月份: 六月 2024

CMMC Key points of the proposed rule

The CMMC (Cybersecurity Maturity Model Certification) proposed rule is a new regulation put forth by the Department of Defense (DoD) aimed at strengthening the cybersecurity of the Defense Industrial Base (DIB).

Key points of the proposed rule:

  • Three levels of certification:
    • Level 1: Focuses on basic cyber hygiene for contractors handling Federal Contract Information (FCI).
    • Level 2: Requires more advanced security measures for contractors handling Controlled Unclassified Information (CUI).
    • Level 3: The most stringent level, requiring expert assessment for contractors handling CUI on critical programs.
  • Self-assessments and third-party assessments:
    • Level 1 allows for self-assessments.
    • Level 2 offers a choice between self-assessment and third-party assessment.
    • Level 3 mandates third-party assessment by DoD assessors.
  • Increased accountability:
    • Requires annual affirmations from senior company officials at all levels.
  • Focus on prioritized programs:
    • Initially, the rule will apply to contracts for the most critical programs.

Additional information:

  • The proposed rule was published in the Federal Register on December 26, 2023.
  • The comment period ended on February 24, 2024.
  • The final rule is expected to be published later in 2024.
  • CMMC 2.0 is designed to be more flexible and scalable than the original CMMC framework.
  • The proposed rule has received mixed reactions from the DIB, with some praising its flexibility and others expressing concerns about its complexity and cost.

Resources:

Split tunneling(分割隧道)是一种计算机网络概念,允许用户同时访问不同的安全域,例如公共网络和私有网络(例如公司内网),而无需将所有流量都通过 VPN 加密。

工作原理:

Split tunneling 将用户的网络流量分为两部分:

  • VPN 隧道流量: 这部分流量通过 VPN 加密并发送到 VPN 服务器,然后再转发到目标网站或服务。这可以保护敏感数据,隐藏用户的真实 IP 地址,并绕过地理限制。
  • 直接流量: 这部分流量不通过 VPN,而是直接发送到目标网站或服务。这通常用于访问不需要 VPN 保护的本地网络资源或提高访问速度。

优点:

  • 提高性能: 由于不是所有流量都通过 VPN,可以减少 VPN 服务器的负载,从而提高访问速度。
  • 访问本地资源: 允许用户在连接 VPN 的同时访问本地网络资源,例如打印机或文件共享。
  • 节省带宽: 仅对需要保护的流量进行加密,可以节省 VPN 带宽。

缺点:

  • 降低安全性: 直接流量不受 VPN 保护,可能暴露用户的真实 IP 地址和敏感数据。
  • 合规性风险: 在某些情况下,split tunneling 可能违反公司的安全政策或法规。

应用场景:

  • 远程办公: 员工可以使用 split tunneling 访问公司内网,同时直接访问互联网。
  • 流媒体: 用户可以使用 split tunneling 观看本地流媒体服务,同时通过 VPN 访问受地理限制的内容。
  • 在线游戏: 玩家可以使用 split tunneling 降低延迟,同时通过 VPN 保护游戏流量。

注意事项:

  • 安全性: 在使用 split tunneling 时,请务必评估风险,并仅对不需要 VPN 保护的流量使用。
  • 合规性: 在使用 split tunneling 之前,请确保符合公司的安全政策和相关法规。

希望这些信息能帮助您了解 split tunneling。如果您有任何其他问题,请随时提问。

Security Impact Analysis (SIA) 即安全影响分析,在实施变更前分析其对安全性的影响,是 CMMC L3 的一项关键要求

Security Impact Analysis (SIA) 即安全影响分析,在实施变更前分析其对安全性的影响,是 CMMC L3 的一项关键要求。SIA 应分析以下方面:

  1. 变更范围:
    • 明确界定变更的范围,包括受影响的系统、组件、配置、数据或流程。
    • 确定变更的性质,例如新增功能、修复漏洞、更改配置等。
  2. 潜在威胁和漏洞:
    • 评估变更可能引入或暴露的新的威胁和漏洞。
    • 考虑变更是否会影响现有安全控制的有效性。
    • 分析变更是否可能导致未经授权的访问、数据泄露、服务中断等安全风险。
  3. 安全控制措施:
    • 审查现有的安全控制措施,评估其是否足以应对变更带来的风险。
    • 如有必要,提出额外的安全控制措施来减轻风险。
    • 确保新增或修改的安全控制措施与现有安全架构兼容。
  4. 风险评估:
    • 对变更带来的风险进行定性和定量评估,确定风险级别。
    • 评估风险是否在可接受的范围内。
    • 考虑风险缓解措施的成本和效益。
  5. 影响范围:
    • 确定变更对其他系统、组件、流程或业务运营的潜在影响。
    • 评估变更是否会对合规性产生影响。
  6. 缓解计划:
    • 制定缓解计划,以降低变更带来的风险。
    • 确定风险缓解措施的实施时间和责任人。
  7. 回滚计划:
    • 制定回滚计划,以便在变更导致不可接受的风险或问题时恢复到变更前的状态。
  8. 测试和验证:
    • 在测试环境中实施变更,验证其有效性和安全性。
    • 确保变更不会对系统性能产生负面影响。
    • 在生产环境中实施变更前,进行充分的测试和验证。
  9. 文档和沟通:
    • 记录 SIA 的过程和结果,包括变更范围、风险评估、缓解计划和回滚计划。
    • 将 SIA 结果传达给相关利益相关者,包括管理层、系统所有者、安全团队和用户。

