在CMMC时代的IT / OT安全性的多功能平台的好处

制造业正面临越来越多的网络相关风险和攻击威胁。在过去的一年里，我们看到针对制造企业的网络安全攻击发生了重大转变。从2019年到2020年，它们从第八大目标跃升至第二大目标。这只是美国国防部(DoD)推出它的原因之一网络安全成熟度模型认证（CMMC）确保国防工业基地内受控非机密信息(CUI)的保护。

事实上，据2020工业控制系统网络应急响应团队（ICS-CERT）警报从2019年到2020年，在ICS产品中发现的常见漏洞和暴露（CVES）的数量增加了50％。这些漏洞主要在制造，能源和运输类别中找到。

随着CMMC的推出，对制造企业来说，除了CMMC之外，更广泛地考虑问题是很重要的。虽然它可以解决CUI之外的其他风险，但它并不是万能的。

什么是cmmc？

CMMC是美国国防部新的国防工业基地网络安全成熟度模型，专门专注于国防部合同。它将随着时间的推移实施，并在任何一级承包商与国防部进行业务。

每个合同将确定该工作范围的安全成熟度标准。目前正在组建的认证委员会将对每个供应商的五个成熟度等级进行评估。CMMC认证委员会(CMMC- ab)最近任命马修·特拉维斯(Matthew Travis)为首席执行官，卡尔顿·约翰逊(Karlton Johnson)为主席。

CMMC专注于保护CUI，以保护国家的国防机密不被泄露给外国政府或黑客，他们可能会反过来出售这些信息。

CMMC今年启动了几个试点计划，预计将于2025年完全实施，尽管总统主管部门和Covid-19复杂性的变更存在一些延迟。无论时间范围内，还将在未来几年使用CMMC标准颁发越来越多的合同。

它是如何结构化的？

CMMC模型分为多个域 - 这是不同类别的 - 访问控制，访问管理。

在每个领域中，每个成熟度级别都有一系列的实践和过程，每个公司必须达到这些实践和过程才能被认为是第1级或第2级，以此类推。这些流程涵盖了程序立场，而实践则是确保公司在做技术上的事情的方法，比如打补丁或确保最不受特权的访问。制度化的过程决定了组织在其成熟过程中走了多远。

CMMC的17个功能域是什么？

如果您查看了其他网络安全标准，CMMC可能似乎非常相似。它利用了许多其他标准已经令人鼓舞或需要的。

CMMC指的是在最基本的水平上成熟，无论是由基本网络卫生的过程还是实践。记录和管理进程。目标是监控他们正在发生，定期审查他们是否仍然工作和优化或调整时间，以确保我们越来越好。实践是更积极的元素。这些超出基本基础知识，并试图领先于攻击者可能接下来的地方。

为什么要创建CMMC，为什么它很重要?

外国威胁演员已经证明了国防工业基地的成功渗透，以窃取关键信息和知识产权（见F-35计划）。关键供应链的妥协可能导致知识产权风险，也可能导致该信息以军警通知反抗辩的潜力。

供应链是跨行业的关键威胁，但特别是在制造中。让我们看看一个真实的例子：

最近，Revil集团宣布他们攻击苹果的供应商广达电脑并声称旨在窃取关键的专有产品信息，并持有5000万美元的赎金。虽然这个例子不会影响武器系统的提供者，但它显示了一个供应商，Quanta，影响制造公司。现实是这发生的，CMMC旨在保护国防部的供应商免于与量子相似的位置。

然而，Cui的潜在妥协只是工业公司面临的一系列网络风险之一。虽然CMMC未关注赎金软件和其他类型的运营弹性威胁，但对于制造公司而言，这些风险可能是更大的财务影响，这是过去几年中赎金软件中断的一些重要成本所证明的。

虽然制造业似乎不是最明显或最吸引人的目标行业，但制造业工厂的停工会造成重大的财务损失。

事实上，最近的八个制造攻击中的八个导致了2020年的物理停机。这为黑客提供了杠杆，以便在某些情况下询问高达1000万美元的款式 - 特别是在网络安全保险的行业中。

因此，合规性远非制造商应专注于强大的网络安全的唯一原因。

制造商如何为CMMC和更广泛的网络安全做好准备？

The DoD’s timeline is to conduct several pilot programs in 2021, begin a more widespread deployment of the certification program in 2022 and be completely implemented by 2025. There have been some delays due to COVID-19 complications, but the administration has indicated this timeline will remain.

