ICS網(wǎng)絡(luò)符合CMMC模型的幾個(gè)注意點(diǎn)
2020-11-13
來(lái)源:關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心
2020年初,美國(guó)國(guó)防部發(fā)布了網(wǎng)絡(luò)安全成熟度模型(CMMC)。2020 年六月后,開始在建議征求書(RFP) 和資訊征求書(RFI) 中納入CMMC相關(guān)要求,并計(jì)劃在2026 年之前讓CMMC 成為所有國(guó)防部采購(gòu)項(xiàng)目的必要條件。
美國(guó)平均每年因網(wǎng)絡(luò)安全所造成的損失達(dá)六千億美金。從超音速武器到皮革工廠,目前國(guó)防部大約有三十萬(wàn)家供應(yīng)商,而其中約有二十九萬(wàn)家基本上沒(méi)有任何的網(wǎng)絡(luò)安全措施。美國(guó)政府近幾年決定加大力度整頓國(guó)防供應(yīng)鏈體系,而網(wǎng)絡(luò)安全被視為首要議題。在此之前,國(guó)防部要求供應(yīng)商遵循DFARS 252.204-7012 以及NIST 800-171 里的相關(guān)規(guī)定。然而問(wèn)題在于,其一由廠商自我核查不具備監(jiān)督性,其二是國(guó)防部并未就此系列標(biāo)準(zhǔn)的細(xì)節(jié)給予過(guò)多的關(guān)注。正因?yàn)橐陨显?,美?guó)國(guó)防部才會(huì)制定新標(biāo)準(zhǔn)體系,CMMC 以NIST 800-171 作為基準(zhǔn),加入更多規(guī)則以及審查方式。最大的不同便是今后供應(yīng)商須經(jīng)由國(guó)防部授權(quán)的第三方評(píng)估單位(C3PAOs) 評(píng)估認(rèn)證,國(guó)防部將會(huì)依據(jù)相關(guān)特性,要求符合的CMMC 等級(jí)。
CMMC 分為五級(jí),而每一級(jí)皆由process及practice兩部分組成。供應(yīng)商要獲得某一層級(jí)的認(rèn)證,則必須符合該層級(jí)和以下所有層級(jí)的process及practice的標(biāo)準(zhǔn)要求。
對(duì)于供應(yīng)商而言,符合CMMC標(biāo)準(zhǔn)模型非常重要,因?yàn)楣?yīng)商經(jīng)過(guò)評(píng)估后達(dá)到的水平等級(jí)將決定他們有資格獲得哪些國(guó)防部的項(xiàng)目合同,但是符合CMMC標(biāo)準(zhǔn)模型又有哪些挑戰(zhàn)呢?
挑戰(zhàn)與困難
CMMC中要求的能力領(lǐng)域非常廣泛,涵蓋了從物理安全到人員安全再到資產(chǎn)管理的所有領(lǐng)域。但是,CMMC的目標(biāo)不僅是要求供應(yīng)商滿足模型的要求,而且要求其具備全面的網(wǎng)絡(luò)安全能力,如果具備這種全面能力則足以應(yīng)對(duì)未來(lái)的威脅。
準(zhǔn)備CMMC評(píng)估的供應(yīng)商必須考慮其 ICS網(wǎng)絡(luò)環(huán)境,沒(méi)有哪一個(gè)制造廠商不使用ICS系統(tǒng),現(xiàn)代的攻擊通常會(huì)跨越IT / OT邊界, 另外,有部分CMMC能力要求不適用于 ICS網(wǎng)絡(luò)環(huán)境。在ICS網(wǎng)絡(luò)環(huán)境中的資產(chǎn)發(fā)現(xiàn),威脅檢測(cè),事件響應(yīng)等都和IT網(wǎng)絡(luò)同等重要。
盡管CMMC有許多特殊的要求,但就大部分要求而言可以歸納為通用的考慮因素。如果沒(méi)有任何思路,下邊將講述4方面的注意點(diǎn),為ICS網(wǎng)絡(luò)符合CMMC的相關(guān)要求做以指導(dǎo)和參考。