通过全面而系统的 SIA,组织可以更好地了解变更带来的安全风险,并在实施变更前采取适当的措施来减轻风险。这有助于确保变更不会对组织的安全态势产生负面影响,并符合 CMMC L3 的要求。

CMMC L3 安全控制评估包括以下方面:

CMMC L3 安全控制评估包括以下方面:

  1. 文档审查: 评估组织是否具备完整的安全政策、程序和文档,以证明其符合 CMMC L3 的要求。这包括但不限于:
    • 系统安全计划 (SSP)
    • 事件响应计划
    • 灾难恢复计划
    • 配置管理计划
    • 访问控制政策
    • 媒体保护政策
    • 人员安全政策
  2. 现场访谈: 与组织的关键人员进行访谈,以了解他们对 CMMC L3 要求的理解和实施情况。访谈对象可能包括:
    • 信息系统安全官 (ISSO)
    • 系统管理员
    • 网络管理员
    • 安全工程师
    • 其他相关人员
  3. 系统和网络扫描: 对组织的信息系统和网络进行扫描,以识别潜在的漏洞和弱点。这可能包括:
    • 漏洞扫描
    • 配置审核
    • 渗透测试
  4. 证据收集: 收集各种证据,以证明组织符合 CMMC L3 的要求。证据可能包括:
    • 系统日志
    • 配置文件
    • 访问控制列表
    • 安全事件报告
    • 培训记录
  5. 差距分析: 比较组织的实际安全控制措施与 CMMC L3 的要求,识别差距并提出改进建议。
  6. 报告撰写: 编写详细的评估报告,总结评估结果、差距分析和改进建议。

CMMC L3 安全控制评估通常由第三方评估机构 (C3PAO) 进行。C3PAO 会根据评估结果向组织颁发 CMMC L3 证书,证明其符合 CMMC L3 的要求。

目前有许多加密模块符合 FIPS 140-2 标准,涵盖了各种硬件、软件和固件实现。以下是一些常见的例子:

目前有许多加密模块符合 FIPS 140-2 标准,涵盖了各种硬件、软件和固件实现。以下是一些常见的例子:

硬件加密模块:

  • 硬件安全模块 (HSM): 专门设计的硬件设备,用于安全地存储和管理加密密钥,执行加密操作。许多供应商提供经过 FIPS 140-2 验证的 HSM。
  • 智能卡和安全芯片: 这些芯片通常内置于信用卡、身份证和护照等证件中,用于安全存储和处理敏感数据。
  • 网络安全设备: 防火墙、VPN 网关和入侵检测系统等网络设备通常使用经过 FIPS 140-2 验证的加密模块来保护网络通信。

软件加密模块:

  • 操作系统加密库: Windows、macOS 和 Linux 等操作系统通常内置了符合 FIPS 140-2 标准的加密库,可供应用程序使用。
  • 加密软件库: OpenSSL、Bouncy Castle 和 Crypto++ 等开源加密库提供了符合 FIPS 140-2 标准的加密算法实现。
  • 安全通信软件: 许多安全通信软件,如 Signal、WhatsApp 和 Telegram,使用经过 FIPS 140-2 验证的加密模块来保护用户通信。

如何找到符合 FIPS 140-2 的加密模块?

您可以通过以下方式查找符合 FIPS 140-2 标准的加密模块:

  1. 查询 CMVP 列表: 美国国家标准与技术研究院 (NIST) 维护着一个经过 FIPS 140-2 验证的加密模块列表 (CMVP),您可以在该列表中搜索您需要的加密模块。
  2. 咨询设备或软件供应商: 许多设备和软件供应商会在其产品文档或网站上注明其产品是否使用了经过 FIPS 140-2 验证的加密模块。
  3. 参考行业标准: 一些行业标准,如支付卡行业数据安全标准 (PCI DSS),也要求使用经过 FIPS 140-2 验证的加密模块。

重要提示:

  • FIPS 140-2 验证的有效性是有限的,加密模块需要定期重新验证。
  • 在选择加密模块时,除了 FIPS 140-2 验证外,还需要考虑其他因素,如性能、易用性和成本。

CMMC 对涉及保护受控未分类信息 (CUI) 的加密机制有 FIPS (Federal Information Processing Standards) 相关的安全要求。

具体来说:

  • CMMC 二级及以上: 当使用加密保护 CUI 的机密性时,必须采用经过 FIPS 验证的加密技术。这意味着用于保护 CUI 的加密模块必须符合 FIPS 140-2 或更高版本的标准。

FIPS 140-2 是什么?

