《電子技術應用》
您所在的位置:首頁 > 通信與網絡 > 業(yè)界動態(tài) > ICS網絡符合CMMC模型的幾個注意點

ICS網絡符合CMMC模型的幾個注意點

2020-11-13
來源:關鍵基礎設施安全應急響應中心
關鍵詞: ICS網絡 CMMC

  2020年初,美國國防部發(fā)布了網絡安全成熟度模型(CMMC)。2020 年六月后,開始在建議征求書(RFP) 和資訊征求書(RFI) 中納入CMMC相關要求,并計劃在2026 年之前讓CMMC 成為所有國防部采購項目的必要條件。

微信圖片_20201113150032.jpg

  美國平均每年因網絡安全所造成的損失達六千億美金。從超音速武器到皮革工廠,目前國防部大約有三十萬家供應商,而其中約有二十九萬家基本上沒有任何的網絡安全措施。美國政府近幾年決定加大力度整頓國防供應鏈體系,而網絡安全被視為首要議題。在此之前,國防部要求供應商遵循DFARS 252.204-7012 以及NIST 800-171 里的相關規(guī)定。然而問題在于,其一由廠商自我核查不具備監(jiān)督性,其二是國防部并未就此系列標準的細節(jié)給予過多的關注。正因為以上原因,美國國防部才會制定新標準體系,CMMC 以NIST 800-171 作為基準,加入更多規(guī)則以及審查方式。最大的不同便是今后供應商須經由國防部授權的第三方評估單位(C3PAOs) 評估認證,國防部將會依據相關特性,要求符合的CMMC 等級。

  CMMC 分為五級,而每一級皆由process及practice兩部分組成。供應商要獲得某一層級的認證,則必須符合該層級和以下所有層級的process及practice的標準要求。

微信圖片_20201113150037.jpg

  對于供應商而言,符合CMMC標準模型非常重要,因為供應商經過評估后達到的水平等級將決定他們有資格獲得哪些國防部的項目合同,但是符合CMMC標準模型又有哪些挑戰(zhàn)呢?

  挑戰(zhàn)與困難

  CMMC中要求的能力領域非常廣泛,涵蓋了從物理安全到人員安全再到資產管理的所有領域。但是,CMMC的目標不僅是要求供應商滿足模型的要求,而且要求其具備全面的網絡安全能力,如果具備這種全面能力則足以應對未來的威脅。

微信圖片_20201113150040.jpg

  準備CMMC評估的供應商必須考慮其 ICS網絡環(huán)境,沒有哪一個制造廠商不使用ICS系統(tǒng),現代的攻擊通常會跨越IT / OT邊界, 另外,有部分CMMC能力要求不適用于 ICS網絡環(huán)境。在ICS網絡環(huán)境中的資產發(fā)現,威脅檢測,事件響應等都和IT網絡同等重要。

  盡管CMMC有許多特殊的要求,但就大部分要求而言可以歸納為通用的考慮因素。如果沒有任何思路,下邊將講述4方面的注意點,為ICS網絡符合CMMC的相關要求做以指導和參考。

  幾個注意點

 ?。?1 ) 掌握ICS網絡環(huán)境中的資產

  如果不了解網絡中的資產,就無法保護連自己都不知道的東西,也不能對網絡安全方案做出決策。目前碰到的很多用戶,他們不知道自己的ICS網絡中擁有多少設備以及設備中的漏洞信息,也不了解這些資產如何通信和如何連接的。沒有這些信息,就無法確定降低風險的策略。

  如果在ICS網絡環(huán)境中資產沒有可見性,就不可能解決ICS網絡對CMMC的合規(guī)性要求,這不僅意味著對資產本身(包括其屬性)的可見性,而且還意味著對風險和漏洞的可見性,例如未經授權的Internet連接或未修補漏洞的設備。

 ?。?2 ) ICS網絡架構的健壯性

  ICS網絡環(huán)境中的資產,屬性和通信的可見性也是回答此問題的關鍵。CMMC的重點是在國防部供應商中建立更強大的整體網絡安全態(tài)勢,其中,建立強大的ICS網絡安全的方法非常重要。

  一旦了解了ICS設備的通信,就可以驗證 ICS網絡體系架構是否具有強大能力,例如,確保設備僅按預期與Internet通信而不出現非預期的其他通信鏈接,或者執(zhí)行更加網格化的分段隔離策略。

 ?。?3 ) 了解哪些漏洞可能是系統(tǒng)面臨風險

  CMMC的許多要求都集中在識別和解決系統(tǒng)或者設備漏洞上。對于 ICS網絡,這可能意味著未修補的CVE,設備故障或使用未經授權的端口訪問等。CMMC能力域中要求能夠檢測到此類漏洞并確定其優(yōu)先級,以便持續(xù)管理和解決面臨的風險。

 ?。?4 ) 是否能夠檢測ICS系統(tǒng)面臨的威脅

  與IT系統(tǒng)的威脅檢測相比,檢測ICS威脅是一種截然不同的方式。IT威脅通常由端點檢測和軟件檢測和阻止為主,但大部分嵌入式 ICS設備不支持該種方法,而且IT團隊不具備管理權限。因此, ICS威脅檢測方法需要結合ICS的行為分析和流量分析等方法。

  總結

  盡管CMMC中提到的要求比上面提到的更加深入,但其中許多與上述的4個注意點緊密相關。從以上提及的 ICS安全性的四個注意點出發(fā),將為合規(guī)工作提供一個良好的起點。

  本文通過介紹美國國防部實施的CMMC模型,也給我國在國防領域、關鍵基礎設施領域供應商評估體系建設提供一些思路,從剛開始就將網絡安全問題納入到供應商能力評估列表中有助于后續(xù)應對更加復雜的國際環(huán)境和威脅。

 

本站內容除特別聲明的原創(chuàng)文章之外,轉載內容只為傳遞更多信息,并不代表本網站贊同其觀點。轉載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內容無法一一聯(lián)系確認版權者。如涉及作品內容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。