Relever les défis de la certification du modèle de maturité de la cybersécurité (CMMC v2) avec Vectra AI

Le CMMC 2.0, qui doit entrer en vigueur en décembre 2021, est une combinaison de diverses meilleures pratiques et normes de cybersécurité et représente une évolution continue de l'actuel DFARS 252.204-2012. La CMMC ajoute la vérification en tant qu'exigence avec différents niveaux disponibles.

Cependant, la plupart des organisations devront s'auto-certifier au niveau 1 et obtenir une certification supplémentaire pour le niveau 2 ou 3, en fonction des exigences du contrat.

Comme les politiques, les normes et les meilleures pratiques continuent d'évoluer, cette cartographie ne doit être utilisée que comme un guide sur la façon d'automatiser la NDR dans les réseaux d'entreprise, quel que soit le niveau de classification. La plateforme Vectra Threat Detection and Response prend en charge toutes les charges de travail - du site cloud au centre de données, et des actifs informatiques traditionnels aux contrôles et capteurs industriels IoT/OT - l'applicabilité et les avantages de la surveillance continue et de l'alerte en temps réel peuvent aider à relever de nombreux défis de certification tout en réduisant la charge de travail globale du centre opérationnel de sécurité (SOC) et des analystes de la sécurité.

La section suivante présente les principales exigences du CMMC et explique en détail comment la plateforme Vectra Threat Detection and Response répond aux exigences de la catégorie. L'utilisation de l'apprentissage machine (ML) et de l'intelligence artificielle (AI) brevetés permet d'automatiser en quelques minutes des semaines ou des mois de charge de travail et d'analyse. Pour plus d'informations, contactez votre équipe fédérale Vectra dès aujourd'hui et demandez une présentation de la solution.

Pour aider la communauté fédérale, Vectra a fourni ce guide de haut niveau qui met en correspondance les différentes exigences avec la plateforme Vectra Threat Detection and Response. Il permet de mettre en correspondance le CMMC avec les contrôles DFARS (NIST 800-171 et NIST 800-172) et les contrôles traditionnels NIST 800-53.

Domaine : Contrôle d'accès (CA)

AC.L2-3.1.5 Privilège minimal (CMMC 2 - 3) : Utiliser le principe du moindre privilège, y compris pour des fonctions de sécurité spécifiques et des comptes privilégiés. (800- 53 : AC-6, AC-6(1), AC-6(5))

Vectra Detect™, qui s'exécute sur la plateforme Vectra Threat Detection and Response, surveille les accès privilégiés à la recherche d'anomalies, ce qui permet d'identifier les utilisateurs qui mènent des activités privilégiées. Ces détections se produisent au sein de déploiements sur site, d'environnements Azure, AWS et Microsoft 365 dans des locataires commerciaux et gouvernementaux. La plupart des organisations n'ont pas la capacité de valider ou de suivre les changements dans l'accès d'un utilisateur ou d'un hôte une fois que le privilège a été accordé et de rechercher des comportements anormaux indiquant que les attaquants exécutent Command and Control, des exfiltrations massives de fichiers, des ransomwares ou d'autres activités.

AC.L2-3.1.6 Utilisation de comptes non privilégiés (CMMC 2 - 3) : Utiliser des comptes ou des rôles non privilégiés pour accéder à des fonctions non liées à la sécurité. (800-53 : AC-6(2))

Vectra Detect surveille les accès privilégiés à la recherche d'anomalies, ce qui permet d'identifier les utilisateurs qui mènent des activités privilégiées. Ces détections se produisent dans les déploiements sur site, les environnements Azure, AWS et Microsoft Office 365. Tant pour les entreprises que pour les gouvernements. En utilisant divers modèles d'IA non supervisés, la plateforme Vectra Threat Detection and Response peut augmenter le score de menace et de certitude sur l'utilisation des comptes qui est en dehors de la norme. Lorsque cette détection est mise en corrélation avec d'autres comportements d'attaquants observés dans l'environnement, elle permet d'alerter avec une grande fidélité qu'un compte est impliqué dans une attaque et qu'il ne fait pas simplement " quelque chose de différent ". La détection des anomalies crée souvent beaucoup de bruit et n'est pas fiable. La corrélation de l'anomalie avec d'autres comportements offre une plus grande certitude.