FIPS 140-2 是美国国家标准与技术研究院 (NIST) 发布的一套安全标准,用于评估加密模块的安全性。经过 FIPS 140-2 验证的加密模块被认为能够提供足够的安全性来保护敏感信息。

哪些 CMMC 实践涉及 FIPS 要求?

在 CMMC 模型中,以下实践与 FIPS 要求相关:

  • 系统和通信保护 (SC.L2-3.131): 采用 FIPS 验证的加密技术来保护 CUI 的机密性。
  • 识别和认证 (IA.L2-3.132): 在保护 CUI 的身份验证机制中使用 FIPS 验证的加密技术。

重要提示:

  • CMMC 一级没有强制要求使用 FIPS 验证的加密技术,但建议尽可能使用。
  • 即使不处理 CUI,使用 FIPS 验证的加密技术也能提高整体安全性。

如果您需要更详细的资讯,建议您参考 CMMC 官方文件或咨询相关领域的专家。

在 CMMC (網路安全成熟度模型認證) 中,內部系統和外部系統的定義主要基於它們與組織內部網路的關係:

內部系統:

  • 定義: 直接連接到組織內部網路,並處於組織安全控制範圍內的系統。
  • 例子:
    • 員工使用的辦公電腦、伺服器
    • 內部資料庫、應用程式
    • 內部開發和測試環境

外部系統:

  • 定義: 不直接連接到組織內部網路,或不受組織完全安全控制的系統。
  • 例子:
    • 位於雲端的服務 (如 AWS、Azure)
    • 外部合作夥伴或供應商的系統
    • 員工自帶設備 (BYOD)
    • 公共網路上的網站和服務

區分內部和外部系統的重要性:

CMMC 要求對內部和外部系統實施不同的安全控制措施。例如:

  • 訪問控制: 內部系統通常需要更嚴格的身份驗證和授權機制,而外部系統可能只需要基本的訪問控制。
  • 漏洞管理: 內部系統需要定期進行漏洞掃描和修補,而外部系統可能只需要監控已知的漏洞。
  • 事件監控: 內部系統需要更全面的事件監控和記錄,而外部系統可能只需要監控關鍵事件。

注意事項:

  • 有些系統可能同時具有內部和外部的特徵。例如,連接到內部網路的 Web 伺服器可能同時面向內部和外部用戶。在這種情況下,需要根據系統的不同功能和面向的用戶,對其進行相應的安全控制。
  • 組織的內部和外部系統的定義可能會隨著時間的推移而變化。例如,遷移到雲端的系統可能會從內部系統變為外部系統。因此,需要定期審查和更新系統的分類,以確保安全控制措施的有效性。

如果您正在準備 CMMC 認證,建議您諮詢專業的網路安全顧問,以確保您對內部和外部系統的定義符合 CMMC 的要求,並能有效保護您的組織免受網路威脅。

惡意程式防護的開源軟體有很多選擇,以下是一些常見且功能較為全面的開源軟體

惡意程式防護的開源軟體有很多選擇,以下是一些常見且功能較為全面的開源軟體:

1. ClamAV:

  • 特色:
    • 跨平台 (Windows, macOS, Linux)
    • 病毒資料庫更新頻繁
    • 支援命令行和圖形界面
    • 可集成到郵件伺服器進行掃描
  • 缺點:
    • 對於新型惡意程式的偵測能力可能不如商業軟體
    • 資源消耗較大

2. MalwareDetector:

  • 特色:
    • 使用 YARA 引擎進行惡意程式簽名匹配
    • 可掃描檔案、目錄和進程
    • 支援自定義規則
  • 缺點:
    • 需要一定的技術能力進行配置和維護

3. Lynis:

  • 特色:
    • 不僅是惡意程式掃描工具,還是一個系統安全審計工具
    • 可檢查系統配置、漏洞、用戶權限等
    • 提供安全加固建議
  • 缺點:
    • 主要用於 Linux 系統

4. OSSEC (Open Source HIDS SECurity):

  • 特色:
    • 入侵檢測系統 (HIDS),可監控檔案完整性、日誌、系統活動等
    • 可與 ClamAV 集成進行惡意程式掃描
    • 支援集中管理多台主機
  • 缺點:
    • 配置較為複雜

