Per proteggere le informazioni di difesa coperte (CDI) – dati non classificati considerati sensibili perché forniti o generati dal governo degli Stati Uniti e non destinati alla divulgazione pubblica – esistono la norma DFARS 252.204-7012 e le regole relative alla "Protezione delle informazioni di difesa coperte e alla segnalazione di incidenti informatici".
Il supplemento DFARS si applica a tutte le richieste del Dipartimento della Difesa degli Stati Uniti (DoD) diverse dagli appalti per "articoli commerciali disponibili sul mercato".
Se un'azienda ha contratti con il Dipartimento della Difesa (DoD) o è un subappaltatore di un appaltatore principale con contratti DoD, tale organizzazione ha tempo fino al 31 dicembre 2017 per implementare lo standard NIST SP 800-171. Si tratta di un requisito previsto dal DFARS 252.204-7012.
La clausola DFARS relativa alla sicurezza informatica deve essere applicata a tutti i fornitori o subappaltatori che archiviano, elaborano e/o generano CDI nell'ambito dell'esecuzione del contratto.
Il CDI include informazioni tecniche controllate non classificate o altre informazioni, come descritto nel Registro delle informazioni controllate non classificate (CUI). Richiede misure di protezione o controlli sulla diffusione in conformità con le leggi, i regolamenti e le politiche governative, ed è:
- Contrassegnati o altrimenti identificati nel contratto, nell'ordine di lavoro o nell'ordine di consegna e forniti all'appaltatore dal o per conto del Dipartimento della Difesa a sostegno dell'esecuzione del contratto; oppure
- Raccolti, sviluppati, ricevuti, trasmessi, utilizzati o conservati dal contraente o per suo conto a sostegno dell'esecuzione del contratto.
Per informazioni tecniche controllate si intendono le informazioni tecniche con applicazioni militari o spaziali soggette a controlli in materia di accesso, utilizzo, riproduzione, modifica, esecuzione, visualizzazione, divulgazione, comunicazione o diffusione.
Le informazioni tecniche controllate soddisferebbero i criteri, se divulgate, per le dichiarazioni di distribuzione da B a F utilizzando i criteri stabiliti nell'istruzione DoD 5230.24, Dichiarazioni di distribuzione su documenti tecnici. Il termine non include le informazioni che sono legalmente disponibili al pubblico senza restrizioni.
La buona notizia è che lo standard NIST 800-171 dispone di una tabella di mappatura (Appendice D) per mappare i controlli dallo standard NIST 800-53 allo standard NIST 800-171. Lo standard NIST 800-53 è il quadro federale per la sicurezza delle infrastrutture critiche, uno standard ampiamente utilizzato per mappare il processo e la maturità di un programma di sicurezza.
Le sezioni seguenti evidenziano i componenti chiave del framework NIST e forniscono dettagli su come la Vectra AI offre agli appaltatori e ai subappaltatori del Dipartimento della Difesa statunitense un rilevamento e una risposta continui e automatizzati alle minacce nelle reti aziendali, dai carichi di lavoro cloud dei data center ai dispositivi degli utenti e IoT.
