Para proteger la Información de Defensa Cubierta (CDI, por sus siglas en inglés) -datos no clasificados categorizados como sensibles porque fueron proporcionados por o generados para el gobierno de EE.UU. y no destinados a la divulgación pública- viene DFARS 252.204-7012 y las normas relativas a la "Salvaguarda de la Información de Defensa Cubierta y la Notificación de Incidentes Cibernéticos".
El suplemento DFARS se aplica a todas las licitaciones del Departamento de Defensa de EE.UU. (DoD) que no sean adquisiciones de "artículos comerciales listos para usar".
Si una empresa tiene contratos con el DoD, o es subcontratista de un contratista principal con contratos con el DoD, esa organización tiene hasta el 31 de diciembre de 2017 para implantar el NIST SP 800-171. Se trata de un requisito estipulado en el DFARS 252.204-7012.
La cláusula cibernética del DFARS debe transmitirse a todos los proveedores o subcontratistas que almacenen, procesen y/o generen CDI como parte de la ejecución del contrato.
La CDI incluye información técnica controlada no clasificada u otra información, tal y como se describe en el Registro de Información Controlada No Clasificada (CUI). Requiere controles de salvaguarda o difusión de conformidad con la ley, los reglamentos y las políticas de todo el gobierno, y es:
- Marcado o identificado de otro modo en el contrato, orden de trabajo u orden de entrega y proporcionado al contratista por o en nombre del DoD en apoyo de la ejecución del contrato; o bien
- Recopilados, desarrollados, recibidos, transmitidos, utilizados o almacenados por el contratista o en su nombre en apoyo de la ejecución del contrato.
Por información técnica controlada se entiende la información técnica con aplicación militar o espacial que está sujeta a controles de acceso, uso, reproducción, modificación, ejecución, exhibición, liberación, revelación o difusión.
La información técnica controlada cumpliría los criterios, si se difundiera, para las declaraciones de distribución B a F utilizando los criterios establecidos en la Instrucción 5230.24 del DoD, Declaraciones de distribución sobre documentos técnicos. El término no incluye la información que está legalmente disponible al público sin restricciones.
La buena noticia es que el NIST 800-171 tiene una tabla de correspondencias (Apéndice D) para establecer correspondencias entre los controles del NIST 800-53 y los del NIST 800-171. NIST 800-53 es el marco federal para la seguridad de las infraestructuras críticas, un estándar ampliamente utilizado para el proceso de mapeo y la madurez de un programa de seguridad.
En las secciones siguientes se destacan los componentes clave del marco del NIST y se ofrecen detalles sobre cómo la plataforma Vectra AI proporciona a los contratistas y subcontratistas del DoD detección y respuesta continuas y automatizadas frente a amenazas en todas las redes empresariales, desde las cargas de trabajo de cloud y los centros de datos hasta los dispositivos de usuario e IoT.
Mediante el uso de inteligencia artificial, la plataforma Vectra AI condensa semanas o meses de trabajo en minutos, permitiendo a los equipos de operaciones de seguridad tomar medidas rápidas para evitar robos o daños por ciberataques. Las categorías descritas por NIST 800- 171 que son compatibles con la plataforma Vectra AI AI se detallan en las siguientes tablas:
3.4 Gestión de la configuración
Requisitos básicos de seguridad
| Subcategoría |
Capacidad de Vectra AI |
| 3.4.1 Establecer y mantener configuraciones de línea base e inventarios de sistemas de información organizacionales (incluyendo hardware, software, firmware y documentación) a lo largo de los respectivos ciclos de vida de desarrollo del sistema. |
Vectra AI supervisa y analiza continuamente el tráfico interno de la red, el tráfico con destino a Internet y el tráfico del centro de datos, incluido el tráfico entre cargas de trabajo virtuales en el centro de datos, para establecer líneas de base de los comportamientos del sistema e identificar actividades no autorizadas. |
| 3.4.2 Establecer y aplicar parámetros de configuración de seguridad para los productos de tecnología de la información empleados en los sistemas de información de la organización. |