AC.L2-3.1.7 Fonctions privilégiées (CMMC 2 - 3) : Empêcher les utilisateurs non privilégiés d'exécuter des fonctions privilégiées et enregistrer l'exécution de ces fonctions dans les journaux d'audit. (800-53 : AC-6(9), AC-6(10))

La plateforme Vectra Threat Detection and Response permet d'alerter automatiquement et en temps réel les utilisateurs agissant de manière privilégiée via des intégrations dans AzureAD, Active Directory, LDAP et d'autres sources d'identité. En examinant les actions des comptes et les " privilèges observés " en corrélation avec d'autres détections basées sur le comportement, l'alerte en temps réel et le verrouillage/contention des comptes peuvent être mis en place pour atténuer les menaces potentielles.

AC.L2-3.1.12 Contrôle de l'accès à distance (CMMC 2 - 3) : Surveiller et contrôler les sessions d'accès à distance. (800-53 : AC-17(1))

Vectra Detect et Vectra Stream surveillent les sessions et les voies d'accès à distance. Les informations peuvent être exploitées grâce aux intégrations avec les outils NAC, SOAR, EDR et SIEM. Les sessions d'accès à distance sont catégorisées et reçoivent un score de risque et d'impact dans Vectra Detect. Cela permet aux analystes et aux ingénieurs de se concentrer sur les utilisateurs à haut risque sans le bruit généralement associé au suivi des sessions d'accès à distance. Dans les métadonnées, des détails spécifiques sur les sessions et les protocoles d'accès à distance sont suivis et mis en corrélation avec les comportements potentiels des attaquants à partir des modèles d'IA. La corrélation entre les résultats des différents modèles et les informations observées sur les sessions d'accès à distance permet de mettre en place des réponses automatiques, des contrôles, etc.

AC.L2-3.1.15 Accès à distance privilégié (CMMC 2 - 3): Autoriser l'exécution à distance de commandes privilégiées et l'accès à distance à des informations importantes pour la sécurité. (800-53 : AC-17(4))

Vectra Detect surveille l'exécution à distance des commandes privilégiées. Cette capacité existe en natif, dans les cloud(s) commerciaux et gouvernementaux et dans les environnements Microsoft 365. L'observation de l'exécution à distance de commandes privilégiées attribue automatiquement un score élevé ou critique à un actif sur la base d'autres activités comportementales observées.

AC.L2-3.1.8 Tentatives de connexion infructueuses (CMMC 2 - 3) : Limite les tentatives de connexion infructueuses.

La plateforme Vectra Threat Detection and Response assure la surveillance et la détection des attaques par force brute et des mécanismes de contournement du MFA qui sont généralement associés à des tentatives d'ouverture de session infructueuses. Les verrouillages dus à de multiples tentatives infructueuses sont généralement bénins, mais lorsqu'ils sont associés à d'autres détections de comportements d'attaque, Vectra peut fournir une remédiation automatisée, un confinement de compte ou d'autres actions.

AC.L1-3.1.20 Connexions externes (CMMC 1 - 3) : Vérifier et contrôler/limiter les connexions aux systèmes d'information externes et leur utilisation. (800-53 : AC-20, AC-20(1))

Vectra Detect et Vectra Stream surveillent les connexions vers et depuis les systèmes d'information externes. Les détections basées sur ces capacités sont corrélées avec d'autres sources de données afin d'automatiser les réponses basées sur les comportements observés par Vectra ainsi qu'avec d'autres outils de sécurité et d'orchestration. Par exemple, de nombreux attaquants, malware, ou individu menaces utiliseront PowerAutomate pour établir des connexions cachées et des relations de confiance avec des sources de données externes (DropBox, SharePoint, etc.). Vectra permet de détecter ces " activités suspectes " et ces relations de confiance fédérées en utilisant des privilèges escaladés.