Grazie all'intelligenza artificiale, la Vectra AI condensa settimane o mesi di lavoro in pochi minuti, consentendo ai team addetti alla sicurezza di intervenire rapidamente per prevenire furti o danni causati da attacchi informatici. Le categorie descritte dal NIST 800-171 supportate dalla Vectra AI sono illustrate in dettaglio nelle tabelle seguenti:
3.4 Gestione della configurazione
Requisiti di sicurezza di base
| Sottocategoria |
Vectra AI |
| 3.4.1 Stabilire e mantenere configurazioni di base e inventari dei sistemi informativi organizzativi (compresi hardware, software, firmware e documentazione) durante i rispettivi cicli di vita dello sviluppo dei sistemi. |
Vectra AI monitora e analizza Vectra AI il traffico di rete interno, il traffico Internet e il traffico del data center, compreso il traffico tra i carichi di lavoro virtuali nel data center, per stabilire le linee guida dei comportamenti del sistema e identificare attività non autorizzate. |
| 3.4.2 Stabilire e applicare le impostazioni di configurazione di sicurezza per i prodotti informatici utilizzati nei sistemi informativi dell'organizzazione. |
Vectra AI monitora e analizza Vectra AI il traffico di rete interno, il traffico Internet e il traffico del data center, compreso il traffico tra i carichi di lavoro virtuali nel data center, per stabilire le linee guida dei comportamenti del sistema e identificare attività non autorizzate. |
Requisiti di sicurezza derivati
| Sottocategoria |
Vectra AI |
| 3.4.3 Monitorare, esaminare, approvare/disapprovare e verificare le modifiche apportate ai sistemi informativi. |
Vectra AI l'infrastruttura Kerberos interna per comprendere i normali comportamenti di utilizzo e rilevare quando le credenziali degli utenti affidabili vengono compromesse dagli aggressori, compreso l'uso improprio delle credenziali amministrative e l'abuso dei protocolli amministrativi, come IPMI. |
| 3.4.4 Analizzare l'impatto sulla sicurezza delle modifiche prima dell'implementazione. |
Vectra AI diverse opportunità di allerta precoce per rilevare ransomware, altre malware e attività dannose che precedono un attacco a qualsiasi dispositivo di rete, compresi i dispositivi che non eseguono software antivirus. |
| 3.4.5 Definire, documentare, approvare e applicare restrizioni di accesso fisiche e logiche associate alle modifiche al sistema informativo. |
Vectra AI monitora e analizza Vectra AI tutto il traffico di rete, compreso il traffico interno tra host fisici e virtuali con un indirizzo IP, come laptop, smartphone, BYOD e dispositivi IoT, indipendentemente dal sistema operativo o dall'applicazione. |
| 3.4.6 Applicare il principio della funzionalità minima configurando il sistema informativo in modo che fornisca solo le funzionalità essenziali. |
Una combinazione di apprendimento automatico supervisionato e non supervisionato applicato alla rete locale sviluppa la linea di base dei comportamenti appropriati e approvati da cui identificare i comportamenti non approvati di personale, connessioni, dispositivi e software. |
| 3.4.7 Limitare, disabilitare e impedire l'uso di funzioni, porte, protocolli e servizi non essenziali. |
Una combinazione di apprendimento automatico supervisionato e non supervisionato applicato alla rete locale sviluppa la linea di base dei comportamenti appropriati e approvati da cui identificare i comportamenti non approvati di personale, connessioni, dispositivi e software. |
| 3.4.8 Applicare una politica di negazione per eccezione (lista nera) per impedire l'uso di software non autorizzato o una politica di negazione totale, autorizzazione per eccezione (lista bianca) per consentire l'esecuzione di software autorizzato. |
Una combinazione di apprendimento automatico supervisionato e non supervisionato applicato alla rete locale sviluppa la linea di base dei comportamenti appropriati e approvati da cui identificare i comportamenti non approvati di personale, connessioni, dispositivi e software. |
3.6 Risposta agli incidenti
| Sottocategoria |
Vectra AI |
| 3.6.1 Stabilire una capacità operativa di gestione degli incidenti per i sistemi informativi organizzativi che includa adeguate attività di preparazione, rilevamento, analisi, contenimento, ripristino e risposta degli utenti. |
I metadati vengono analizzati con algoritmi di rilevamento comportamentale per identificare gli aggressori nascosti e sconosciuti. Ad esempio, l'apprendimento automatico supervisionato consente a Vectra AI le caratteristiche nascoste comuni a tutte le minacce, mentre l'apprendimento automatico non supervisionato rivela i modelli di attacco. Vectra AI migliaia di eventi e caratteristiche di rete in un unico rilevamento utilizzando tecniche di apprendimento automatico che smascherano automaticamente gli aggressori in base alle caratteristiche del traffico di rete. |
| 3.6.2 Monitorare, documentare e segnalare gli incidenti ai funzionari e/o alle autorità competenti dell'organizzazione. |
Il punteggio automatico degli host rivela il rischio complessivo per la rete in base alla minaccia e alla certezza. Il Threat Certainty Index™ di Vectra AI tutte le minacce e dà la priorità agli attacchi che rappresentano il rischio maggiore. Il punteggio degli host compromessi assegnato dal Threat Certainty Index consente ai team di sicurezza di definire livelli di soglia basati sul punteggio combinato (ad esempio, critico > 50/50). |
