El CMMC 2.0, que entrará en vigor en diciembre de 2021, es una combinación de varias mejores prácticas y normas de ciberseguridad y representa una evolución continua del actual DFARS 252.204-2012. El CMMC añade la verificación como requisito con varios niveles disponibles.
Sin embargo, la mayoría de las organizaciones deberán autocertificarse en el Nivel 1 y obtener una certificación adicional para el Nivel 2 o el Nivel 3, en función de los requisitos del contrato.
A medida que las políticas, las normas y las mejores prácticas continúan evolucionando, este mapeo debe utilizarse solo como una guía sobre cómo automatizar NDR a través de redes empresariales en cualquier nivel de clasificación. Dado que la plataforma Vectra Threat Detection and Response es compatible con todas las cargas de trabajo -desde cloud hasta el centro de datos, y desde los activos de TI tradicionales hasta los controles y sensores industriales IoT/OT-, la aplicabilidad y los beneficios de valor de la supervisión continua y las alertas en tiempo real pueden ayudar en muchos retos de certificación, al tiempo que reducen las cargas de trabajo generales del centro de operaciones de seguridad (SOC) y de los analistas de seguridad.
La siguiente sección destaca los requisitos clave de la CMMC con detalles que explican cómo la plataforma Vectra Threat Detection and Response cumple la categoría. El uso del aprendizaje automático (ML) y la inteligencia artificial (AI) patentados permite automatizar en minutos semanas o meses de cargas de trabajo y análisis. Para obtener más información, póngase en contacto con su equipo federal de Vectra hoy mismo y solicite un resumen de la solución.
Para apoyar a la comunidad federal, Vectra ha proporcionado esta guía de alto nivel que asigna los diversos requisitos a la plataforma Vectra Threat Detection and Response. Esto permite la asignación del CMMC al DFARS (NIST 800-171 y NIST 800-172) y a los controles tradicionales NIST 800-53.
Dominio: Control de acceso (AC)
AC.L2-3.1.5 Mínimo privilegio (CMMC 2 - 3): Emplear el principio del menor privilegio, incluso para funciones de seguridad específicas y cuentas privilegiadas. (800- 53: AC-6, AC-6(1), AC-6(5))
Vectra Detect™, que se ejecuta en la plataforma Vectra Threat Detection and Response, supervisa el acceso privilegiado en busca de anomalías, lo que a su vez puede identificar a los usuarios que están llevando a cabo actividades privilegiadas. Estas detecciones ocurren dentro de despliegues locales, Azure, AWS y entornos de Microsoft 365 tanto en inquilinos comerciales como gubernamentales. La mayoría de las organizaciones carecen de cualquier capacidad para validar o rastrear los cambios en el acceso de un usuario o host una vez que se ha concedido el privilegio y buscar comportamientos anómalos indicativos de atacantes ejecutando Command and Control, exfiltración masiva de archivos, ransomware u otras actividades.
AC.L2-3.1.6 Uso de cuentas sin privilegios (CMMC 2 - 3): Utilizar cuentas o roles no privilegiados cuando se acceda a funciones no relacionadas con la seguridad. (800-53: AC-6(2))
Vectra Detect supervisa el acceso privilegiado en busca de anomalías, lo que a su vez puede identificar qué usuarios están llevando a cabo actividades privilegiadas. Estas detecciones ocurren dentro de despliegues on-premise, Azure, AWS y entornos Microsoft Office 365. Tanto en los inquilinos comerciales como en los gubernamentales. Al utilizar varios modelos de IA no supervisados, la plataforma Vectra Threat Detection and Response puede elevar la puntuación de amenaza y certeza sobre el uso de cuentas que se sale de la norma. Cuando esta detección se toma en correlación con otros comportamientos de atacantes observados en el entorno, permite alertar con alta fidelidad de que una cuenta está involucrada en un ataque; y no sólo haciendo "algo diferente". La detección de anomalías suele generar mucho ruido y no es fiable. La correlación de la anomalía con otros comportamientos proporciona una mayor certeza.
AC.L2-3.1.7 Funciones privilegiadas (CMMC 2 - 3): Evitar que usuarios sin privilegios ejecuten funciones privilegiadas y capturar la ejecución de dichas funciones en registros de auditoría. (800-53: AC-6(9), AC-6(10))
La plataforma Vectra Threat Detection and Response proporciona alertas automáticas y en tiempo real de usuarios que actúan de forma privilegiada a través de integraciones en AzureAD, Active Directory, LDAP y otras fuentes de identidad. Examinando las acciones de las cuentas y el "privilegio observado" en correlación con otras detecciones basadas en el comportamiento, se pueden poner en marcha alertas en tiempo real y el bloqueo/contención de cuentas para mitigar las amenazas potenciales.
