FineArt News

資安新知

外洩無門:CMMC下的資料外洩防護對策

CMMC 框架由NIST SP 800-171 Rev 2(保護非聯邦系統和組織中的受控非機密資訊CUI)中的安全要求以及NIST SP 800-172(保護受控非機密資訊的增強安全要求)中的要求子集合組成: NIST SP 800-171 的補充。此模型架構將這些實踐措施組織到一組領域中,直接對應到 NIST SP 800-171 Rev 2 系列中的領域。

為了幫助供應商加強網路安全保護,DIB SCC 產業工作小組正在識別並發布實用的公開網路安全資源的連結。選擇這些資源是為了幫助公司 (i) 滿足適用於美國聯邦承包商的國防部和其他美國網路安全標準(例如 FAR 基本保護條款、DFARS 保護 CDI 條款、CMMC); (ii) 以其他方式改善其目前的網路安全保護。和ISO 27001 類似,要求對處理資訊必須具備安全控制保護,CMMC 則是聚焦FCI (Federal Contract Information)與CUI (Controlled Unclassified Information)。

如果是國防工業承包商,的確必須要通過CMMC 認證才能承攬合約,這個建議洽詢專業輔導與認證機構。未直接參與的周邊供應商,也非常有可能被主約商要求具備CMMC 合規,但不一定是必要通過認證。對於國防合約商而言,當然也期望其供應商必要具備一定程度的網路安全成熟度。DLP (Data Loss Prevention) 系統擅長對於文件資訊的識別與存取控制,以及使用的的持續活動監視,可以協助組織CMMC合規要求。

 

CMMC 模型要求領域

在CMMC 2.0中簡化了原先的 CMMC 1.0 框架,將5級成熟度等級縮減﹐並加強了對網絡安全實踐的重點。CMMC 2.0 分為三個主要等級,每個等級都有不同的安全要求。

LEVEL 1 重點在於 FCI 的保護,僅包含符合 48 CFR 52.204-21 中規定的基本保護要求(通常稱為 FAR 條款)的做法。

LEVEL 2 重點關注 CUI 的保護,包含 NIST SP 800-171 Rev 2 中指定的 110 項安全措施要求。

 

CMMC 模型由 14 個領域組成,這些領域與 NIST SP 800-171 中指定的系列一致。我們將這些領域分類成軟體工具可以協助,與行政程序管理二大類,並非所有的領域都可以用工具協助。行政管理則必須融入公司商業流程,形成工作文化。

 

 

藍色覆蓋區域是DLP工具可以協助的領域,下面為利用資訊外洩防護(DLP)技術來滿足這些要求的

對比範例:

Domain : Access Control (AC)

  • AC.L1-3.1.1:限制對資訊系統的存取。
    DLP功能:控制和監控對敏感資訊的存取,確保只有被授權用戶能夠處理這些數據。

  • AC.L2-3.1.3:控制CUI的傳輸。
    DLP功能:通過監控和控制敏感數據的流動,防止未經授權的傳輸,確保CUI傳輸的安全。

Domain : Audit and Accountability (AU)

  • AU.L2-3.3.5:產生稽核記錄,協助偵測和應對事件。
    DLP功能:記錄有關CUI的訪問和傳輸活動,生成詳細的審計日誌,以支持事件檢測和應對。

Domain : Media Protection (MP)

  • MP.L2-3.8.8:保護CUI免受未經授權的披露。
  • DLP功能:識別和分類CUI,並實施相應的保護策略,防止數據外洩或未經授權的披露。

 

DLP 如何保護資料?

Data Loss Prevention (DLP)是一組技術和流程,用於確保機密和敏感信息不會被未經授權的用戶存取,使用、傳輸或洩漏。DLP通過識別、監控和保護數據來實現這一目標。而CMMC 的主要精神在保護CUI文件,識別與分類並控制文件正是DLP所擅長的內容,以下是DLP提供保護數據幾種主要方式:

  • Information identification /Classification 資訊識別與分類
    • Inventory /Discovery 盤點並探索本機及網路上的檔案文件
    • Tagging and annotation 資訊標記與註記
    • Encryption 加密保護,依據分類結果決定被加密保護
    • Access control 存取控制,根據資訊的重要性和敏感性進行分類,可以針對不同類型的數據應用不同的控制政策

  • User activities Monitoring 使用者活動監視
    識別、監視和控制用戶如何存取、處理和傳輸敏感數據,並且記錄相對應活動內容。
    持續監控用戶在終端設備、應用程序和網絡上的活動,及時發現和回應處置潛在的數據洩露風險。包括:
    • Device control 裝置控管
    • Information transfer control 傳輸控管
    • Audit and accountability 稽核記錄與責任歸屬
    • Incident Response:事件反應 偵測異常及違規事件,即時反應並產生報告

  • Encryption 保護靜態和傳輸中的敏感資料
    • Drive encryption全碟加密保護,包括本機與外接儲存媒體
    • File encryption檔案與資料夾自動加密保護
    • Transfer encryption傳輸加密,如TLS

  • Policy Enforcement 政策落實:根據企業安全策略自動執行控制措施,防止未經授權的數據存取和傳輸。

 

透過利用DLP 的資料發現和分類、內容檢查和策略執行、加密、端點保護、使用者活動監控和事件回應功能,組織可以有效保護受控非機密資訊(CUI), 並實現CMMC 要求的合規性。隨著網路威脅的不斷發展和監管要求變得更加嚴格,DLP 解決方案將在幫助組織保護敏感資料,並維持遵守行業標準和法規方面發揮越來越重要的作用。

 

其他可以協助的工具

除了DLP之外,還可以考慮搭配其他安全工具,以期更全面性的符合CMMC規範,像是

  • SIEM收集、分析和關聯整個組織的安全事件數據,以偵測和回應威脅
  • Endpoint Security保護電腦、行動裝置和伺服器等端點免受威脅
  • Multi-Factor Authentication (MFA) 透過要求多種形式的驗證來增強存取安全性
  • 身分和存取管理 (IAM) 確保正確的用戶在正確的時間,出於正確的理由存取正確的資源

 

這些工具都有部分涵蓋CMMC Domains,有的也會跨CyberSecurity 領域,像是Endpoint DLP 就很可能包含 IAM, Endpoint Security,端視供應商設計的方案。實施這些工具將有助於組織滿足 CMMC 2.0 的特定要求,確保對受控非機密資訊 (CUI) 和聯邦合約資訊 (FCI) 提供有力的保護。每個工具都可能解決網路安全的不同方面,共同提供符合 CMMC 2.0 標準的全面安全態勢。