Al fine di proteggere le informazioni di difesa soggette a tutela (CDI) – dati non classificati ma considerati sensibili in quanto forniti dal governo degli Stati Uniti o generati per conto dello stesso e non destinati alla divulgazione pubblica – sono in vigore la clausola DFARS 252.204-7012 e le norme relative alla «Tutela delle informazioni di difesa soggette a tutela e alla segnalazione di incidenti informatici».
Il supplemento DFARS si applica a tutti i bandi di gara del Dipartimento della Difesa degli Stati Uniti (DoD), ad eccezione degli appalti relativi a «prodotti commerciali disponibili in commercio».
Se un'azienda ha stipulato contratti con il Dipartimento della Difesa (DoD) o è subappaltatrice di un appaltatore principale che ha contratti con il DoD, tale organizzazione ha tempo fino al 31 dicembre 2017 per attuare la norma NIST SP 800-171. Si tratta di un requisito previsto dalla clausola DFARS 252.204-7012.
La clausola sul cyber-security del DFARS deve essere estesa a tutti i fornitori o subappaltatori che, nell'ambito dell'esecuzione del contratto, archivieranno, tratteranno e/o genereranno informazioni classificate (CDI).
Il CDI comprende informazioni tecniche controllate non classificate o altre informazioni, come descritto nel Registro delle informazioni controllate non classificate (CUI). Esso richiede misure di protezione o controlli sulla diffusione conformi alle leggi, ai regolamenti e alle politiche governative generali, ed è:
- indicato o altrimenti identificato nel contratto, nell'ordine di lavoro o nell'ordine di consegna e fornito all'appaltatore dal Dipartimento della Difesa o per suo conto a sostegno dell'esecuzione del contratto; oppure
- Raccolti, elaborati, ricevuti, trasmessi, utilizzati o conservati dal contraente o per suo conto ai fini dell'esecuzione del contratto.
Per "informazioni tecniche soggette a controllo" si intendono le informazioni tecniche con applicazioni militari o spaziali soggette a restrizioni in materia di accesso, utilizzo, riproduzione, modifica, esecuzione, visualizzazione, pubblicazione, divulgazione o diffusione.
Le informazioni tecniche soggette a controllo, se diffuse, soddisferebbero i criteri previsti per le dichiarazioni di distribuzione da B a F, secondo i criteri stabiliti nell'Istruzione del Dipartimento della Difesa (DoD) n. 5230.24, "Dichiarazioni di distribuzione sui documenti tecnici". Il termine non include le informazioni legalmente accessibili al pubblico senza restrizioni.
La buona notizia è che la norma NIST 800-171 prevede una tabella di corrispondenza (Appendice D) che consente di mappare i controlli della norma NIST 800-53 alla norma NIST 800-171. La norma NIST 800-53 costituisce il quadro normativo federale per la protezione delle infrastrutture critiche ed è uno standard ampiamente utilizzato per mappare i processi e il livello di maturità di un programma di sicurezza.
I paragrafi seguenti illustrano gli elementi chiave del quadro di riferimento del NIST e spiegano in dettaglio come la Vectra AI garantisca agli appaltatori e ai subappaltatori del Dipartimento della Difesa un sistema continuo e automatizzato di rilevamento e risposta alle minacce su tutte le reti aziendali, dai carichi di lavoro cloud nei data center ai dispositivi degli utenti e dell'IoT.
