Awareness

NIST пропонує більш суворі кіберстандарти для оборонних підрядників

by Альянс Лазаря 0 Коментар
Пропоноване доповнення до NIST 800-171 стосується розширених постійних загроз, націлених на оборонних підрядників

Пропоноване доповнення до NIST 800-171 стосується розширених постійних загроз, націлених на оборонних підрядників

Підрядники американського оборонного відомства знаходяться сильно об’єктом нападу іноземних кіберзлочинців. внутрішній аудит кібербезпеки ВМС Наказ після серії успішних вторгнень підрядників ВМС виявив, що агентство охопило повний кіберхаос, «який мало хто цінує, менше розуміє і ще менше знає, що з цим робити».

Пропоноване доповнення до NIST 800-171 стосується розширених постійних загроз, націлених на оборонних підрядників

Більшість федеральних підрядників зобов’язані дотримуватися суворих заходів безпеки, викладених у NIST 800-171, а оборонні підрядники мають додаткову вимогу дотримуватись DFARS 800-171. Однак нещодавня хвиля вдосконалена постійна загроза (APT) атаки на оборонних підрядників з боку національних держав спонукали Міністерство оборони переглянути вимоги до кібербезпеки своїх підрядників і попросити NIST розробити набір інструкцій, що стосуються саме APT. Результат був NIST 800-171B, який був випущений у формі чернетки минулого місяця.

Що міститься в NIST 800-171B?

Як і 800-171, NIST 800-171B розглядає обробку контрольованої некласифікованої інформації (CUI). Багато типів інформації, якою регулярно обробляють федеральні підрядники, класифікуються як CUI, від номерів соціального страхування та іншої ідентифікаційної інформації до інформації, пов’язаної з системою зброї чи іншими цінними активами (HVA). Останній є фокусом 800-171B. CUI, пов’язаний із HVA, має вищий за звичайний ризик виявлення та є основною мішенню для атак APT з боку іноземних кіберзлочинців, але основні та похідні вимоги 800-171 не були розроблені з урахуванням APT.

APT — це кібератака «тривалої гри», коли хакери залишаються непоміченими в системі протягом значного часу для досягнення певної мети. Мабуть, найвідомішим прикладом APT є вірус Stuxnet, який заразив завод зі збагачення урану в Натанзі в Ірані, повільно, безшумно та поступово руйнуючи центрифуги протягом тривалого періоду часу.

Розширені вимоги до безпеки в SP 800-171B були виведені з вимог SP 800-53 і зіставлені з ними. Вони зосереджені навколо того, що NIST визначив як ключові елементи захисту від APTs, включаючи:

  • Розробка специфікацій вимог безпеки з підходом, орієнтованим на загрози
  • Реалізація логічної та фізичної ізоляції за допомогою методів сегментації системи та мережі, віртуальних машин і контейнерів
  • Реалізація подвійного контролю авторизації для найбільш критичних або чутливих операцій
  • Обмеження постійного зберігання ізольованими анклавами або доменами
  • Постійний моніторинг і захист через SOC, який використовує розширену аналітику

Крім того, 800-171B визнає реальність сучасного середовища кіберзагроз. Хакери невблаганні; у той момент, коли виявляється одна вразливість, вони знаходять іншу для використання. Підрядники оборонних служб та всі інші організації повинні визнати, що жодні засоби захисту не є надійними; незважаючи на вживання всіх можливих запобіжних заходів, вони зрештою будуть порушені. У світлі цього 800-171B наказує оборонним підрядникам застосовувати «запобіжні заходи та контрзаходи, щоб заплутати, обдурити, ввести в оману та перешкодити противнику», наприклад, ввести хакерів в оману таким чином, щоб вони поставили під сумнів достовірність інформації, яку вони намагаються отримати. красти.

Оборонні підрядники впроваджуватимуть вимоги 800-171B на додаток до NIST 800-171, а не замість нього. NIST зазначає, що лише невеликий відсоток оборонних підрядників буде зобов’язаний відповідати 800-171B, і навіть тоді вдосконалення застосовуватимуться лише до систем, які обробляють CUI, пов’язаний із HVA. Проте рекомендації в 800-171B можуть застосовуватися на добровільній основі організаціями приватного сектора, які бажають вжити передових заходів безпеки для захисту своїх цінних цифрових активів.

NIST приймає публічні коментарі щодо SP 800-171B до 19 липня 2019 року.

Експерти з кібербезпеки Lazarus Alliance мають глибокі знання в галузі кібербезпеки, постійно відстежують найновіші загрози інформаційній безпеці та прагнуть захистити організації будь-якого розміру від порушень безпеки. Наші послуги з оцінки ризиків повного циклу та програмне забезпечення Continuum GRC RegTech допоможуть захистити вашу організацію від витоків даних, атак програм-вимагачів та інших кіберзагроз.

Lazarus Alliance — це проактивна кібербезпека®. Зателефонуйте 1-888-896-7580 щоб обговорити потреби вашої організації в кібербезпеці та дізнатися, як ми можемо допомогти вашій організації дотримуватися правил кібербезпеки, підтримувати відповідність і захищати ваші системи.

Альянс Лазаря

Веб-сайт:

Майкл Пітерс — відомий експерт з кібербезпеки та підприємець, генеральний директор та засновник Lazarus Alliance, проактивної фірми з кібербезпеки, заснованої у 2000 році, та Continuum GRC, провідної програмної платформи для управління, ризиків та відповідності (GRC), яку він запустив у 2015 році. Ветеран ВПС США з раннім досвідом роботи в оборонних системах управління вогнем, Пітерс має ступінь доктора юридичних наук з кіберпросторового права, ступінь магістра ділового адміністрування з управління ІТ та численні сертифікати, включаючи CISSP, CISM, CRISC та QSA. Визнаний новатором у галузі, він є автором книг, тисяч статей та інноваційних інструментів, таких як IT Audit Machine, які допомагають організаціям у всьому світі досягати відповідності та зм'якшувати кіберризики. Пітерс, що мешкає в Скоттсдейлі, штат Аризона, також є лауреатом Залу слави ISSA, який присвятив себе підвищенню досконалості інформаційної безпеки.