Le CMMC 2.0, qui doit entrer en vigueur en décembre 2021, est une combinaison de diverses meilleures pratiques et normes de cybersécurité et représente une évolution continue de l'actuel DFARS 252.204-2012. La CMMC ajoute la vérification en tant qu'exigence avec différents niveaux disponibles.
Cependant, la plupart des organisations devront s'auto-certifier au niveau 1 et obtenir une certification supplémentaire pour le niveau 2 ou 3, en fonction des exigences du contrat.
Étant donné que les politiques, les normes et les bonnes pratiques ne cessent d'évoluer, cette cartographie ne doit être utilisée qu'à titre indicatif pour automatiser la détection et la réponse aux menaces (NDR) sur les réseaux d'entreprise, quel que soit le niveau de classification. La plateforme Vectra Threat Detection and Response prenant en charge toutes les charges de travail – du cloud centre de données, en passant par les actifs informatiques traditionnels et les contrôles et capteurs industriels IoT/OT –, l'applicabilité et les avantages en termes de valeur ajoutée de la surveillance continue et des alertes en temps réel peuvent aider à relever de nombreux défis liés à la certification, tout en réduisant la charge de travail globale du centre des opérations de sécurité (SOC) et des analystes de sécurité.
La section suivante présente les principales exigences du CMMC et explique en détail comment la plateforme Vectra Threat Detection and Response répond à ces critères. Grâce à des technologies brevetées d'apprentissage automatique (ML) et d'intelligence artificielle (IA), des semaines, voire des mois de travail et d'analyse peuvent être automatisés en quelques minutes. Pour plus d'informations, contactez dès aujourd'hui votre équipe Vectra dédiée au secteur fédéral et demandez une fiche de présentation de la solution.
Afin d'accompagner la communauté fédérale, Vectra a publié ce guide général qui établit une correspondance entre les différentes exigences et la plateforme Vectra Threat Detection and Response. Cela permet de mettre en correspondance le CMMC avec les contrôles DFARS (NIST 800-171 et NIST 800-172) et les contrôles traditionnels du NIST 800-53.
Domaine : Contrôle d'accès (CA)
AC.L2-3.1.5 Privilège minimal (CMMC 2 - 3) : Utiliser le principe du moindre privilège, y compris pour des fonctions de sécurité spécifiques et des comptes privilégiés. (800- 53 : AC-6, AC-6(1), AC-6(5))
Vectra Detect™, qui s'exécute sur la plateforme Vectra Threat Detection and Response, surveille les accès privilégiés à la recherche d'anomalies, ce qui permet d'identifier les utilisateurs menant des activités privilégiées. Ces détections ont lieu au sein des déploiements sur site, ainsi que dans les environnements Azure, AWS et Microsoft 365, tant pour les locataires du secteur privé que pour ceux du secteur public. La plupart des organisations ne disposent d'aucun moyen de valider ou de suivre les modifications apportées à l'accès d'un utilisateur ou d'un hôte une fois que le privilège a été accordé, et recherchent des comportements anormaux indiquant que des attaquants exécutent Command and Control, des exfiltrations massives de fichiers, des ransomwares ou d'autres activités.
AC.L2-3.1.6 Utilisation de comptes non privilégiés (CMMC 2 - 3) : Utiliser des comptes ou des rôles non privilégiés pour accéder à des fonctions non liées à la sécurité. (800-53 : AC-6(2))
Vectra Detect surveille les accès privilégiés à la recherche d'anomalies, ce qui permet d'identifier les utilisateurs menant des activités privilégiées. Ces détections ont lieu au sein des déploiements sur site, ainsi que dans les environnements Azure, AWS et Microsoft Office 365, tant pour les locataires commerciaux que pour les locataires gouvernementaux. En utilisant divers modèles d'IA non supervisés, la plateforme Vectra Threat Detection and Response peut augmenter le score de menace et de certitude associé à une utilisation du compte qui s'écarte de la norme. Lorsque cette détection est mise en corrélation avec d'autres comportements d'attaquants observés dans l'environnement, elle permet de générer des alertes très fiables indiquant qu'un compte est impliqué dans une attaque, et non pas simplement qu'il effectue une « action inhabituelle ». La détection d'anomalies génère souvent beaucoup de bruit et n'est pas fiable. La corrélation de l'anomalie avec d'autres comportements offre une plus grande certitude.