Grazie all'intelligenza artificiale, la Vectra AI riduce settimane o mesi di lavoro a pochi minuti, consentendo ai team addetti alla sicurezza di intervenire rapidamente per prevenire furti o danni causati da attacchi informatici. Le categorie descritte dalla norma NIST 800-171 supportate dalla Vectra AI sono illustrate in dettaglio nelle tabelle seguenti:
3.4 Gestione della configurazione
Requisiti di sicurezza di base
| Sottocategoria |
Vectra AI |
| 3.4.1 Definire e mantenere le configurazioni di riferimento e gli inventari dei sistemi informativi dell'organizzazione (compresi hardware, software, firmware e documentazione) durante l'intero ciclo di vita dei rispettivi sistemi. |
Vectra AI monitora e analizza Vectra AI il traffico di rete interno, il traffico diretto verso Internet e quello dei data center, compreso il traffico tra i carichi di lavoro virtuali all'interno dei data center, al fine di stabilire i valori di riferimento relativi al comportamento dei sistemi e individuare eventuali attività non autorizzate. |
| 3.4.2 Definire e applicare le impostazioni di configurazione di sicurezza per i prodotti informatici utilizzati nei sistemi informativi dell'organizzazione. |
Vectra AI monitora e analizza Vectra AI il traffico di rete interno, il traffico diretto verso Internet e quello dei data center, compreso il traffico tra i carichi di lavoro virtuali all'interno dei data center, al fine di stabilire i valori di riferimento relativi al comportamento dei sistemi e individuare eventuali attività non autorizzate. |
Requisiti di sicurezza derivati
| Sottocategoria |
Vectra AI |
| 3.4.3 Monitorare, esaminare, approvare o respingere e verificare le modifiche apportate ai sistemi informativi. |
Vectra AI l'infrastruttura Kerberos interna per individuare i normali modelli di utilizzo e rilevare eventuali compromissioni delle credenziali degli utenti autorizzati da parte di malintenzionati, compreso l'uso improprio delle credenziali amministrative e l'abuso di protocolli amministrativi, come IPMI. |
| 3.4.4 Analizzare l'impatto sulla sicurezza delle modifiche prima della loro implementazione. |
Vectra AI numerose funzionalità di allerta precoce per individuare ransomware, altre malware e attività dannose che precedono un attacco a qualsiasi dispositivo di rete, compresi quelli che non dispongono di software antivirus. |
| 3.4.5 Definire, documentare, approvare e applicare le restrizioni di accesso fisico e logico associate alle modifiche apportate al sistema informativo. |
Vectra AI monitora e analizza Vectra AI tutto il traffico di rete, compreso quello interno tra host fisici e virtuali dotati di indirizzo IP, quali laptop, smartphone, dispositivi BYOD e dispositivi IoT, indipendentemente dal sistema operativo o dall'applicazione. |
| 3.4.6 Applicare il principio della funzionalità minima configurando il sistema informativo in modo che fornisca solo le funzionalità essenziali. |
Una combinazione di apprendimento automatico supervisionato e non supervisionato applicata alla rete locale consente di definire un modello di riferimento dei comportamenti appropriati e autorizzati, sulla base del quale individuare comportamenti non autorizzati da parte del personale, delle connessioni, dei dispositivi e dei software. |
| 3.4.7 Limitare, disabilitare e impedire l'uso di funzioni, porte, protocolli e servizi non essenziali. |
Una combinazione di apprendimento automatico supervisionato e non supervisionato applicata alla rete locale consente di definire un modello di riferimento dei comportamenti appropriati e autorizzati, sulla base del quale individuare comportamenti non autorizzati da parte del personale, delle connessioni, dei dispositivi e dei software. |
| 3.4.8 Applicare una politica di tipo "deny-by-exception" (lista nera) per impedire l'uso di software non autorizzato, oppure una politica di tipo "deny-all, permit-by-exception" (lista bianca) per consentire l'esecuzione di software autorizzato. |
Una combinazione di apprendimento automatico supervisionato e non supervisionato applicata alla rete locale consente di definire un modello di riferimento dei comportamenti appropriati e autorizzati, sulla base del quale individuare comportamenti non autorizzati da parte del personale, delle connessioni, dei dispositivi e dei software. |
3.6 Risposta agli incidenti
| Sottocategoria |
Vectra AI |
| 3.6.1 Istituire una struttura operativa per la gestione degli incidenti relativi ai sistemi informativi dell'organizzazione, che comprenda adeguate attività di preparazione, individuazione, analisi, contenimento, ripristino e risposta agli utenti. |
I metadati vengono analizzati tramite algoritmi di rilevamento comportamentale per identificare gli autori degli attacchi nascosti e sconosciuti. Ad esempio, l'apprendimento automatico supervisionato consente a Vectra AI le caratteristiche nascoste comuni a tutte le minacce, mentre l'apprendimento automatico non supervisionato rivela i modelli di attacco. Vectra AI migliaia di eventi e caratteristiche di rete in un unico rilevamento utilizzando tecniche di apprendimento automatico che individuano automaticamente gli autori degli attacchi sulla base delle caratteristiche del traffico di rete. |
| 3.6.2 Monitorare, documentare e segnalare gli incidenti ai responsabili aziendali competenti e/o alle autorità competenti. |
La valutazione automatica degli host rivela il rischio complessivo per la rete sulla base della minaccia e del grado di certezza. Il Threat Certainty Index™ di Vectra AI tutte le minacce e attribuisce la massima priorità agli attacchi che comportano il rischio maggiore. La valutazione degli host compromessi effettuata dal Threat Certainty Index consente ai team di sicurezza di definire livelli di soglia basati sul punteggio combinato (ad esempio, critico > 50/50). |
