Zum Schutz von Covered Defense Information (CDI) - nicht klassifizierte Daten, die als sensibel eingestuft werden, weil sie von der US-Regierung zur Verfügung gestellt oder für sie erstellt wurden und nicht für die Öffentlichkeit bestimmt sind - gibt es DFARS 252.204-7012 und Regeln zum "Schutz von Covered Defense Information und Cyber Incident Reporting".
Die DFARS-Ergänzung gilt für alle Ausschreibungen des US-Verteidigungsministeriums (DoD) mit Ausnahme von Beschaffungen für "kommerzielle Standardartikel" (Commercial off-the-shelf items).
Wenn ein Unternehmen Verträge mit dem DoD hat oder ein Unterauftragnehmer eines Hauptauftragnehmers mit DoD-Verträgen ist, hat diese Organisation bis zum 31. Dezember 2017 Zeit, NIST SP 800-171 zu implementieren. Dies ist eine Anforderung, die in der DFARS 252.204-7012 festgelegt ist.
Die DFARS-Cyber-Klausel muss an alle Zulieferer oder Unterauftragnehmer weitergegeben werden, die im Rahmen der Vertragserfüllung CDI speichern, verarbeiten und/oder erzeugen werden.
Zu den CDI gehören nicht klassifizierte kontrollierte technische Informationen oder andere Informationen, wie sie im Register für kontrollierte nicht klassifizierte Informationen (CUI) beschrieben sind. Sie erfordern Schutz- oder Verbreitungskontrollen gemäß und im Einklang mit Gesetzen, Vorschriften und regierungsweiten Richtlinien und sind:
- die im Vertrag, Auftrag oder Lieferauftrag gekennzeichnet oder anderweitig identifiziert sind und dem Auftragnehmer vom oder im Namen des DoD zur Unterstützung der Vertragserfüllung zur Verfügung gestellt werden; oder
- die vom Auftragnehmer oder in seinem Namen zur Erfüllung des Vertrags erhoben, entwickelt, empfangen, übermittelt, verwendet oder gespeichert werden.
Kontrollierte technische Informationen sind technische Informationen mit militärischer oder weltraumbezogener Anwendung, deren Zugang, Verwendung, Vervielfältigung, Änderung, Leistung, Anzeige, Freigabe, Offenlegung oder Verbreitung kontrolliert wird.
Kontrollierte technische Informationen würden, wenn sie verbreitet werden, die Kriterien für die Verteilungserklärungen B bis F erfüllen, wobei die in der DoD-Anweisung 5230.24, Verteilungserklärungen zu technischen Dokumenten, aufgeführten Kriterien zugrunde gelegt werden. Der Begriff umfasst keine Informationen, die rechtmäßig ohne Einschränkungen öffentlich zugänglich sind.
Die gute Nachricht ist, dass NIST 800-171 eine Zuordnungstabelle (Anhang D) enthält, um die Kontrollen von NIST 800-53 auf NIST 800-171 zu übertragen. NIST 800-53 ist der Bundesrahmen für die Sicherung kritischer Infrastrukturen, ein weit verbreiteter Standard für die Abbildung von Prozessen und Reife eines Sicherheitsprogramms.
In den folgenden Abschnitten werden die wichtigsten Komponenten des NIST-Frameworks hervorgehoben und es wird erläutert, wie die Plattform Vectra AI Auftragnehmern und Unterauftragnehmern des Verteidigungsministeriums eine kontinuierliche, automatisierte Erkennung von und Reaktion auf Bedrohungen in allen Unternehmensnetzwerken bietet - von cloud und Rechenzentren bis hin zu Benutzern und IoT-Geräten.
Durch den Einsatz künstlicher Intelligenz verkürzt die Plattform Vectra AI wochen- oder monatelange Arbeit auf wenige Minuten, so dass Sicherheitsteams schnell handeln können, um Diebstahl oder Schäden durch Cyberangriffe zu verhindern. Die in NIST 800-171 beschriebenen Kategorien, die von der Plattform Vectra AI unterstützt werden, sind in den folgenden Tabellen aufgeführt:
3.4 Konfigurationsmanagement
Grundlegende Sicherheitsanforderungen
| Unterkategorie |
Vectra AI Fähigkeit |
| 3.4.1 Erstellung und Pflege von Basiskonfigurationen und Inventaren der Informationssysteme der Organisation (einschließlich Hardware, Software, Firmware und Dokumentation) während des gesamten Lebenszyklus der jeweiligen Systementwicklung. |
Vectra AI überwacht und analysiert kontinuierlich den internen Netzwerkverkehr, den internetgebundenen Verkehr und den Datenverkehr im Rechenzentrum, einschließlich des Verkehrs zwischen virtuellen Arbeitslasten im Rechenzentrum, um Grundlinien des Systemverhaltens zu erstellen und unzulässige Aktivitäten zu erkennen. |
| 3.4.2 Festlegung und Durchsetzung von Sicherheitskonfigurationseinstellungen für Informationstechnologieprodukte, die in Informationssystemen der Organisation eingesetzt werden. |
