一、背景
2020年初,美国国防部发布了网络安全成熟度模型(CMMC)。2020 年六月后,开始在建议征求书(RFP) 和资讯征求书(RFI) 中纳入CMMC相关要求,并计划在2026 年之前让CMMC 成为所有国防部采购项目的必要条件。
美国平均每年因网络安全所造成的损失达六千亿美金。从超音速武器到皮革工厂,目前国防部大约有三十万家供应商,而其中约有二十九万家基本上没有任何的网络安全措施。美国政府近几年决定加大力度整顿国防供应链体系,而网络安全被视为首要议题。在此之前,国防部要求供应商遵循DFARS 252.204-7012 以及NIST 800-171 里的相关规定。然而问题在于,其一由厂商自我核查不具备监督性,其二是国防部并未就此系列标准的细节给予过多的关注。正因为以上原因,美国国防部才会制定新标准体系,CMMC 以NIST 800-171 作为基准,加入更多规则以及审查方式。最大的不同便是今后供应商须经由国防部授权的第三方评估单位(C3PAOs) 评估认证,国防部将会依据相关特性,要求符合的CMMC 等级。
CMMC 分为五级,而每一级皆由process及practice两部分组成。供应商要获得某一层级的认证,则必须符合该层级和以下所有层级的process及practice的标准要求。
对于供应商而言,符合CMMC标准模型非常重要,因为供应商经过评估后达到的水平等级将决定他们有资格获得哪些国防部的项目合同,但是符合CMMC标准模型又有哪些挑战呢?
二、挑战与苦难
CMMC中要求的能力领域非常广泛,涵盖了从物理安全到人员安全再到资产管理的所有领域。但是,CMMC的目标不仅是要求供应商满足模型的要求,而且要求其具备全面的网络安全能力,如果具备这种全面能力则足以应对未来的威胁。
准备CMMC评估的供应商必须考虑其 ICS网络环境,没有哪一个制造厂商不使用ICS系统,现代的攻击通常会跨越IT / OT边界, 另外,有部分CMMC能力要求不适用于 ICS网络环境。 在ICS网络环境中的资产发现,威胁检测,事件响应等都和IT网络同等重要。
尽管CMMC有许多特殊的要求,但就大部分要求而言可以归纳为通用的考虑因素。如果没有任何思路,下边将讲述4方面的注意点,为ICS网络符合CMMC的相关要求做以指导和参考。
三、几个注意点
3.1 掌握ICS网络环境中的资产
如果不了解网络中的资产,就无法保护连自己都不知道的东西,也不能对网络安全方案做出决策。目前碰到的很多用户,他们不知道自己的ICS网络中拥有多少设备以及设备中的漏洞信息,也不了解这些资产如何通信和如何连接的。没有这些信息,就无法确定降低风险的策略。
如果在ICS网络环境中资产没有可见性,就不可能解决ICS网络对CMMC的合规性要求,这不仅意味着对资产本身(包括其属性)的可见性,而且还意味着对风险和漏洞的可见性,例如未经授权的Internet连接或未修补漏洞的设备。
3.2 ICS网络架构的健壮性
ICS网络环境中的资产,属性和通信的可见性也是回答此问题的关键。CMMC的重点是在国防部供应商中建立更强大的整体网络安全态势,其中,建立强大的ICS网络安全的方法非常重要。
一旦了解了ICS设备的通信,就可以验证 ICS网络体系架构是否具有强大能力,例如,确保设备仅按预期与Internet通信而不出现非预期的其他通信链接,或者执行更加网格化的分段隔离策略。
3.3 了解哪些漏洞可能是系统面临风险
CMMC的许多要求都集中在识别和解决系统或者设备漏洞上。对于 ICS网络,这可能意味着未修补的CVE,设备故障或使用未经授权的端口访问等。CMMC能力域中要求能够检测到此类漏洞并确定其优先级,以便持续管理和解决面临的风险。
3.4 是否能够检测ICS系统面临的威胁
与IT系统的威胁检测相比,检测ICS威胁是一种截然不同的方式。IT威胁通常由端点检测和软件检测和阻止为主,但大部分嵌入式 ICS设备不支持该种方法,而且IT团队不具备管理权限。因此, ICS威胁检测方法需要结合ICS的行为分析和流量分析等方法。
四、结语
尽管CMMC中提到的要求比上面提到的更加深入,但其中许多与上述的4个注意点紧密相关。从以上提及的 ICS安全性的四个注意点出发,将为合规工作提供一个良好的起点。
本文通过介绍美国国防部实施的CMMC模型,也给我国在国防领域、关键基础设施领域供应商评估体系建设提供一些思路,从刚开始就将网络安全问题纳入到供应商能力评估列表中有助于后续应对更加复杂的国际环境和威胁。
参考文献:
1.https://cyberx-labs.com/blog/four-considerations-for-making-your-iot-ics-networks-cmmc-compliant/