AC.L2-3.1.12 Controlar el acceso remoto (CMMC 2 - 3): Supervisar y controlar las sesiones de acceso remoto. (800-53: AC-17(1))
Vectra Detect y Vectra Stream supervisan las sesiones y vías de acceso remoto. Se puede actuar sobre la información basándose en integraciones con herramientas NAC, SOAR, EDR y SIEM. Las sesiones de acceso remoto se categorizan y se les asigna una puntuación de riesgo e impacto en Vectra Detect. Esto permite a los analistas e ingenieros centrarse en los usuarios de mayor riesgo sin el ruido normalmente asociado al seguimiento de las sesiones de acceso remoto. Dentro de los metadatos, se rastrean los detalles específicos de las sesiones y protocolos de acceso remoto y se correlacionan con los comportamientos potenciales de los atacantes a partir de los modelos de IA. La correlación de los resultados de los distintos modelos con la información observada sobre las sesiones de acceso remoto permite aplicar respuestas automáticas, controles, etc.
AC.L2-3.1.15 Acceso remoto privilegiado (CMMC 2 - 3): Autorizar la ejecución remota de comandos privilegiados y el acceso remoto a información relevante para la seguridad. (800-53: AC-17(4))
Vectra Detect supervisa la ejecución remota de comandos privilegiados. Esta capacidad existe de forma nativa, en la(s) cloud(es) comercial(es) y gubernamental(es) y en entornos de Microsoft 365. La ejecución remota observada de comandos privilegiados asigna automáticamente una puntuación alta o crítica a un activo en función de otras actividades de comportamiento observadas.
AC.L2-3.1.8 Intentos fallidos de inicio de sesión (CMMC 2 - 3): Limita los intentos fallidos de inicio de sesión.
La plataforma Vectra Threat Detection and Response proporciona supervisión y detecciones indicativas de ataques de fuerza bruta y mecanismos de elusión de MFA que suelen asociarse a intentos fallidos de inicio de sesión. Los bloqueos debidos a múltiples intentos fallidos suelen ser benignos, sin embargo, cuando se combinan con otras detecciones de comportamientos de ataque, Vectra puede proporcionar soluciones automatizadas, contención de cuentas u otras acciones.
AC.L1-3.1.20 Conexiones externas (CMMC 1 - 3): Verificar y controlar/limitar las conexiones y el uso de sistemas de información externos. (800-53: AC-20, AC-20(1))
Vectra Detect y Vectra Stream supervisan las conexiones hacia y desde sistemas de información externos. Las detecciones basadas en estas capacidades se correlacionan con otras fuentes de datos para automatizar respuestas basadas en comportamientos observados de Vectra, así como con otras herramientas de seguridad y orquestación. Por ejemplo, muchos atacantes, malware o amenazas internas aprovecharán PowerAutomate para establecer conexiones ocultas y relaciones de confianza con fuentes de datos externas (DropBox, SharePoint, etc.). Vectra proporciona una habilitación para detectar estas "actividades sospechosas" y confianzas federadas utilizando privilegios escalados.
Dominio: Identificación y autenticación (IA)
IA.L2-3.5.3 Autenticación multifactor (CMMC 2 - 3): Utilizar autenticación multifactor para el acceso local y de red a cuentas privilegiadas y para el acceso de red a cuentas no privilegiadas.
Aunque la autenticación multifactor (MFA) proporciona una verificación de identidad mejorada, muchos adversarios sofisticados y estados nación son capaces de eludir estos controles a través de credenciales comprometidas, suplantación de identidad y manipulación de las configuraciones subyacentes dentro de herramientas como Azure AD. La capacidad de Vectra para detectar inicios de sesión que eluden la MFA, administradores de M365/AzureAD que realizan cambios en la MFA que son atípicos y análisis completos de la postura de las más de 7.500 líneas de configuración dentro de AzureAD permiten alertar sobre mecanismos que los propios sistemas raíz no pueden.
