Zac Amos, Özellik Editörü, ReHack
Siber Güvenlik Olgunluk Modeli Sertifikasyonu (CMMC), savunma sanayi üssü (DIB) yüklenicilerinin Savunma Bakanlığı (DoD) için çalışmak üzere araç setlerine ekleyebilecekleri başka bir uyumluluk çerçevesidir.
Devlet yüklenicileri, yeni çalışma alışkanlıkları ve koşulları geleneksel olarak güvenli olan alanların dışına çıktıkça, güvenliğin zirvesinde kalmak için bu çerçevenin en yeni versiyonuna bakmalıdır. CMMC, özellikle yüksek profilli devlet işleri için güvenlik için mobil çalışma devrimini nasıl ele alacak?
CMMC Nedir ve Yükleniciler Uyumluluğu Nasıl Sağlar?
Daha önce Savunma Federal Tedarik Yönetmeliği Eki (DFARS) olarak bilinen CMMC, savunma yüklenicilerinin becerilerini, bilgilerini ve güvenilirliğini sağlamak için kapsamlı bir siber güvenlik çerçevesidir. Devlet sözleşmeleri için teklif veren şirketler ve bireyler, son derece rekabetçi bir siber ortamda güncel kalmak için bağlı kalmalıdır. Pek çok insan bunun müteahhitlere uzak durması için yer bırakıp bırakmadığını merak ediyor – bırakıyor, ancak ekstra şartlarla.
Üçüncü taraf değerlendiriciler ve öz değerlendirmeler, yakınlığı devlet protokolleri ve siber güvenlik bilgisi ile analiz eder. Bu kuruluşlar, kontrollü sınıflandırılmamış bilgiler (CUI) veya federal iletişim bilgileri (FCI) gibi devlet verilerini nasıl koruyabilir? Bir tehdit aktörü savunmaları aşarsa yüksek riskli, paha biçilmez verilerle nasıl çalışacaklarını biliyorlar mı?
Uyumluluğa ulaşmak, üç yeterlilik düzeyinde gezinmeyi, ara değerlendirmelerden ve üçüncü taraf denetimlerden geçmeyi ve bir eylem planı ve kilometre taşları taslağı hazırlamayı gerektirir. Onay mührü almadan önce paketinden çıkarılacak çok şey var, ancak bu, yüklenicilerin güven kazanmasını ve dijital korumaya bağlılıklarını kanıtlamasını sağlıyor.
CMMC Uzaktan Çalışmayı Nasıl Etkiler?
Daha önce, devlet yüklenicileri, şirket sponsorluğunda siber güvenlik altyapısına sahip kontrollü ortamlarda bulunuyordu. Uzaktan çalışmanın yükselişi, bir saldırı yüzey alanını kavranamayacak kadar genişletiyor, bu nedenle CMMC, hareket halindeyken bulut bilgi işlem ve kalite güvenceye bakarak bu yaşam tarzlarına uyum sağlamaya yönelik yönergeler oluşturdu. Bununla birlikte, birçok uzaktan çalışma uyumluluğu, uzaktan erişimin çeşitli yönlerini çevreler.
Yükleniciler, uzaktan erişim noktalarını ve bağlantıyı izleme alıştırması yapmalıdır. Uzaktan erişim, güvenli mekanlarda korunan makinelere ulaşmanın kolaylaştırılmış bir yoludur, ancak bağlantının kusursuz olması için şifreli ve güvenli olması gerekir. Erişime izin veren ağlar, izinsiz giriş tespiti ve kriptografi gibi ek doğrulama önlemleri almalı ve denetçilere izinlerinin asgari düzeyde olduğunu ve kaydedildiğini kanıtlamak için ayrıntılı raporlar tutmalıdır. Uzak ortamlar için hazırlanan siber saldırıların önlenmesine yardımcı olacaktır.