制造商现在应该怎么做?

首先，从评估开始，以了解安全成熟度以及适当的路线图以提高安全性。合规性要求可以引导组织将任务接近作为箱子检查练习。我们强烈敦促制造商，以确保不仅根据国防部所要求的崔的全面评估，而是对其整体运营恢复能力。

可能是公司对CUI的访问总体或特定系统。从合规角度来看，这将限制安全要求。但这可以为更广泛的风险造成攻击运营弹性的更广泛的风险。

一种全面的网络评估当然将包括CMMC的要素，但也将审查潜在的威胁，超出法规具体涵盖的信息威胁。

其次，制定修复路线图。对于许多组织来说，评估将突出任何差距和潜在威胁。进展需要明确的一组控件的优先级，这两种控件都解决了他们可能由于CMMC或评估中确定的更广泛的网络风险而涉及他们所可能的任何合规要求。由于每个组织的风险和资源都将不同，没有Cookie-Cutter一组优先举措。

安全修复路线图的关键要素可能包括：

• 获得准确的资产库存，
• 通过修补或应用补偿控制来确保定期漏洞修复，
• 部署或提高网络分段和保护以限制对网络的某些系统的访问，
• 限制用户和帐户访问;使用“最小特权”的概念减少了对只有必要的访问权限，
• 确保对关键系统进行定期和确认的备份。

第三，找到通过利用第三方服务提供商或通过安全管理平台简化安全性来扩展资源的方法。安全性成熟并不容易，但它可以通过攻击专业知识或简化所有工具来制作更不重度。一些组织可理由选择将关键功能外包给托管安全服务提供商等专家。这些公司带来了可能在内部提供的规模和专业知识。

对于那些决定在内部推动安全和遵守方面的人，一个信息技术/操作技术（IT / OT）安全平台，带来标准的所有元素是最成功的方式，以确保合规性和可靠性。

单个平台在环境中提供360度的风险视图，以便快速优先考虑修复和修复。这种深刻的风险观点始终以a从强劲的资产库存．如果操作正确，这个资产清单将为安全程序的其余部分提供基础——从漏洞评估、补丁管理到用户和帐户管理，一直到检测和响应威胁。

CMMC的17个领域凸显了网络安全带来的复杂性。推动这些领域的成熟度的平台将显著减少所需的总劳动力和成本。这并不是说您不需要单独的组件来进行网络分段或备份，而是平台将来自每个组件的数据带入单个视图，以确保持续的维护和遵从性监控。

一个示例是网络配置的区域。防火墙和/或虚拟局域网（VLAN）或其他网络保护将成为几乎任何安全成熟程序的一部分。但是，为了确保保护仍然坚固，运营商需要确保这些设备中的规则尽可能减少访问，而且在制造环境中的人员不会更改，而不明确批准。平台允许您监视这些配置以获取潜在的变化。

然而，这只是一个例子，这些组件组织需要监控 - 修补程序状态，备份状态，防病毒警报，用户和帐户风险等。一种将所有这些聚集在一起的平台显着降低了管理的头痛和遵守。

最后，带来它和OT（也称为工厂自动化或控制自动化或监督控制和数据采集或植物）一起，共同创建一个适用于整个环境的综合方法。对制造商安全的最大挑战之一是在其网络中存在“操作技术”，或工厂自动化设备。

诸如可编程逻辑控制器（PLC），机器人，可变频率驱动器，I / O卡和传感器，人机接口（HMIS），面板 - 视图终端等的设备不存在于IT环境中。在大多数组织中，这些设备不是由IT团队管理的，而是由工厂或制造工程师管理。但是，这些制造系统是公司中最关键的资产。如果他们受到损害，即使它们不包含CUI，运营也可以静止。

因此，在此过程中必须从两个领域带来领导，了解CMMC标准，以及潜在的风险以及诸如赎金软件等更广泛的安全风险的潜在风险和可能的修复步骤。

通过这种方式，团队可以定义正确的工具和方法，在不破坏关键制造系统的情况下提供安全需求。有专门为OT或制造系统构建的工具，提供与IT系统相同的安全级别，但对这些敏感操作系统的操作是安全的。

- 本文最初出现在神韵工业的博客．Verve Industrial.是CFE媒体内容合作伙伴。