Vectra AI überwacht und analysiert kontinuierlich den internen Netzwerkverkehr, den internetgebundenen Verkehr und den Datenverkehr im Rechenzentrum, einschließlich des Verkehrs zwischen virtuellen Arbeitslasten im Rechenzentrum, um Grundlinien des Systemverhaltens zu erstellen und unzulässige Aktivitäten zu erkennen. |
Abgeleitete Sicherheitsanforderungen
| Unterkategorie |
Vectra AI Fähigkeit |
| 3.4.3 Verfolgen, Überprüfen, Genehmigen/Ablehnen und Auditieren von Änderungen an Informationssystemen. |
Vectra AI verfolgt die interne Kerberos-Infrastruktur, um das normale Nutzungsverhalten zu verstehen und zu erkennen, wenn vertrauenswürdige Benutzeranmeldeinformationen von Angreifern missbraucht werden, einschließlich des Missbrauchs von Verwaltungsanmeldeinformationen und Verwaltungsprotokollen wie IPMI. |
| 3.4.4 Analyse der Sicherheitsauswirkungen von Änderungen vor der Implementierung. |
Vectra AI bietet mehrere Frühwarnmöglichkeiten, um ransomware, andere malware Varianten und bösartige Aktivitäten zu erkennen, die einem Angriff auf ein beliebiges Netzwerkgerät vorausgehen, auch auf Geräten, auf denen keine Antiviren-Software läuft. |
| 3.4.5 Definition, Dokumentation, Genehmigung und Durchsetzung von physischen und logischen Zugriffsbeschränkungen im Zusammenhang mit Änderungen am Informationssystem. |
Vectra AI überwacht und analysiert kontinuierlich den gesamten Netzwerkverkehr, einschließlich des internen Datenverkehrs zwischen physischen und virtuellen Hosts mit einer IP-Adresse, wie z. B. Laptops, Smartphones, BYOD- und IoT-Geräte, unabhängig von Betriebssystem oder Anwendung. |
| 3.4.6 Anwendung des Prinzips der geringsten Funktionalität, indem das Informationssystem so konfiguriert wird, daß es nur die wesentlichen Funktionen bereitstellt. |
Eine Kombination aus überwachtem und unüberwachtem maschinellem Lernen, die auf das lokale Netzwerk angewandt wird, entwickelt die Basislinie für angemessenes und genehmigtes Verhalten, anhand derer nicht genehmigtes Verhalten von Mitarbeitern, Verbindungen, Geräten und Software identifiziert werden kann. |
| 3.4.7 Einschränkung, Deaktivierung und Verhinderung der Nutzung von nicht unbedingt erforderlichen Funktionen, Ports, Protokollen und Diensten. |
Eine Kombination aus überwachtem und unüberwachtem maschinellem Lernen, die auf das lokale Netzwerk angewandt wird, entwickelt die Basislinie für angemessenes und genehmigtes Verhalten, anhand derer nicht genehmigtes Verhalten von Mitarbeitern, Verbindungen, Geräten und Software identifiziert werden kann. |
| 3.4.8 Anwendung der "Deny-by-Exception"-Richtlinie (Blacklist), um die Verwendung nicht zugelassener Software zu verhindern, oder der "Deny-all"-Richtlinie (Permission-by-Exception), um die Ausführung zugelassener Software zu ermöglichen (Whitelisting). |
Eine Kombination aus überwachtem und unüberwachtem maschinellem Lernen, die auf das lokale Netzwerk angewandt wird, entwickelt die Basislinie für angemessenes und genehmigtes Verhalten, anhand derer nicht genehmigtes Verhalten von Mitarbeitern, Verbindungen, Geräten und Software identifiziert werden kann. |
3.6 Reaktion auf Vorfälle
| Unterkategorie |
Vectra AI Fähigkeit |
| 3.6.1 Aufbau einer operativen Fähigkeit zur Behandlung von Zwischenfällen für die Informationssysteme der Organisation, die angemessene Maßnahmen zur Vorbereitung, Erkennung, Analyse, Eindämmung, Wiederherstellung und Reaktion der Benutzer umfasst. |
Die Metadaten werden mit Algorithmen zur Verhaltenserkennung analysiert, um versteckte und unbekannte Angreifer zu identifizieren. Mit überwachtem maschinellem Lernen kann Vectra AI beispielsweise die versteckten Merkmale finden, die alle Bedrohungen gemeinsam haben, während unüberwachtes maschinelles Lernen Angriffsmuster aufdeckt. Vectra AI verdichtet Tausende von Ereignissen und Netzwerkmerkmalen zu einer einzigen Erkennung, wobei maschinelle Lerntechniken zum Einsatz kommen, die Angreifer automatisch anhand der Merkmale des Netzwerkverkehrs entlarven. |
| 3.6.2 Verfolgen, dokumentieren und melden Sie Vorfälle an die zuständigen Mitarbeiter und/oder Behörden. |
Die automatische Bewertung von Hosts zeigt das Gesamtrisiko für das Netzwerk auf der Grundlage von Bedrohung und Sicherheit. Der Threat Certainty Index™ von Vectra AI bewertet alle Bedrohungen und priorisiert die Angriffe, die das größte Risiko darstellen. Die Einstufung der gefährdeten Hosts durch den Threat Certainty Index ermöglicht es den Sicherheitsteams, Schwellenwerte auf der Grundlage einer kombinierten Bewertung zu definieren (z. B. kritisch > 50/50). |