Uzaktan erişimde hüküm sürmenin yanı sıra şirketlerin izinleri de değerlendirmesi gerekiyor. Yöneticiler ne yapabilir ve uzak oturumlarla az çok kontrol edebilirler mi? Bu görevleri – bakım veya operasyonel – ağ içinde ve dışında gerçekleştirebilirler mi, yoksa bağlantı gerekli midir?
Değişken evden çalışma önlemleri, belirlenmiş CMMC seviyelerine özeldir, dolayısıyla yükleniciler Seviye 3’e ilerlemeyi planlamıyorsa tüm önlemler gerekli değildir. Bunların tümü, uzaktan yüklenicilerin özel olarak dikkat etmesi gereken, CUI’ye erişim için özel kontrollerdir. , diğerleri arasında:
- 1.12
- 1.13
- 1.14
- 10.6
- 13.7
- 5.3
Örneğin, tüm düzeyler iki faktörlü kimlik doğrulama gerektirmez, ancak 2019’da kuruluşların yalnızca %57’si bu kimlik doğrulama araçlarını kullandı. Etkililikleri sağlam, öyleyse neden onu uzaktan çalışma prosedürlerine dahil etmiyorsunuz?
Şirketler Uzak İlkeleri Nasıl Uyumlu Hale Getirebilir?
Uyumluluğa ulaşmanın en iyi yollarından biri, güvenli araçlar kullanmaktır. Bunlar, uzak yüklenicileri donatmak için güçlü bir başlangıçtır:
- Çok faktörlü kimlik doğrulama (MFA) yazılımı
- Donanım tabanlı sanal özel ağlar (VPN’ler)
- Simgeleştirme
- Mikrofonlar gibi harici cihaz bağlantı göstergeleri
Daha gelişmiş operasyonlar, yüklenici faaliyetleri hakkında veri toplayarak erişimi daha da kısıtlayabilir. Şirketler, düzensiz erişim konumları oluştuğunda veya yükleniciler düzensiz saatlerde oturum açtığında uyarılar ayarlayabilir. Şirket tarafından onaylanmayan cihazların erişim isteyip istemediğini de izleyebilir.
Yükleniciler, uzaktan uyumluluğu desteklemek için NIST 800-171’e de başvurabilir. CMMC’nin bel kemiğidir ve yerel veya uzak her siber güvenlik çerçevesi, sunduklarını gözden geçirmekten yararlanabilir.
Çalışanların uzak masalar için CMMC uyumluluğuna ulaşmasını sağlamanın daha az resmi bir yolu da, profesyonel davranış sergilemektir. Evden çalışmanın, daha gevşek kıyafet kuralları gibi avantajları vardır, ancak zihniyetteki değişiklik, dikkat ve güvenlikten uzaklaşmamalıdır. Yüklenicileri işe alan şirketler, geleneksel olmayan ortamlarda çalışmasına rağmen üretkenliği ve farkındalığı nasıl sürdüreceklerine dair onlardan net beklentiler belirleyebilir.
Uyumluluğu Ofis Kapılarının Ötesine Taşıyoruz
CMMC, yüklenicileri uzaktan çalışma devriminin bir sonraki aşamasına hazırlıyor. Tehdit aktörlerinin hassas bölgelere girme alanı, potansiyel olarak gezegendeki her coğrafi noktaya ulaştı. Uyumluluklar, güvenli bir dijital iş yerini sağlamlaştırmanın mihenk taşlarıdır.
Devlet verileri için güvenli alanlar oluşturmaya yönelik kaynaklar burada ve koruyucu dijital araçlar ve varlıklar her gün gelişiyor. CMMC’nin revizyonu, yeni çalışma ortamlarına ve küresel değişime uyum sağlamaya istekli olduğunu gösteriyor, bu nedenle yükleniciler ne pahasına olursa olsun güncellemelerden haberdar olmalıdır.
yazar hakkında
Zac Amos, siber güvenlik ve teknoloji endüstrisini ele aldığı ReHack’te Özellik Editörüdür. İçeriğinin daha fazlası için onu takip edin twitter veya Linkedin.