Vectra AI supervisa y analiza continuamente el tráfico interno de la red, el tráfico con destino a Internet y el tráfico del centro de datos, incluido el tráfico entre cargas de trabajo virtuales en el centro de datos, para establecer líneas de base de los comportamientos del sistema e identificar actividades no autorizadas. |
Requisitos de seguridad derivados
| Subcategoría |
Capacidad de Vectra AI |
| 3.4.3 Rastrear, revisar, aprobar/desaprobar y auditar cambios en los sistemas de información. |
Vectra AI rastrea la infraestructura interna de Kerberos para comprender los comportamientos normales de uso y detectar cuándo las credenciales de usuarios de confianza se ven comprometidas por atacantes, incluido el uso indebido de credenciales administrativas y el abuso de protocolos administrativos, como IPMI. |
| 3.4.4 Analizar el impacto de seguridad de los cambios antes de su implementación. |
Vectra AI ofrece múltiples oportunidades de alerta temprana para detectar ransomware, otras variantes malware y la actividad maliciosa que precede a un ataque en cualquier dispositivo de red, incluidos los dispositivos que no ejecutan software antivirus. |
| 3.4.5 Defina, documente, apruebe y aplique restricciones de acceso físico y lógico asociadas con cambios al sistema de información. |
Vectra AI supervisa y analiza continuamente todo el tráfico de red, incluido el tráfico interno entre hosts físicos y virtuales con una dirección IP, como portátiles, smartphones, BYOD y dispositivos IoT, independientemente del sistema operativo o la aplicación. |
| 3.4.6 Aplicar el principio de mínima funcionalidad configurando el sistema de información para que sólo ofrezca las capacidades esenciales. |
Una combinación de aprendizaje automático supervisado y no supervisado aplicado a la red local desarrolla la línea de base del comportamiento apropiado y aprobado a partir de la cual identificar el comportamiento no aprobado del personal, las conexiones, los dispositivos y el software. |
| 3.4.7 Restringir, deshabilitar e impedir el uso de funciones, puertos, protocolos y servicios no esenciales. |
Una combinación de aprendizaje automático supervisado y no supervisado aplicado a la red local desarrolla la línea de base del comportamiento apropiado y aprobado a partir de la cual identificar el comportamiento no aprobado del personal, las conexiones, los dispositivos y el software. |
| 3.4.8 Aplique una política de denegación por excepción (lista negra) para evitar el uso de software no autorizado o una política de denegación de todo, permiso por excepción (lista blanca) para permitir la ejecución de software autorizado. |
Una combinación de aprendizaje automático supervisado y no supervisado aplicado a la red local desarrolla la línea de base del comportamiento apropiado y aprobado a partir de la cual identificar el comportamiento no aprobado del personal, las conexiones, los dispositivos y el software. |
3.6 Respuesta a incidentes
| Subcategoría |
Capacidad de Vectra AI |
| 3.6.1 Establecer una capacidad operativa de manejo de incidentes para los sistemas de información de la organización que incluya actividades adecuadas de preparación, detección, análisis, contención, recuperación y respuesta de los usuarios. |
Los metadatos se analizan con algoritmos de detección de comportamientos para identificar atacantes ocultos y desconocidos. Por ejemplo, el aprendizaje automático supervisado permite a Vectra AI encontrar los rasgos ocultos que todas las amenazas tienen en común, mientras que el aprendizaje automático no supervisado revela patrones de ataque. Vectra AI condensa miles de eventos y rasgos de red en una única detección utilizando técnicas de aprendizaje automático que exponen automáticamente a los atacantes basándose en las características del tráfico de red. |
| 3.6.2 Rastrear, documentar y reportar incidentes a los funcionarios y/o autoridades apropiados de la organización. |
La puntuación automatizada de los hosts revela el riesgo global para la red en función de la amenaza y la certeza. El Threat Certainty Index™ de Vectra AI AI puntúa todas las amenazas y prioriza los ataques que suponen un mayor riesgo. La puntuación de los hosts comprometidos por el Threat Certainty Index permite a los equipos de seguridad definir niveles de umbral basados en la puntuación combinada (por ejemplo, crítico > 50/50). |