AC.L2-3.1.7 Fonctions privilégiées (CMMC 2 - 3) : Empêcher les utilisateurs non privilégiés d'exécuter des fonctions privilégiées et enregistrer l'exécution de ces fonctions dans les journaux d'audit. (800-53 : AC-6(9), AC-6(10))
La plateforme Vectra Threat Detection and Response permet de générer des alertes automatiques et en temps réel concernant les utilisateurs exerçant des privilèges, grâce à des intégrations avec Azure AD, Active Directory, LDAP et d'autres sources d'identité. En analysant les actions des comptes et les « privilèges observés » en corrélation avec d'autres détections basées sur le comportement, il est possible de mettre en place des alertes en temps réel ainsi que le verrouillage ou le confinement des comptes afin d'atténuer les menaces potentielles.
AC.L2-3.1.12 Contrôle de l'accès à distance (CMMC 2 - 3) : Surveiller et contrôler les sessions d'accès à distance. (800-53 : AC-17(1))
Vectra Detect et Vectra Stream surveillent les sessions et les voies d'accès à distance. Les informations peuvent être exploitées grâce aux intégrations avec les outils NAC, SOAR, EDR et SIEM. Les sessions d'accès à distance sont catégorisées et reçoivent un score de risque et d'impact dans Vectra Detect. Cela permet aux analystes et aux ingénieurs de se concentrer sur les utilisateurs à haut risque sans le bruit généralement associé au suivi des sessions d'accès à distance. Dans les métadonnées, des détails spécifiques sur les sessions et les protocoles d'accès à distance sont suivis et mis en corrélation avec les comportements potentiels des attaquants à partir des modèles d'IA. La corrélation entre les résultats des différents modèles et les informations observées sur les sessions d'accès à distance permet de mettre en place des réponses automatiques, des contrôles, etc.
AC.L2-3.1.15 Accès à distance privilégié (CMMC 2 - 3): Autoriser l'exécution à distance de commandes privilégiées et l'accès à distance à des informations importantes pour la sécurité. (800-53 : AC-17(4))
Vectra Detect surveille l'exécution à distance des commandes privilégiées. Cette capacité existe en natif, dans les cloud(s) commerciaux et gouvernementaux et dans les environnements Microsoft 365. L'observation de l'exécution à distance de commandes privilégiées attribue automatiquement un score élevé ou critique à un actif sur la base d'autres activités comportementales observées.
AC.L2-3.1.8 Tentatives de connexion infructueuses (CMMC 2 - 3) : Limite les tentatives de connexion infructueuses.
La plateforme Vectra Threat Detection and Response assure la surveillance et la détection des signes indiquant des attaques par force brute et des mécanismes de contournement de l'authentification multifactorielle (MFA), souvent associés à des tentatives de connexion infructueuses. Les verrouillages de compte dus à plusieurs tentatives infructueuses sont généralement sans gravité ; toutefois, lorsqu'ils sont associés à la détection d'autres comportements malveillants, Vectra peut mettre en œuvre des mesures correctives automatisées, le confinement des comptes ou d'autres actions.
AC.L1-3.1.20 Connexions externes (CMMC 1 - 3) : Vérifier et contrôler/limiter les connexions aux systèmes d'information externes et leur utilisation. (800-53 : AC-20, AC-20(1))
Vectra Detect et Vectra Stream surveillent les connexions vers et depuis les systèmes d'information externes. Les détections basées sur ces capacités sont corrélées avec d'autres sources de données afin d'automatiser les réponses basées sur les comportements observés par Vectra ainsi qu'avec d'autres outils de sécurité et d'orchestration. Par exemple, de nombreux attaquants, malware, ou individu menaces utiliseront PowerAutomate pour établir des connexions cachées et des relations de confiance avec des sources de données externes (DropBox, SharePoint, etc.). Vectra permet de détecter ces " activités suspectes " et ces relations de confiance fédérées en utilisant des privilèges escaladés.