5. Suricata:

  • 特色:
    • 入侵檢測/入侵防御系統 (IDS/IPS)
    • 可實時監控網路流量,檢測惡意活動
    • 支援 Snort 規則
  • 缺點:
    • 需要一定的網路安全知識進行配置

注意事項:

  • 開源軟體通常需要更多的技術能力進行配置和維護。
  • 開源軟體的病毒資料庫更新頻率可能不如商業軟體。
  • 開源軟體的偵測能力和防護效果可能不如商業軟體。
  • 除了使用防毒軟體,還應搭配其他安全措施,如防火牆、入侵檢測系統、安全更新等。

建議您根據自身需求和技術能力,選擇適合的開源軟體。您也可以參考 TWCERT 電子報的文章《開源軟體資安威脅與防護》了解更多資訊:https://www.twcert.org.tw/newepaper/cp-64-6695-81bea-3.html

System Software Component Inventory (SSCI) 盤點作業

您好,System Software Component Inventory (SSCI) 盤點作業旨在全面了解系統中安裝的軟體組件及其版本。以下是一些可用的工具和方法:

專門的 SSCI 工具

  • Microsoft System Center Configuration Manager (SCCM):Microsoft 的 SCCM 是一個強大的系統管理工具,具有內建的軟體清單功能,可以收集有關軟體組件的詳細資訊。
  • Flexera One:Flexera One 是一個全面的 IT 資產管理 (ITAM) 解決方案,提供軟體清單、許可證管理和漏洞評估等功能。
  • ServiceNow Software Asset Management:ServiceNow 的 ITAM 解決方案提供軟體清單和規範化功能,可幫助您追蹤和管理軟體資產。
  • Ivanti Neurons for ITAM:Ivanti 提供一個 ITAM 平台,具有軟體清單、許可證優化和漏洞管理功能。

腳本和命令行工具

  • Windows:您可以使用 PowerShell 或 WMI (Windows Management Instrumentation) 腳本來收集有關已安裝軟體的資訊。
  • Linux/Unix:您可以使用 rpm (Red Hat Package Manager) 或 dpkg (Debian Package Manager) 等套件管理工具來列出已安裝的軟體包。

開放原始碼工具

  • Open-AudIT:這是一個免費的開放原始碼工具,旨在收集有關系統硬體和軟體的詳細資訊。
  • OCS Inventory NG:這是一個開源的 IT 資產管理解決方案,提供軟體和硬體清單功能。

選擇工具時應考慮的因素

  • 可擴展性:該工具是否可以處理您的組織規模?
  • 平台支援:該工具是否支援您使用的所有作業系統?
  • 功能:該工具是否提供您需要的其他功能,例如許可證管理或漏洞評估?
  • 易用性:該工具是否易於部署和使用?
  • 成本:該工具是否符合您的預算?

其他提示

  • 定期進行盤點:定期進行 SSCI 盤點可確保您的軟體清單保持最新狀態。
  • 使用自動化:使用自動化工具可以簡化盤點流程並減少錯誤。
  • 整合:將 SSCI 工具與其他 IT 管理系統(例如服務台或 CMDB)整合可以提供更全面的資產視圖。

希望這些資訊對您有所幫助。如果您有任何其他問題,請隨時提出。

您好,CMMC 2.0 自評表目前還沒有正式發佈。CMMC 2.0 模型目前還在發展中,美國國防部 (DoD) 預計在 2024 年稍晚發布正式版本。

CMMC 2.0 的變化

CMMC 2.0 將對 1.0 版本進行一些重大修改,包括:

  • 精簡模型級別: 將模型級別從五個減少到三個。
  • 取消自評級別: 除最低級別外,所有級別都需要第三方評估。
  • 更注重實踐而非文件: 更強調流程的有效實施,而不是僅僅關注文件。

如何為 CMMC 2.0 做準備

雖然官方自評表尚未發布,但您可以採取以下措施為 CMMC 2.0 做準備:

  1. 熟悉 CMMC 2.0 模型: 了解新模型的結構、實踐和要求。
  2. 評估您當前的網路安全狀態: 確定您在哪些方面符合 CMMC 2.0 要求,哪些方面需要改進。
  3. 制定實施計劃: 制定計劃以實施必要的安全控制措施。
  4. 考慮尋求專業協助: 如果您不確定如何進行,可以考慮諮詢 CMMC 顧問。

尋找參考資料

您可以從以下來源獲取有關 CMMC 2.0 的最新資訊:

  • CMMC 網站: 官方 CMMC 網站是獲取最新資訊和資源的最佳地點。
  • CMMC Accreditation Body (CMMC-AB) 網站: CMMC-AB 網站提供有關評估流程和要求的資訊。
  • 網路安全相關新聞和出版物: 關注網路安全新聞和出版物,了解 CMMC 2.0 的最新發展。