Domaine : Identification et authentification (IA)

IA.L2-3.5.3 Authentification multifactorielle (CMMC 2 - 3) : Utiliser l'authentification multifactorielle pour l'accès local et réseau aux comptes privilégiés et pour l'accès réseau aux comptes non privilégiés.

Bien que l'authentification multifactorielle (MFA) permette une meilleure vérification de l'identité, de nombreux adversaires sophistiqués et États-nations sont en mesure de contourner ces contrôles par le biais d'informations d'identification compromises, d'usurpation d'identité et de manipulation des configurations sous-jacentes dans des outils tels qu'Azure AD. La capacité de Vectra à détecter les connexions contournant le MFA, les administrateurs M365/AzureAD effectuant des changements MFA atypiques, et les analyses complètes de la posture des plus de 7 500 lignes de configuration au sein d'AzureAD permettent d'alerter sur des mécanismes que les systèmes racine eux-mêmes ne peuvent pas.

Domaine : Réponse aux incidents (RI)

IR.L2-3.6.1 Traitement des incidents (CMMC 2 - 3) : Mettre en place une capacité opérationnelle de traitement des incidents pour les systèmes organisationnels qui comprend des activités de préparation, de détection, d'analyse, de confinement, de récupération et de réponse aux utilisateurs. (800-53 : IR-2, IR-4, IR-5, IR-6, IR-7)

En utilisant les capacités de Vectra, l'IR est amélioré avec des données qui prennent en charge la détection, le confinement et d'autres métadonnées enrichies par l'IA pour le reporting et l'analyse médico-légale. En outre, Vectra Detect offre des capacités de détection comportementale en amont qui atténuent l'impact réel de la menace sur la base d'une détection précoce et d'une mise en œuvre et d'une alerte automatisées. Grâce à sa capacité à détecter en temps réel les menaces nouvelles et inconnues sans signature, Vectra peut assurer la détection et l'endiguement dans les secondes qui suivent l'apparition des premiers comportements de l'attaquant. Pour maintenir la gestion du changement, il est possible d'utiliser des tickets et des playbooks basés sur SOAR pour permettre une période d'interaction humaine avant de créer un confinement/verrouillage automatique de l'hôte ou de l'utilisateur.

IR.L2-3.6.2 Rapport d'incident (CMMC 2 - 3) : Suivre, documenter et signaler les incidents aux responsables et/ou autorités désignés, tant à l'intérieur qu'à l'extérieur de l'organisation. (800-53 : IR-2, IR-4, IR-5, IR-6, IR-7)

Vectra Detect détectera, triera et alertera via le tableau de bord Vectra les incidents comme étant élevés ou critiques. Ces alertes et les rapports en temps réel de Vectra Detect permettent de prendre des mesures immédiates. L'intégration avec les outils de SIEM et de ticketing permet des capacités supplémentaires de reporting et de réponse basées sur les réglementations pour les sources internes et externes.

Domaine : Gestion des risques (RM)

RA.L2-3.11.2 Analyse des vulnérabilités (CMMC 2 - 3) : Rechercher périodiquement les vulnérabilités des systèmes et applications de l'organisation et lorsque de nouvelles vulnérabilités les affectent. (800-53 : RA-5, RA-5(5))

Vectra Stream collecte et stocke des métadonnées réseau enrichies en termes de sécurité à partir de l'ensemble du trafic. Ces métadonnées sont enrichies d'informations de sécurité approfondies et d'un contexte de menace qui sont essentiels pour identifier les systèmes vulnérables dans les outils SIEM. Parallèlement, Vectra Detect identifie en temps réel les nouveaux systèmes susceptibles d'être vulnérables en se basant sur le comportement observé des utilisateurs, les mouvements latéraux des attaquants et plus de 70 modèles comportementaux brevetés basés sur l'intelligence artificielle. Certaines parties des métadonnées peuvent être utilisées pour mettre en évidence des caractéristiques telles que des cyphers faibles (anciennes versions de TLS), des partages SMB et des balises qui peuvent indiquer des actifs vulnérables. De nombreuses organisations constatent qu'avec la plateforme Vectra Threat Detection and Response, elles réalisent qu'il y a beaucoup plus d'actifs dans leur environnement qui ne sont pas pris en compte, mais qui sont aussi des cibles de choix pour les attaquants.