Domaine : Identification et authentification (IA)
IA.L2-3.5.3 Authentification multifactorielle (CMMC 2 - 3) : Utiliser l'authentification multifactorielle pour l'accès local et réseau aux comptes privilégiés et pour l'accès réseau aux comptes non privilégiés.
Bien que l'authentification multifactorielle (MFA) permette une meilleure vérification de l'identité, de nombreux adversaires sophistiqués et États-nations sont en mesure de contourner ces contrôles par le biais d'informations d'identification compromises, d'usurpation d'identité et de manipulation des configurations sous-jacentes dans des outils tels qu'Azure AD. La capacité de Vectra à détecter les connexions contournant le MFA, les administrateurs M365/AzureAD effectuant des changements MFA atypiques, et les analyses complètes de la posture des plus de 7 500 lignes de configuration au sein d'AzureAD permettent d'alerter sur des mécanismes que les systèmes racine eux-mêmes ne peuvent pas.
Domaine : Réponse aux incidents (RI)
IR.L2-3.6.1 Traitement des incidents (CMMC 2 - 3) : Mettre en place une capacité opérationnelle de traitement des incidents pour les systèmes organisationnels qui comprend des activités de préparation, de détection, d'analyse, de confinement, de récupération et de réponse aux utilisateurs. (800-53 : IR-2, IR-4, IR-5, IR-6, IR-7)
En utilisant les capacités de Vectra, l'IR est amélioré avec des données qui prennent en charge la détection, le confinement et d'autres métadonnées enrichies par l'IA pour le reporting et l'analyse médico-légale. En outre, Vectra Detect offre des capacités de détection comportementale en amont qui atténuent l'impact réel de la menace sur la base d'une détection précoce et d'une mise en œuvre et d'une alerte automatisées. Grâce à sa capacité à détecter en temps réel les menaces nouvelles et inconnues sans signature, Vectra peut assurer la détection et l'endiguement dans les secondes qui suivent l'apparition des premiers comportements de l'attaquant. Pour maintenir la gestion du changement, il est possible d'utiliser des tickets et des playbooks basés sur SOAR pour permettre une période d'interaction humaine avant de créer un confinement/verrouillage automatique de l'hôte ou de l'utilisateur.
IR.L2-3.6.2 Rapport d'incident (CMMC 2 - 3) : Suivre, documenter et signaler les incidents aux responsables et/ou autorités désignés, tant à l'intérieur qu'à l'extérieur de l'organisation. (800-53 : IR-2, IR-4, IR-5, IR-6, IR-7)
Vectra Detect détectera, triera et alertera via le tableau de bord Vectra les incidents comme étant élevés ou critiques. Ces alertes et les rapports en temps réel de Vectra Detect permettent de prendre des mesures immédiates. L'intégration avec les outils de SIEM et de ticketing permet des capacités supplémentaires de reporting et de réponse basées sur les réglementations pour les sources internes et externes.
Domaine : Gestion des risques (RM)
RA.L2-3.11.2 Analyse des vulnérabilités (CMMC 2 - 3) : Rechercher périodiquement les vulnérabilités des systèmes et applications de l'organisation et lorsque de nouvelles vulnérabilités les affectent. (800-53 : RA-5, RA-5(5))
Vectra Stream et stocke des métadonnées réseau enrichies en informations de sécurité issues de l'ensemble du trafic. Ces métadonnées sont enrichies d'analyses approfondies en matière de sécurité et de contexte des menaces, qui sont essentielles pour identifier les systèmes vulnérables au sein des outils SIEM. Parallèlement, Vectra Detect identifie en temps réel les nouveaux systèmes susceptibles d'être vulnérables en se basant sur le comportement observé des utilisateurs, les mouvements latéraux des attaquants et plus de 70 modèles comportementaux brevetés fondés sur l'IA. Certaines parties des métadonnées peuvent être utilisées pour mettre en évidence des caractéristiques telles que des chiffrements faibles (anciennes versions TLS), des partages SMB et des balises, qui peuvent indiquer la présence d'actifs vulnérables. De nombreuses organisations constatent qu'avec la plateforme Vectra Threat Detection and Response, elles se rendent compte qu'il existe dans leur environnement de nombreux autres actifs qui ne sont pas pris en compte, mais qui constituent également des cibles de choix pour les attaquants.
