À medida que o cenário de ameaças evolui, os invasores estão mirando em organizações que trabalham em estreita colaboração com infraestrutura nacional crítica e agências governamentais. Com mais de 300,000 empresas fornecendo para o Departamento de Defesa dos EUA (DoD), qualquer violação pode representar uma ameaça significativa à segurança nacional. As organizações — especialmente aquelas envolvidas nessa cadeia de suprimentos em expansão — precisam saber exatamente quem está acessando e compartilhando dados confidenciais, ao mesmo tempo em que equilibram a disponibilidade com a segurança.
Para responder a esses desafios de segurança, o DoD dos EUA criou a Certificação do Modelo de Maturidade em Segurança Cibernética (CMMC) para ajudar a fortalecer a postura de segurança de contratantes e agências federais. Neste artigo, você aprenderá sobre a estrutura CMMC e como Silverfort pode ajudar as organizações a se alinharem com seus segurança de identidade requisitos. Vamos nos concentrar no modelo CMMC 2.0 mais recente que foi lançado ao público em outubro de 2024 e entrará em vigor em dezembro de 2024.
O que é a Estrutura CMMC?
A estrutura CMMC foi criada pelo DoD dos EUA em 2020 e é baseada nos padrões líderes da indústria estabelecidos pelo Instituto Nacional de Padrões e Tecnologia (NIST). Foi estabelecido para proteger dois tipos principais de informações não classificadas disseminadas por toda a Base Industrial de Defesa (DIB) e pela cadeia de suprimentos do DoD:
- Informações sobre contratos federais (FCI):
“Informações fornecidas ou geradas para o governo sob contrato, não destinadas à divulgação pública”, conforme definido pelo DoD.
- Informações não classificadas controladas (CUI):
“Informações que exigem controles de segurança de disseminação de acordo com e consistentes com leis, regulamentos e políticas governamentais”, conforme definido pelo DoD.
A estrutura do CMMC consiste em 3 níveis de certificação que os contratantes dentro dos setores DIB precisa cumprir para ganhar lances nos próximos contratos:
Nível 1: Higiene Cibernética Fundamental
Este nível foca na implementação de práticas fundamentais com 15 controles de segurança, incluindo medidas básicas de segurança, como atualizações regulares de senhas, uso de soluções antimalware e hábitos de navegação seguros. O objetivo é garantir que as empresas coloquem em prática controles de segurança essenciais para proteger a FCI de ameaças comuns.
Nível 2: Higiene Cibernética Avançada
Esta etapa introduz práticas de segurança cibernética mais avançadas com as 17 práticas básicas do Nível 1 e um conjunto adicional de 93 práticas derivadas do NISTSP 800-171. Ele abrange aspectos de segurança como controle de acesso, resposta a incidentes e gerenciamento de riscos. O objetivo é começar a proteger o CUI e construir uma base de segurança mais forte para atingir níveis mais altos de conformidade.
Nível 3: Higiene Cibernética Especializada
No nível mais alto, as organizações devem implementar um conjunto maduro de práticas de segurança cibernética, abrangendo 110 controles do Nível 2 e 24 requisitos adicionais alinhados ao NIST SP 800-172, projetados para gerenciar e mitigar riscos mais elevados relacionados à CUI. Este nível inclui controles de segurança avançados, como monitoramento contínuo, detecção proativa de ameaças e recursos de resposta em tempo real. O objetivo é estabelecer processos de segurança consistentes e repetíveis para garantir a segurança eficaz da CUI em todos os ambientes.
Vamos nos concentrar nos aspectos de segurança de identidade da estrutura CMMC.
Os aspectos de segurança de identidade do CMMC
Com o aumento da frequência e da complexidade dos ataques cibernéticos direcionados a contratados do DIB, proteger o acesso a dados confidenciais nunca foi tão crucial para a segurança nacional. Um dos principais elementos da estrutura CMMC é controlar o acesso a sistemas e informações confidenciais aplicando controles de segurança robustos. Isso inclui a implementação de Multi-Factor Autenticação (MFA), aplicando princípios de privilégio mínimo e monitorando regularmente as atividades dos usuários para evitar acesso não autorizado.
Medidas eficazes de segurança de identidade ajudam as organizações a atender aos requisitos do CMMC, protegendo, em última análise, seus ambientes contra ameaças internas e ataques cibernéticos externos. Para abordar a importância da segurança de identidade, a estrutura do CMMC fornece as seguintes diretrizes para as organizações:
Controle de acesso (AC)
As organizações devem estabelecer políticas de segurança que limitem o acesso a todos os sistemas e recursos somente a usuários, dispositivos e processos autorizados com base em suas funções:
- As organizações devem definir e gerenciar políticas de segurança para permissões e autorizações de acesso de usuários seguindo as Ultimo privilégio.
- As organizações devem gerenciar todas as autenticações de acesso remoto roteando-as por meio de pontos de controle de acesso seguros.
- As organizações devem impor controles de sessão do usuário, incluindo encerramentos de sessão e prevenção de execução não autorizada de funções privilegiadas.
Auditoria e Responsabilidade (AU)
As organizações devem garantir que todas as ações dos usuários nos sistemas de informação sejam rastreáveis e auditáveis para manter a responsabilização:
- As organizações devem habilitar o registro de auditoria do sistema com proteção de log contra acesso e modificações não autorizados ao sistema para garantir que as ações do usuário sejam rastreáveis.