RA.L2-3.11.3 Remédiation aux vulnérabilités (CMMC 2 - 3) : Remédier aux vulnérabilités conformément aux évaluations des risques. (800-53 : RA-5)

Vectra Detect et Vectra Stream sont capables de prendre des mesures immédiates contre les vulnérabilités, de manière native ou lorsqu'ils sont intégrés à un environnement d'orchestration. La détection des comptes dont le MFA est désactivé, des hôtes dont le SMB est ouvert ou dont le chiffrement est faible, ainsi que d'autres analyses du trafic de métadonnées permettent de remédier à la situation avant même que l'évaluation des risques ne soit terminée. La plate-forme Vectra Threat Detection and Response peut procéder à la désactivation automatisée des comptes dans LDAP et AD et coordonner les changements d'autorisation (COA) dans une solution NAC pour supprimer les autorisations ou modifier les listes de contrôle d'accès dans un environnement. Sur la base de diverses détections, la capacité à contenir des hôtes avec certains scores de menace et de certitude de Vectra peut être automatisée dans des outils EDR tels que Microsoft Defender, CrowdStrike et CarbonBlack.

RA.L2-3.11.2 Analyse des vulnérabilités (CMMC 2 - 3) : Rechercher les vulnérabilités des systèmes et applications de l'organisation périodiquement et lorsque de nouvelles vulnérabilités affectant ces systèmes et applications sont identifiées.

L'une des principales lacunes de la plupart des évaluations de sécurité et de la conformité sur cloud est la posture des plus de 7 500 lignes de configuration individuelles par utilisateur dans AzureAD/M365. Il a été constaté dans de nombreux cas que les jetons et l'authentification ont été clonés par des adversaires utilisant ces espaces faciles à manipuler. Vectra fournit une capacité de surveillance/analyse continue de la posture au sein d'AzureAD dans les enclaves commerciales, GCC, GCC-HIGH et gouvernementales SECRET et TOP SECRET. Vectra Protect est la seule capacité approuvée par Microsoft pour soutenir ces initiatives.

Domaine : Évaluation de la sécurité (CA)

CA.L2-3.12.3 Surveillance des contrôles de sécurité (CMMC 2 - 3): Surveiller en permanence les contrôles de sécurité pour s'assurer qu'ils restent efficaces. (800-53 : CA-2, CA-5, CA-7, P-2)

Le moteur de détection cybernétique Vectra AI fournit un tableau de bord en temps réel et des alertes sur les problèmes potentiels, ce qui permet de valider les contrôles de sécurité et de déterminer si les contrôles de sécurité sont efficaces et complets. Dans l'idéal, un environnement est bien contrôlé et verrouillé, mais la plupart des entreprises ne fournissent pas de contrôles adéquats sur les systèmes auxiliaires qui permettent des mouvements latéraux dans des environnements plus critiques. L'utilisation du tableau de bord Vectra Detect permet de connaître en temps réel les systèmes compromis, les nouvelles attaques qui contournent les contrôles de sécurité actuels et de détecter les équipes rouges/violettes lors des évaluations.

Domaine : Protection des systèmes et des communications (SC)

SC.L2-3.13.6 Communication réseau par exception (CMMC 2 - 3) : Refuser le trafic de communication réseau par défaut et autoriser le trafic de communication réseau par exception (c'est-à-dire, refuser tout, autoriser par exception).