幾個(gè)注意點(diǎn)
( 1 ) 掌握ICS網(wǎng)絡(luò)環(huán)境中的資產(chǎn)
如果不了解網(wǎng)絡(luò)中的資產(chǎn),就無(wú)法保護(hù)連自己都不知道的東西,也不能對(duì)網(wǎng)絡(luò)安全方案做出決策。目前碰到的很多用戶,他們不知道自己的ICS網(wǎng)絡(luò)中擁有多少設(shè)備以及設(shè)備中的漏洞信息,也不了解這些資產(chǎn)如何通信和如何連接的。沒(méi)有這些信息,就無(wú)法確定降低風(fēng)險(xiǎn)的策略。
如果在ICS網(wǎng)絡(luò)環(huán)境中資產(chǎn)沒(méi)有可見(jiàn)性,就不可能解決ICS網(wǎng)絡(luò)對(duì)CMMC的合規(guī)性要求,這不僅意味著對(duì)資產(chǎn)本身(包括其屬性)的可見(jiàn)性,而且還意味著對(duì)風(fēng)險(xiǎn)和漏洞的可見(jiàn)性,例如未經(jīng)授權(quán)的Internet連接或未修補(bǔ)漏洞的設(shè)備。
?。?2 ) ICS網(wǎng)絡(luò)架構(gòu)的健壯性
ICS網(wǎng)絡(luò)環(huán)境中的資產(chǎn),屬性和通信的可見(jiàn)性也是回答此問(wèn)題的關(guān)鍵。CMMC的重點(diǎn)是在國(guó)防部供應(yīng)商中建立更強(qiáng)大的整體網(wǎng)絡(luò)安全態(tài)勢(shì),其中,建立強(qiáng)大的ICS網(wǎng)絡(luò)安全的方法非常重要。
一旦了解了ICS設(shè)備的通信,就可以驗(yàn)證 ICS網(wǎng)絡(luò)體系架構(gòu)是否具有強(qiáng)大能力,例如,確保設(shè)備僅按預(yù)期與Internet通信而不出現(xiàn)非預(yù)期的其他通信鏈接,或者執(zhí)行更加網(wǎng)格化的分段隔離策略。
?。?3 ) 了解哪些漏洞可能是系統(tǒng)面臨風(fēng)險(xiǎn)
CMMC的許多要求都集中在識(shí)別和解決系統(tǒng)或者設(shè)備漏洞上。對(duì)于 ICS網(wǎng)絡(luò),這可能意味著未修補(bǔ)的CVE,設(shè)備故障或使用未經(jīng)授權(quán)的端口訪問(wèn)等。CMMC能力域中要求能夠檢測(cè)到此類漏洞并確定其優(yōu)先級(jí),以便持續(xù)管理和解決面臨的風(fēng)險(xiǎn)。
?。?4 ) 是否能夠檢測(cè)ICS系統(tǒng)面臨的威脅
與IT系統(tǒng)的威脅檢測(cè)相比,檢測(cè)ICS威脅是一種截然不同的方式。IT威脅通常由端點(diǎn)檢測(cè)和軟件檢測(cè)和阻止為主,但大部分嵌入式 ICS設(shè)備不支持該種方法,而且IT團(tuán)隊(duì)不具備管理權(quán)限。因此, ICS威脅檢測(cè)方法需要結(jié)合ICS的行為分析和流量分析等方法。
總結(jié)
盡管CMMC中提到的要求比上面提到的更加深入,但其中許多與上述的4個(gè)注意點(diǎn)緊密相關(guān)。從以上提及的 ICS安全性的四個(gè)注意點(diǎn)出發(fā),將為合規(guī)工作提供一個(gè)良好的起點(diǎn)。
本文通過(guò)介紹美國(guó)國(guó)防部實(shí)施的CMMC模型,也給我國(guó)在國(guó)防領(lǐng)域、關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域供應(yīng)商評(píng)估體系建設(shè)提供一些思路,從剛開始就將網(wǎng)絡(luò)安全問(wèn)題納入到供應(yīng)商能力評(píng)估列表中有助于后續(xù)應(yīng)對(duì)更加復(fù)雜的國(guó)際環(huán)境和威脅。