Ámbito: Respuesta a incidentes (IR)
IR.L2-3.6.1 Manejo de incidentes (CMMC 2 - 3): Establecer una capacidad operativa de gestión de incidentes para los sistemas de la organización que incluya actividades de preparación, detección, análisis, contención, recuperación y respuesta de los usuarios. (800-53: IR-2, IR-4, IR-5, IR-6, IR-7)
Utilizando las capacidades de Vectra, la IR se mejora con datos que soportan la detección, la contención y otros metadatos enriquecidos con IA para la elaboración de informes y análisis forenses. Además, Vectra Detect proporciona capacidades de detección de comportamiento por adelantado que mitigan la IR real basada en la detección temprana y la aplicación y alerta automatizadas. Con la capacidad de detectar amenazas nuevas y desconocidas netas sin firmas en tiempo real, Vectra puede proporcionar detección y contención en cuestión de segundos desde que se observan los primeros comportamientos de los atacantes. Para mantener la gestión del cambio, se pueden aprovechar los tickets y los libros de jugadas basados en SOAR para permitir un periodo de interacción humana antes de crear una contención/bloqueo automático del host o usuario.
IR.L2-3.6.2 Notificación de incidentes (CMMC 2 - 3): Realizar el seguimiento, documentar y notificar los incidentes a los funcionarios y/o autoridades designados, tanto internos como externos a la organización. (800-53: IR-2, IR-4, IR-5, IR-6, IR-7)
Vectra Detect detectará, clasificará y alertará a través del panel de control de Vectra sobre incidentes graves o críticos. Estas alertas y los informes en tiempo real de Vectra Detect permiten tomar medidas inmediatas. La integración con herramientas SIEM y de emisión de tickets permite capacidades adicionales de generación de informes y respuesta basadas en normativas para fuentes internas y externas.
Ámbito: Gestión de riesgos (GR)
RA.L2-3.11.2 Exploración de vulnerabilidades (CMMC 2 - 3): Escanear en busca de vulnerabilidades en los sistemas y aplicaciones de la organización periódicamente y cuando nuevas vulnerabilidades afecten a aquellos. (800-53: RA-5, RA-5(5))
Vectra Stream recopila y almacena metadatos de red enriquecidos con seguridad de todo el tráfico. Los metadatos se enriquecen con conocimientos profundos de seguridad y contexto de amenazas que son fundamentales para identificar sistemas vulnerables en las herramientas SIEM. Al mismo tiempo, Vectra Detect identifica en tiempo real nuevos sistemas que pueden ser vulnerables basándose en el comportamiento observado de los usuarios, el movimiento lateral de los atacantes y más de 70 modelos de comportamiento patentados basados en IA. Ciertas partes de los metadatos pueden utilizarse para sacar a la superficie características como cifrados débiles (versiones antiguas de TLS), recursos compartidos SMB y balizamiento que pueden ser indicativos de activos vulnerables. Muchas organizaciones descubren que con la plataforma Vectra Threat Detection and Response, se dan cuenta de que hay muchos más activos en su entorno que no se tienen en cuenta, pero que también son objetivos principales para los atacantes.
RA.L2-3.11.3 Corrección de vulnerabilidades (CMMC 2 - 3): Remediar las vulnerabilidades de acuerdo con las evaluaciones de riesgo. (800-53: RA-5)
Vectra Detect y Vectra Stream son capaces de tomar medidas inmediatas contra las vulnerabilidades, tanto de forma nativa como cuando se integran con un entorno de orquestación. La detección de cuentas con MFA desactivado, hosts con SMB abierto o cifrados débiles, y otros análisis de tráfico de metadatos permite poner remedio antes de que se hayan completado las evaluaciones de riesgos. La plataforma Vectra Threat Detection and Response puede realizar la desactivación automática de cuentas dentro de LDAP y AD y coordinar el cambio de autorización (COA) dentro de una solución NAC para desautorizar o cambiar las ACL dentro de un entorno. Basándose en varias detecciones, la capacidad de contener hosts con ciertas puntuaciones de amenaza y certeza de Vectra puede automatizarse dentro de herramientas EDR como Microsoft Defender, CrowdStrike y CarbonBlack.
RA.L2-3.11.2 Exploración de vulnerabilidades (CMMC 2 - 3): Buscar vulnerabilidades en los sistemas y aplicaciones de la organización periódicamente y cuando se identifiquen nuevas vulnerabilidades que afecten a dichos sistemas y aplicaciones.
Una brecha importante en la mayoría de las evaluaciones de seguridad cloud y el cumplimiento es la postura de las más de 7.500 líneas de configuración individuales por usuario dentro de AzureAD/M365. Se ha encontrado en muchos casos donde los tokens y la autenticación han sido clonados por adversarios haciendo uso de estos espacios fáciles de manipular. Vectra proporciona una capacidad de monitorización/escaneo continuo de la postura dentro de AzureAD en los enclaves comerciales, GCC, GCC-HIGH y gubernamentales SECRET y TOP SECRET. Vectra Protect es la única capacidad aprobada por Microsoft para apoyar estas iniciativas.
