企业可以从美国国防部的最新举措中了解哪些有关网络安...

sipon140

美国国防部 (DoD) 对网络安全威胁并不陌生。举个例子，今年早些时候，美国最新第五代战斗机 F-35 闪电 II 的高度敏感数据遭到网络攻击，据国家消息人士称，这是一次密集而极端的泄露。黑客利用澳大利亚一家由 50 名实力雄厚的小型分包商服务台使用的糟糕密码，成功下载了有关战机和其他国防资产的大量数据。

这只是一长串攻击中最近的一次，足以说明，几乎每个国家的国防机构都是永久的主要目标。当我们考虑到国防部门现在倾向于提高数字化和自动化水平时，网络安全威胁变得更加危险。

例如，五角大楼今年最近授予微软的 JEDI（联合企业防御基础设施）合同旨在将防御操作转移到云端。国防部还发布了数字现代化战略，旨在将新技术纳入美国武装部队。在未来的时间里，我们预计会看到更多的防御设置将其操作转移到云端并利用新兴技术。


但是，此类举措也带来了网络安全威胁的风险增加。JEDI 计划经常因其结构而受到批评，该结构将五角大楼锁定为一家云提供商 10 年，让黑客只有一个可以关注的目标。

简而言之，CMMC
鉴于对数字化的需求不断增长以及随之而来 英国电话号码清单 的网络安全威胁，国防部最近发布了网络安全成熟度模型认证（CMMC），以评估其内部和外部环境对网络安全威胁的影响。虽然该模型适用于国防承包商，但对于中小企业和大型企业来说，它仍然是一个出色的工具，可以从国防部的见解中学习。

CMMC 的目标是 2020 年发布，将要求国防承包商证明其 IT 环境的安全性。直到最近，承包商还必须按照NIST 特别出版物 800-171 的要求向国防部提交系统安全计划 (SSP) 以及行动计划和里程碑 (POA&M)供国防部考虑。然而，该规则集没有任何用于审核和保护受控非机密信息 (CUI) 的协议，这就是启动新 CMMC 计划的原因。

从 2020 年开始，承包商将必须展示他们所实施的实际控制流程。然后，它们将被分为 5 级，其中 1 级是最低安全级，5 级是最安全级。故障按以下方式进行......

CMMC 1 级：仅需要具有 17 项安全控制的基本网络安全卫生（NIST SP 800-171 rev 1）
CMMC 2 级：需要具有 46 个安全控制的中级网络卫生（NIST SP 800-171 rev 1）
CMMC 3 级：需要具有 47 项安全控制的良好网络安全卫生（NIST SP 800-171 rev 1）
CMMC 4 级：需要具有 26 项安全控制的稳健、主动、持续的安全协议 (NIST SP 800-171B)
CMMC 5 级：需要具有 4 项安全控制的高级/渐进式网络安全措施 (NIST SP 800-171B)

将根据 14 个控制系列以及满足的单个控制数量对承包商进行各个级别的分级。CMMC 考虑到网络安全威胁不断变化的性质，并不断监控和修改政策。


不过，并非所有承包商都需要遵守最高要求，并且认证将允许根据特定级别的承包商所掌握的信息的敏感性采取适当的安全措施。

中小企业可以从 CMMC 中获得什么？
CMMC 不仅揭示了新出现的网络安全威胁，还揭示了应对这些威胁的新方法。您可以创建自己的网络安全成熟度模型，以根据 CMMC 的建议评估您的地位。以下是一些要点……



物理访问很重要：1 级的基本要求是公司限制和控制对其设备的物理访问，并维护所有访问者的日志。虽然在可以从任何地方访问信息的云驱动世界中看似无关紧要，但物理数据泄露占网络安全攻击的十分之一。将物理网络安全最佳实践纳入您的整体安全策略可以帮助您从一开始就阻止攻击。

系统访问身份验证是关键：在允许人员、流程和设备访问组织系统之前，应始终对人员、流程和设备的身份进行适当的筛选、记录和授权。

身份访问管理（IAM）已经是云安全领域备受争议的话题，对于任何重视其安全性的公司来说都应该是首要任务。通常，员工不受最严格的安全措施的限制，因为他们是值得信赖的。