Les organisations qui passent à une architecture de sécurité Zero Trust sont confrontées à de nombreux défis. En tant que base analytique de nombreuses architectures de référence de l'agence de renseignement Zero Trust , la plateforme Vectra Threat Detection and Response fournit à tous les environnements un contexte supplémentaire sur la détection d'anomalies dans l'utilisation des privilèges des hôtes/comptes avec des privilèges élevés utilisant des ressources en dehors de la norme apprise. Si la confiance zéro limite l'accès sous-jacent, elle n'est souvent pas assez granulaire pour suivre les comptes activés une fois qu'ils ont obtenu des autorisations.

SC38 : SC.L2-3.13.11 Chiffrement des CUI (CMMC 2 - 3) : Employer une cryptographie validée par la FIPS lorsqu'elle est utilisée pour protéger la confidentialité des CUI. (800-53 : SC-13)

Les métadonnées enrichies de la plateforme Vectra Threat Detection and Response sont capables de différencier les cyphers faibles dans l'environnement qui sont indicatifs d'une cryptographie non validée par le FIPS. L'une des principales conclusions de nombreux rapports est que, bien que l'environnement soit conforme aux normes FIPS, de nombreux outils anciens ou environnements OT/IoT/ICS utilisent un cryptage faible ou obsolète. La mise en évidence automatisée de ces éléments dans la plateforme Vectra Threat Detection and Response permet d'obtenir une visibilité immédiate. La plateforme Vectra Threat Detection and Response exploite la cryptographie conforme à la norme FIPS 140-2 pour toutes les transmissions et les données fédérales au repos (DAR) des métadonnées et des instances micro-PCAP améliorées par le ML. Toutes les interfaces avec des systèmes tiers sont initiées avec une cryptographie conforme. La plateforme Vectra Threat Detection and Response ne nécessite pas le décryptage des flux de trafic pour mettre en œuvre les capacités de détection comportementale basées sur la ML. Cela signifie qu'il n'est pas nécessaire d'effectuer des opérations d'inspection et de décryptage.

SC39 : SC.L1-3.13.1 Protection des frontières (CMMC 1 - 3) : Surveiller, contrôler et protéger les communications de l'organisation (c'est-à-dire les informations transmises ou reçues par les systèmes d'information de l'organisation) au niveau des frontières externes et des principales frontières internes des systèmes d'information. (800-53 : SC-7, SA-8) Vectra Detect et Vectra Stream surveillent les communications aux frontières externes et clés. Les cyberdétections comportementales basées sur des réseaux neuronaux identifient et alertent les analystes de la sécurité sur les menaces potentielles en temps réel à tous les niveaux des systèmes de communication. Contrairement aux capacités basées sur les signatures, Vectra n'est pas lié aux vecteurs d'attaque "connus" permettant de contourner les frontières, mais est capable de détecter des attaques nouvelles ou "inconnues" sur la base des comportements successifs.

Domaine : Intégrité des systèmes et de l'information (SI)

SI.L1-3.14.1 Correction des failles (CMMC 1 - 3) : Identifier, signaler et corriger les défauts des informations et des systèmes d'information en temps voulu. (800-53 : SI-2, Si-3, SI-5)

Vectra Stream offre une intégration complète du lac de données pour les capacités de reporting et de forensic pendant et après un incident. Ces données peuvent être mises en corrélation avec d'autres plateformes pour localiser les failles dans les ensembles de données et permettre aux équipes SOC de réaliser des exercices comparatifs à l'aide de métadonnées enrichies par l'IA. Les alertes en temps réel sont intégrées au tableau de bord de la plateforme Vectra Threat Detection and Response, raison pour laquelle de nombreux RSSI consultent Vectra au début et à la fin de chaque journée de travail pour comprendre la situation actuelle.