Dominio: Evaluación de la seguridad (CA)
CA.L2-3.12.3 Supervisión de los controles de seguridad (CMMC 2 - 3): Supervisar los controles de seguridad de forma continua para garantizar la eficacia continuada de los controles. (800-53: CA-2, CA-5, CA-7, P-2)
El motor de ciberdetección Vectra AI proporciona vistas del panel en tiempo real y alertas de posibles problemas, lo que permite validar los controles de seguridad y la capacidad de validar aún más si los controles de seguridad son eficaces y completos. Idealmente, un entorno está bien controlado y bloqueado, sin embargo, la mayoría de las empresas no proporcionan controles adecuados sobre los sistemas auxiliares que permiten el movimiento lateral en entornos más críticos. El uso del panel de control de Vectra Detect permite conocer en tiempo real los sistemas comprometidos, los nuevos ataques que eluden los controles de seguridad actuales y detectar equipos rojos o morados durante las evaluaciones.
Ámbito: Protección de Sistemas y Comunicaciones (SC)
SC.L2-3.13.6 Comunicación de red por excepción (CMMC 2 - 3): Denegar el tráfico de comunicaciones de red por defecto y permitir el tráfico de comunicaciones de red por excepción (es decir, denegar todo, permitir por excepción).
Las organizaciones que pasan a una arquitectura de seguridad de Zero Trust se enfrentan a muchos retos. Como base analítica de numerosas arquitecturas de referencia de Zero Trust de la Agencia de Inteligencia, la plataforma Vectra Threat Detection and Response proporciona a todos los entornos un contexto adicional sobre la detección de anomalías en el uso de privilegios de hosts/cuentas con privilegios elevados que utilizan recursos fuera de su norma aprendida. Aunque zero trust limita el acceso subyacente, a menudo no es lo suficientemente granular como para realizar un seguimiento de las cuentas habilitadas después de que se les hayan concedido permisos.
SC38: SC.L2-3.13.11 Cifrado CUI (CMMC 2 - 3): Emplear criptografía validada por FIPS cuando se utilice para proteger la confidencialidad de la CUI. (800-53: SC-13)
Los metadatos enriquecidos de la plataforma Vectra Threat Detection and Response son capaces de diferenciar cifrados débiles en el entorno que son indicativos de criptografía no validada por FIPS. Un hallazgo importante en muchos informes es que, aunque el entorno está habilitado para FIPS, muchas herramientas heredadas o entornos OT/IoT/ICS utilizan criptografía débil o obsoleta. La aparición automatizada de estos dentro de la plataforma Vectra Threat Detection and Response puede proporcionar una visibilidad inmediata. La plataforma Vectra Threat Detection and Response utiliza criptografía conforme a FIPS 140-2 para todas las transmisiones y datos federales en reposo (DAR) de metadatos mejorados ML e instancias micro-PCAP. Todas las interfaces con sistemas de terceros se inician con criptografía conforme. La plataforma Vectra Threat Detection and Response no requiere el descifrado de los flujos de tráfico para llevar a cabo las capacidades de detección de comportamientos basadas en ML. Esto significa que no es necesario realizar operaciones de allanamiento e inspección.
SC39: SC.L1-3.13.1 Protección de límites (CMMC 1 - 3): Supervisar, controlar y proteger las comunicaciones de la organización (es decir, la información transmitida o recibida por los sistemas de información de la organización) en los límites externos y en los límites internos clave de los sistemas de información. (800-53: SC-7, SA-8) Vectra Detect y Vectra Stream supervisan las comunicaciones en los límites externos y clave. Las ciberdetecciones de comportamiento basadas en redes neuronales identifican y alertan a los analistas de seguridad sobre posibles amenazas en tiempo real a todos los niveles de los sistemas de comunicaciones. A diferencia de las capacidades basadas en firmas, Vectra no se limita a los vectores de ataque "conocidos" para eludir los límites, sino que es capaz de detectar ataques nuevos netos o "desconocidos" basándose en los comportamientos sucesivos.