- As organizações devem revisar e analisar registros de auditoria regularmente e automatizar alertas para atividades suspeitas ou não autorizadas.
- As organizações devem limitar o gerenciamento de registros de auditoria a usuários privilegiados e garantir que os registros sejam revisados e atualizados sistematicamente para um monitoramento preciso.
Identidade e Autenticação (IA)
As organizações devem identificar e autenticar usuários, dispositivos e processos para garantir que somente identidades verificadas possam acessar sistemas confidenciais:
- As organizações devem verificar todos os tipos de usuários, incluindo humanos, máquina a máquina e identidades não humanas, para conceder acesso aos sistemas somente a usuários autorizados.
- As organizações devem permitir Autenticação multifatorial para contas privilegiadas e acesso de rede não privilegiado.
- As organizações usam mecanismos de autenticação resistentes à repetição para proteger contas privilegiadas e não privilegiadas contra acesso não autorizado.
Resposta a incidentes (IR)
Para cobrir todo o ciclo de vida do incidente, incluindo preparação, detecção, análise e recuperação, as organizações devem estabelecer um processo robusto de tratamento de incidentes:
- As organizações devem realizar análises de causa raiz e usar dados forenses para investigar incidentes, protegendo a integridade desses dados.
- As organizações devem combinar respostas manuais e automatizadas para abordar e mitigar rapidamente atividades anômalas que correspondam aos padrões de incidentes.
Proteção de Sistema e Configuração (SC)
As organizações devem proteger a integridade e a autenticidade das sessões de comunicação e garantir que as funções de gerenciamento do sistema sejam isoladas das funções do usuário:
- As organizações devem monitorar e controlar o tráfego de rede aplicando políticas de negação e protegendo a autenticidade da comunicação.
As organizações devem aplicar proteções de limites e impor a conformidade com os protocolos de rede e o uso de portas para proteger as comunicações do sistema.
Torne-se compatível com CMMC com Silverfort
1. Controle de acesso (CA)
Silverfort permite que os administradores atribuam políticas de controle de acesso a cada usuário, definindo quais recursos, dispositivos ou serviços o usuário pode acessar. Essas políticas podem ser aplicadas em tempo real com base em funções específicas do usuário, incluindo contas privilegiadas, cenários de risco e políticas de segurança organizacional.
SilverfortAs políticas de controle de acesso da podem ser aplicadas a cada autenticação dentro do ambiente organizacional. Ao impor políticas predefinidas, alertas, MFA ou bloqueio de acesso podem ser habilitados para proteger autenticação insegura a recursos críticos.
2. Auditoria e Responsabilidade (AU)
Com Silverfort você pode obter visibilidade em todos os logs de atividades de autenticação e acesso em todos os ambientes. Com integrações com ferramentas SIEM, Silverfort fornece monitoramento e revisão contínuos de todos os eventos registrados, garantindo que os logs sejam analisados regularmente em busca de anomalias ou incidentes de segurança.
Silverfort permite que os administradores personalizem e atualizem as políticas de log de auditoria, garantindo que novos tipos de eventos ou ameaças sejam capturados e que os logs de auditoria estejam alinhados com os requisitos de segurança em evolução.
3. Identidade e Autenticação (IA)
Silverfort autentica a identidade de cada usuário ao impor MFA forte em todos os sistemas, mesmo aqueles que não suportam nativamente protocolos de autenticação modernos. Isso garante que cada usuário deve verificar sua identidade antes de acessar recursos. Ao impor MFA e registrar todas as atividades do usuário em todos os ambientes, Silverfort garante que nenhum acesso seja concedido com base apenas em senhas, e os usuários são obrigados a se autenticar por meio do MFA para verificar se são quem dizem ser.
Também, Silverfort fornece um inventário de identidade aprofundado que exibe tipos de usuários e recursos no ambiente da organização. Isso permite que as organizações detectem e respondam rapidamente a atividades maliciosas, incluindo o bloqueio de acesso de quaisquer contas que apresentem comportamento anômalo.
4. Resposta a incidentes (IR)
Silverfort auxilia na análise de incidentes fornecendo logs detalhados de todas as atividades de autenticação e acesso. Isso permite que as equipes de segurança entendam o que ocorreu durante um incidente e determinem a causa raiz. Usando dados abrangentes sobre solicitações e comportamentos de acesso do usuário, Silverfort facilita uma investigação abrangente e a compreensão dos eventos que levaram e durante um incidente de segurança.
SilverfortOs recursos de monitoramento em tempo real do permitem que ele detecte anomalias e atividades suspeitas, fornecendo insights sobre o curso de um incidente. Como resultado dessa análise detalhada, é possível identificar a natureza e a origem exatas do problema, facilitando assim a correção eficaz e fortalecendo a segurança geral.
5. Proteção de Sistema e Configuração (SC)
Silverfort monitora cada evento de acesso, incluindo acesso aos limites externos e internos dos sistemas de informação. Ele fornece visibilidade a esses eventos de acesso e permite a configuração de políticas para controlar e proteger essas comunicações com controles de acesso avançados e autenticação segura.
Quer saber mais sobre como Silverfort pode ajudá-lo a abordar os aspectos de segurança de identidade do CMMC Framework? Baixar o whitepaper or agendar uma chamada com um de nossos especialistas.