SI.L1-3.14.2 Protection contre les codes malveillants (CMMC 1 - 3) : Assurer la protection contre les codes malveillants aux endroits appropriés des systèmes d'information de l'organisation. (800-53 : SI-2, SI-3, SI-5)

Au lieu de prévenir les codes malveillants, la plateforme Vectra Threat Detection and Response détecte et réagit aux nouveaux comportements des menaces, notamment les communications de commande et de contrôle, l'exfiltration de données et les mouvements latéraux. Par conséquent, la plateforme Vectra Threat Detection and Response peut automatiquement mettre un système en quarantaine ou en pot de miel et utiliser un partenariat industriel avec des solutions de contrôle d'accès au réseau (NAC), Endpoint Detection and Response (EDR) et Security Orchestration and Response (SOAR) pour atténuer la propagation supplémentaire à d'autres systèmes et points d'extrémité dans cloud, des environnements distants et d'autres environnements. L'approche consistant à tirer parti de l'IA pour automatiser une réponse de sécurité sans confiance aux acteurs malveillants potentiels et aux nouvelles attaques permet à Vectra d'arrêter les attaques avant qu'elles ne commencent.

SI.L1-3.14.4 Mise à jour de la protection contre les codes malveillants (CMMC 1 - 3) : Mettre à jour les mécanismes de protection contre les codes malveillants lorsque de nouvelles versions sont disponibles. (800-53 : SI-3)

En raison de la nature comportementale de la plateforme Vectra Threat Detection and Response, les mises à jour ne sont pas nécessaires et le système exploite en permanence de nouveaux algorithmes d'IA pour détecter les menaces émergentes avant que les définitions traditionnelles n'aient été publiées par la plupart des fournisseurs et des organismes de sécurité. En exploitant les détections comportementales de l'IA, la menace des nouveaux attaquants peut être réduite et le temps de détection et de réponse peut être ramené de quelques heures, jours ou semaines à quelques minutes.

SI.L2-3.14.6 Surveiller les communications pour détecter les attaques (CMMC 2 - 3) : Surveiller les systèmes de l'organisation, y compris le trafic de communication entrant et sortant, afin de détecter les attaques et les indicateurs d'attaques potentielles. (800-53 : AU-2, AU-2(3), AU-6, SI-4, SI-4(4))

Vectra Detect offre des capacités IDS/IPS de nouvelle génération et une détection comportementale des attaques basée sur l'intelligence artificielle, sans nécessiter de définitions, de décryptage du trafic ou d'autres techniques courantes dans la plupart des offres commerciales. Prenant en charge la plupart des consommateurs de nos systèmes de sécurité nationaux (NSS), Vectra permet aux cyberéquipes d'atténuer une attaque avant qu'elle ne soit répliquée ou qu'elle ne cause des dommages.

SI.L2-3.14.7 Identifier les utilisations non autorisées (CMMC 2 - 3) : Identifier les utilisations non autorisées des systèmes de l'organisation. (800-53 : SI-4)

Vectra Detect identifie, répond et atténue l'abus et la compromission des comptes à privilèges lorsque les utilisateurs effectuent des activités qui dépassent les comportements normaux. Ces comportements malveillants sont les principaux indicateurs qu'un attaquant a pris le contrôle du compte et des privilèges d'un utilisateur ou a créé un faux compte pour se déplacer latéralement à la recherche d'actifs à exfiltrer. La majorité des attaques récentes s'appuient sur un certain niveau de compromission des comptes M365 et de déplacement latéral dans les environnements sur la base d'une escalade des privilèges. Pouvoir détecter ces comportements avant qu'ils n'aient le temps de s'exécuter dans le GCC-HIGH est un élément clé de la protection de l'entreprise.

En résumé

Vectra met en correspondance les différentes exigences du CMMC par le biais de la plateforme Vectra Threat Detection and Response. En tant que première plateforme détection et réponse aux incidents pilotée par l'IA, Vectra prend en charge les charges de travail sur l'ensemble du réseau, quel que soit le niveau de classification, y compris cloud, le centre de données, l'IoT et l'entreprise. La plateforme permet une surveillance continue et des alertes en temps réel tout en réduisant la charge de travail globale du centre d'opérations de sécurité (SOC) et des analystes de sécurité.