Ámbito: Integridad del sistema y de la información (SI)
SI.L1-3.14.1 Corrección de fallos (CMMC 1 - 3): Identificar, notificar y corregir oportunamente los defectos de la información y de los sistemas de información. (800-53: SI-2, Si-3, SI-5)
Vectra Stream proporciona una integración completa del lago de datos para la elaboración de informes y capacidades forenses durante y después de un incidente. Estos datos pueden correlacionarse con otras plataformas para localizar fallos en conjuntos de datos y permitir que los equipos SOC completen ejercicios comparativos utilizando metadatos enriquecidos con IA. Las alertas en tiempo real se completan en el cuadro de mandos de la plataforma Vectra Threat Detection and Response, razón por la que muchas organizaciones CISO consultan Vectra al principio y al final de cada turno para conocer su situación actual.
SI.L1-3.14.2 Protección contra código malicioso (CMMC 1 - 3): Proporcionar protección contra códigos maliciosos en las ubicaciones apropiadas dentro de los sistemas de información de la organización. (800-53: SI-2, SI-3, SI-5)
En lugar de prevenir el código malicioso, la plataforma Vectra Threat Detection and Response detecta y responde a los nuevos comportamientos de amenazas netas, incluyendo la comunicación de comando y control, la exfiltración de datos y el movimiento lateral. Como resultado, la plataforma Vectra Threat Detection and Response puede poner automáticamente en cuarentena o en honeypot un sistema y utilizar la asociación de la industria con las soluciones Network Access Control (NAC), Endpoint Detection and Response (EDR) y Security Orchestration and Response (SOAR) para mitigar la propagación adicional a otros sistemas y endpoints en entornos de cloud, remotos y otros. El enfoque de aprovechar la IA para automatizar una respuesta de seguridad zero trust a posibles actores maliciosos y ataques de red nueva permite a Vectra detener los ataques antes de que hayan comenzado.
SI.L1-3.14.4 Actualizar la protección contra códigos maliciosos (CMMC 1 - 3): Actualizar los mecanismos de protección contra códigos maliciosos cuando haya nuevas versiones disponibles. (800-53: SI-3)
Debido a la naturaleza conductual de la plataforma Vectra Threat Detection and Response, no son necesarias las actualizaciones y el sistema aprovecha continuamente los nuevos algoritmos de AL para detectar amenazas emergentes antes de que las definiciones tradicionales hayan sido publicadas por la mayoría de los proveedores y organizaciones de seguridad. Al aprovechar las detecciones basadas en el comportamiento de la IA, se puede reducir la amenaza de los nuevos atacantes y reducir el tiempo de detección y respuesta de horas, días o semanas a minutos.
SI.L2-3.14.6 Supervisar las comunicaciones en busca de ataques (CMMC 2 - 3): Supervisar los sistemas de la organización, incluido el tráfico de comunicaciones entrantes y salientes, para detectar ataques e indicadores de ataques potenciales. (800-53: AU-2, AU-2(3), AU-6, SI-4, SI-4(4))
Vectra Detect ofrece funciones IDS/IPS de nueva generación y detección de ataques basada en IA sin necesidad de definiciones, descifrado de tráfico u otras técnicas habituales en la mayoría de las ofertas comerciales. Compatible con la mayoría de nuestros consumidores de sistemas de seguridad nacional (NSS), Vectra permite a los equipos cibernéticos mitigar un ataque antes de que haya pasado a un estado de replicación o de causar daños.
SI.L2-3.14.7 Identificar el uso no autorizado (CMMC 2 - 3): Identificar el uso no autorizado de los sistemas de la organización. (800-53: SI-4)
Vectra Detect identifica, responde y mitiga el abuso y compromiso de cuentas privilegiadas cuando los usuarios realizan actividades que exceden los comportamientos normales. Estos comportamientos maliciosos son los principales indicadores de que un atacante se ha apoderado de la cuenta y los privilegios de un usuario o ha creado una cuenta falsa para moverse lateralmente en busca de activos que exfiltrar. La mayoría de los ataques recientes han aprovechado algún nivel de compromiso de cuenta M365 y movimiento lateral a través de los entornos basados en privilegios escalados. Ser capaz de detectar estos comportamientos antes de que tengan tiempo de ejecutarse en el GCC-HIGH es un componente clave para proteger a la empresa.
En resumen
Vectra mapea los diversos requisitos del CMMC a través de la plataforma Vectra Threat Detection and Response. Como plataforma número uno de detección y respuesta de redes basada en IA, Vectra admite cargas de trabajo en toda la red a cualquier nivel de clasificación, incluida cloud, el centro de datos, el IoT y la empresa. La plataforma permite la supervisión continua y las alertas en tiempo real, al tiempo que reduce la carga de trabajo general del centro de operaciones de seguridad (SOC) y de los analistas de seguridad.
Con la confianza de expertos y empresas de todo el mundo