RA.L2-3.11.3 Remédiation aux vulnérabilités (CMMC 2 - 3) : Remédier aux vulnérabilités conformément aux évaluations des risques. (800-53 : RA-5)
Vectra Detect et Vectra Stream capables de prendre des mesures immédiates contre les vulnérabilités, aussi bien en mode natif qu'en intégration avec un environnement d'orchestration. La détection des comptes dont l'authentification multifactorielle (MFA) est désactivée, des hôtes exposant le protocole SMB ou utilisant des algorithmes de chiffrement faibles, ainsi que l'analyse du trafic de métadonnées permettent de mettre en œuvre des mesures correctives avant même que les évaluations des risques ne soient terminées. La plateforme Vectra Threat Detection and Response peut effectuer la désactivation automatisée des comptes au sein de LDAP et AD et coordonner la modification des autorisations (COA) au sein d'une solution NAC afin de révoquer les autorisations ou de modifier les listes de contrôle d'accès (ACL) au sein d'un environnement. Sur la base de diverses détections, la capacité à contenir les hôtes présentant certains scores de menace et de certitude fournis par Vectra peut être automatisée au sein d'outils EDR tels que Microsoft Defender, CrowdStrike et CarbonBlack.
RA.L2-3.11.2 Analyse des vulnérabilités (CMMC 2 - 3) : Rechercher les vulnérabilités des systèmes et applications de l'organisation périodiquement et lorsque de nouvelles vulnérabilités affectant ces systèmes et applications sont identifiées.
L'une des principales lacunes de la plupart des évaluations de sécurité et de la conformité sur cloud est la posture des plus de 7 500 lignes de configuration individuelles par utilisateur dans AzureAD/M365. Il a été constaté dans de nombreux cas que les jetons et l'authentification ont été clonés par des adversaires utilisant ces espaces faciles à manipuler. Vectra fournit une capacité de surveillance/analyse continue de la posture au sein d'AzureAD dans les enclaves commerciales, GCC, GCC-HIGH et gouvernementales SECRET et TOP SECRET. Vectra Protect est la seule capacité approuvée par Microsoft pour soutenir ces initiatives.
Domaine : Évaluation de la sécurité (CA)
CA.L2-3.12.3 Surveillance des contrôles de sécurité (CMMC 2 - 3): Surveiller en permanence les contrôles de sécurité pour s'assurer qu'ils restent efficaces. (800-53 : CA-2, CA-5, CA-7, P-2)
Le moteur de détection cybernétique Vectra AI fournit un tableau de bord en temps réel et des alertes sur les problèmes potentiels, ce qui permet de valider les contrôles de sécurité et de déterminer si les contrôles de sécurité sont efficaces et complets. Dans l'idéal, un environnement est bien contrôlé et verrouillé, mais la plupart des entreprises ne fournissent pas de contrôles adéquats sur les systèmes auxiliaires qui permettent des mouvements latéraux dans des environnements plus critiques. L'utilisation du tableau de bord Vectra Detect permet de connaître en temps réel les systèmes compromis, les nouvelles attaques qui contournent les contrôles de sécurité actuels et de détecter les équipes rouges/violettes lors des évaluations.
Domaine : Protection des systèmes et des communications (SC)
SC.L2-3.13.6 Communication réseau par exception (CMMC 2 - 3) : Refuser le trafic de communication réseau par défaut et autoriser le trafic de communication réseau par exception (c'est-à-dire, refuser tout, autoriser par exception).
