità operativa di gestione degli incidenti per i sistemi informativi dell'organizzazione che includa adeguate attività di preparazione, rilevamento, analisi, contenimento, recupero e risposta agli utenti. |
I metadati vengono analizzati con algoritmi di rilevamento comportamentale per identificare gli aggressori nascosti e sconosciuti. Ad esempio, l'apprendimento automatico supervisionato consente a Vectra AI di trovare i tratti nascosti che tutte le minacce hanno in comune, mentre l'apprendimento automatico non supervisionato rivela i modelli di attacco. Vectra AI condensa migliaia di eventi e caratteristiche di rete in un unico rilevamento, utilizzando tecniche di apprendimento automatico che smascherano automaticamente gli aggressori in base alle caratteristiche del traffico di rete. |
| 3.6.2 Tracciare, documentare e segnalare gli incidenti ai funzionari e/o alle autorità organizzative competenti. |
Il punteggio automatico degli host rivela il rischio complessivo per la rete in base alla minaccia e alla certezza. Il Threat Certainty Index™ di Vectra AI assegna un punteggio a tutte le minacce e dà priorità agli attacchi che rappresentano il rischio maggiore. Il punteggio degli host compromessi in base al Threat Certainty Index consente ai team di sicurezza di definire livelli di soglia in base al punteggio combinato (ad esempio, critico > 50/50). |
