来自国防部(DOD)和网络安全和基础设施安全局(CISA)的官员今天表示,在Solarwinds Orion中使用的类型的复杂网络攻击更有效的防御 h 可能需要进一步采用零信任安全概念。

这是鲍勃·克拉西德的新闻,他领导CISA的国家风险管理中心(NRMC),以及国防部的网络安全成熟模型认证(CMMC)政策办公室主任,隶属于国防部副秘书,以获取和维持在由AFCEA International组织的在线活动。

两位官员还讨论了CMMC安全模型将以各种形式迁移的不断增长的可能性,以确保国防工业基地(DIB)的最小网络安全标准到联邦政府承包的进一步领域。

零信任防御

询问了Solarwinds Hack - 由俄罗斯支持的演员通过将恶意软件注入卖家提供给卖家提供的软件更新的演员 - 以及CMMC模型的安全性是否要求的安全性,Bostjanick回答说:在CMMC下只有更先进的安全性,就会为此目的工作。

CMMC.型号包含五层网络安全符合性 - 每个逐步更进一步 - 以及DIB成员的成绩取决于他们参与国防合同所需的安全程度。

Bostjanick表示,CMMC遵守3级评级将无法使用与Solarwinds开采的类似方法的攻击,尽管在3级评级中使用网络安全实践可能会让一些公司能够识别出现这种攻击的能力。

“在你到达4级和第5级之前,你不会进入停止[那攻击]的水平,”她说。 “为了真正停止Solarwinds [类型攻击],你几乎必须去零信任环境,”Bostjanick说。

零信任安全概念包含更多严格和频繁的用户和端点标识的评估,以允许访问网络。

Kolasky同意更接近零信任概念的东西在这方面是有用的。

讨论如何防止软件漏洞,他建议“真正将额外的控制放在具有高级别访问水平的东西上,因为这是风险所在的。”他继续,“那就是你更接近零信任的地方,”添加“,你无法到处都是零信任。 。 。但你可以在风险更高的地方。“

CMMC.模型迁移

在AFCEA活动期间,Kolasky表示他认为CMMC模型作为“探路者”,可以为政府其他地区提供安全改进。

Meritv.
今天的新闻和洞察力’来自Meritv Studio的首次关键任务挑战。 手表

“正如CMMC在DIB社区起飞......他们是一个探路者,他们是领先的方式,”他说。注意到DIB公司还与非国防政府部门做生意,他说:“我们希望务必扩大我们正在从探路机中学习的旅程,”并确保政府没有创造明显不同的网络安全标准对于其他非国防承包商。

他说:“由于政府希望将类似的标准迁移到非国防承包商,这是一个符合CMMC的事情。 “政府的其他部分正在寻求建立良好的标准,”他说。他补充说:“今年,即今年的联系点将成为一个非常重要的元素”由于政府希望推出供应链安全努力,涵盖其他部门的供应链。

Bostjanick,注意到她的办公室被列入CISA的ICT供应链风险管理工作组,即Kolasky的NRMC创造,表示,CMMC模型的安全目标“不仅仅是一种国防部问题”。

“正如我们前进的那样......我相信我们将必须在董事会中致力于将这种联邦政府提供的能力”,并将供应链安全作为“整个国家问题......不仅仅是国防部或DHS-Type关注”,她说。

Kolasky表示,在DHS,势头已经在2020年建立了一个CMMC型模型,但补充说,自1月份招致行政当局落后于该机构的新领导人达成了政策决定。

“在CISA,我们不是在我们说的那一刻,我们正在为合同开发CMMC,”他说,但继续,“我们正在把那些良好的做法放在首位。”

“目前没有正式答案,尚未如何发挥出来,但我们走到更多的融合,”Kolasky说。

阅读更多信息
关于
约翰库兰
约翰库兰
约翰库兰是Meritalk的管理编辑,涵盖了政府和技术的交汇处。
标签