Les organisations qui adoptent une architecture Zero Trust sont confrontées à de nombreux défis. En tant que base analytique de nombreuses architectures Zero Trust des agences de renseignement, la plateforme de détection et de réponse aux menaces de Vectra fournit à tous les environnements un contexte supplémentaire pour la détection des anomalies dans l'utilisation des privilèges : elle identifie les hôtes ou comptes disposant de privilèges élevés qui utilisent des ressources en dehors de leur norme habituelle. Si zero trust les accès sous-jacents, il n'est souvent pas suffisamment granulaire pour suivre les comptes activés une fois que les autorisations leur ont été accordées.
SC38 : SC.L2-3.13.11 Chiffrement des CUI (CMMC 2 - 3) : Employer une cryptographie validée par la FIPS lorsqu'elle est utilisée pour protéger la confidentialité des CUI. (800-53 : SC-13)
Les métadonnées enrichies issues de la plateforme Vectra Threat Detection and Response permettent d'identifier les algorithmes de chiffrement faibles présents dans l'environnement, qui sont révélateurs d'un chiffrement non validé selon la norme FIPS. De nombreux rapports soulignent un constat majeur : bien que l'environnement soit conforme à la norme FIPS, de nombreux outils hérités ou environnements OT/IoT/ICS utilisent des algorithmes de chiffrement faibles ou obsolètes. La mise en évidence automatisée de ces éléments au sein de la plateforme Vectra Threat Detection and Response offre une visibilité immédiate. La plateforme Vectra Threat Detection and Response utilise des algorithmes cryptographiques conformes à la norme FIPS 140-2 pour toutes les transmissions et les données au repos (DAR) fédérales des métadonnées améliorées par le ML et des instances micro-PCAP. Toutes les interfaces avec des systèmes tiers sont établies à l'aide de cryptographie conforme. La plateforme Vectra Threat Detection and Response ne nécessite pas le déchiffrement des flux de trafic pour exécuter ses capacités de détection comportementale basées sur le ML. Cela signifie qu'aucune opération de « break-and-inspect » n'est requise pour les opérations.
SC39 : SC.L1-3.13.1 Protection des frontières (CMMC 1 - 3) : Surveiller, contrôler et protéger les communications de l'organisation (c'est-à-dire les informations transmises ou reçues par les systèmes d'information de l'organisation) au niveau des frontières externes et des principales frontières internes des systèmes d'information. (800-53 : SC-7, SA-8) Vectra Detect et Vectra Stream surveillent les communications aux frontières externes et clés. Les cyberdétections comportementales basées sur des réseaux neuronaux identifient et alertent les analystes de la sécurité sur les menaces potentielles en temps réel à tous les niveaux des systèmes de communication. Contrairement aux capacités basées sur les signatures, Vectra n'est pas lié aux vecteurs d'attaque "connus" permettant de contourner les frontières, mais est capable de détecter des attaques nouvelles ou "inconnues" sur la base des comportements successifs.
Domaine : Intégrité des systèmes et de l'information (SI)
SI.L1-3.14.1 Correction des failles (CMMC 1 - 3) : Identifier, signaler et corriger les défauts des informations et des systèmes d'information en temps voulu. (800-53 : SI-2, Si-3, SI-5)
Vectra Stream une intégration complète avec le lac de données pour les fonctions de reporting et d'analyse approfondie pendant et après un incident. Ces données peuvent être corrélées avec celles d'autres plateformes afin d'identifier les failles dans les ensembles de données et de permettre aux équipes du centre de sécurité des opérations (SOC) de mener des analyses comparatives à l'aide de métadonnées enrichies par l'IA. Les alertes en temps réel s'affichent sur le tableau de bord de la plateforme Vectra Threat Detection and Response, ce qui explique pourquoi de nombreux responsables de la sécurité des systèmes d'information (RSSI) consultent Vectra au début et à la fin de chaque quart de travail pour évaluer la situation actuelle.
SI.L1-3.14.2 Protection contre les codes malveillants (CMMC 1 - 3) : Assurer la protection contre les codes malveillants aux endroits appropriés des systèmes d'information de l'organisation. (800-53 : SI-2, SI-3, SI-5)
Plutôt que de bloquer les codes malveillants, la plateforme Vectra Threat Detection and Response détecte et réagit aux nouveaux comportements de menaces, notamment les communications de commande et de contrôle, l'exfiltration de données et les mouvements latéraux. En conséquence, la plateforme Vectra Threat Detection and Response peut automatiquement mettre un système en quarantaine ou le transformer en honeypot, et s'appuyer sur des partenariats avec des solutions de contrôle d'accès au réseau (NAC), Endpoint et de réponse Endpoint (EDR) et d'orchestration et de réponse en matière de sécurité (SOAR) pour limiter la propagation vers d'autres systèmes et terminaux dans cloud, à distance et dans d'autres environnements. Cette approche, qui consiste à exploiter l'IA pour automatiser une réponse zero trust » face à des acteurs malveillants potentiels et à de nouvelles attaques, permet à Vectra de stopper les attaques avant même qu'elles ne commencent.
SI.L1-3.14.4 Mise à jour de la protection contre les codes malveillants (CMMC 1 - 3) : Mettre à jour les mécanismes de protection contre les codes malveillants lorsque de nouvelles versions sont disponibles. (800-53 : SI-3)
En raison de la nature comportementale de la plateforme Vectra Threat Detection and Response, aucune mise à jour n'est nécessaire et le système exploite en permanence de nouveaux algorithmes d'apprentissage automatique pour détecter les menaces émergentes avant même que les définitions traditionnelles ne soient publiées par la plupart des éditeurs et des organismes de sécurité. Grâce à l'utilisation de la détection comportementale basée sur l'IA, la menace posée par les nouveaux attaquants peut être réduite, et les délais de détection et de réponse peuvent passer de plusieurs heures, jours ou semaines à quelques minutes seulement.
SI.L2-3.14.6 Surveiller les communications pour détecter les attaques (CMMC 2 - 3) : Surveiller les systèmes de l'organisation, y compris le trafic de communication entrant et sortant, afin de détecter les attaques et les indicateurs d'attaques potentielles. (800-53 : AU-2, AU-2(3), AU-6, SI-4, SI-4(4))
Vectra Detect offre des capacités IDS/IPS de nouvelle génération et une détection comportementale des attaques basée sur l'intelligence artificielle, sans nécessiter de définitions, de décryptage du trafic ou d'autres techniques courantes dans la plupart des offres commerciales. Prenant en charge la plupart des consommateurs de nos systèmes de sécurité nationaux (NSS), Vectra permet aux cyberéquipes d'atténuer une attaque avant qu'elle ne soit répliquée ou qu'elle ne cause des dommages.
SI.L2-3.14.7 Identifier les utilisations non autorisées (CMMC 2 - 3) : Identifier les utilisations non autorisées des systèmes de l'organisation. (800-53 : SI-4)
Vectra Detect identifie, répond et atténue l'abus et la compromission des comptes à privilèges lorsque les utilisateurs effectuent des activités qui dépassent les comportements normaux. Ces comportements malveillants sont les principaux indicateurs qu'un attaquant a pris le contrôle du compte et des privilèges d'un utilisateur ou a créé un faux compte pour se déplacer latéralement à la recherche d'actifs à exfiltrer. La majorité des attaques récentes s'appuient sur un certain niveau de compromission des comptes M365 et de déplacement latéral dans les environnements sur la base d'une escalade des privilèges. Pouvoir détecter ces comportements avant qu'ils n'aient le temps de s'exécuter dans le GCC-HIGH est un élément clé de la protection de l'entreprise.
En résumé
Vectra prend en charge les différentes exigences du CMMC grâce à sa plateforme de détection et de réponse aux menaces. En tant que première détection et réponse aux incidents basée sur l'IA, Vectra prend en charge les charges de travail sur l'ensemble du réseau, quel que soit leur niveau de classification, qu'il s'agisse cloud, des centres de données, de l'IoT ou des environnements d'entreprise. La plateforme permet une surveillance continue et des alertes en temps réel, tout en allégeant la charge de travail globale du centre des opérations de sécurité (SOC) et des analystes de sécurité.
