Pour protéger les "Covered Defense Information" (CDI) - des données non classifiées considérées comme sensibles parce qu'elles ont été fournies par le gouvernement américain ou générées pour lui et ne sont pas destinées à être rendues publiques - vient s'ajouter le DFARS 252.204-7012 et les règles relatives à la "Safeguarding Covered Defense Information and Cyber Incident Reporting" (sauvegarde des informations de défense couvertes et signalement des cyberincidents).
Le supplément au DFARS s'applique à tous les appels d'offres du ministère de la défense des États-Unis (DoD) autres que les appels d'offres portant sur des "articles commerciaux prêts à l'emploi".
Si une entreprise a des contrats avec le DoD, ou est un sous-traitant d'un entrepreneur principal ayant des contrats avec le DoD, cette organisation a jusqu'au 31 décembre 2017 pour mettre en œuvre la norme NIST SP 800-171. Il s'agit d'une exigence stipulée dans le DFARS 252.204-7012.
La clause cybernétique du DFARS doit être transmise à tous les fournisseurs ou sous-traitants qui stockeront, traiteront et/ou généreront des données sensibles dans le cadre de l'exécution du contrat.
Les CDI comprennent les informations techniques contrôlées non classifiées ou d'autres informations, telles que décrites dans le registre des informations non classifiées contrôlées (CUI). Elles nécessitent des contrôles de sauvegarde ou de diffusion conformément à la loi, aux réglementations et aux politiques gouvernementales, et sont :
- marqués ou autrement identifiés dans le contrat, l'ordre de travail ou l'ordre de livraison et fournis à l'entrepreneur par le DoD ou en son nom dans le cadre de l'exécution du contrat ; ou
- Collectées, développées, reçues, transmises, utilisées ou stockées par le contractant ou en son nom dans le cadre de l'exécution du contrat.
Les informations techniques contrôlées sont des informations techniques ayant une application militaire ou spatiale dont l'accès, l'utilisation, la reproduction, la modification, l'exécution, l'affichage, la libération, la divulgation ou la diffusion sont soumis à des contrôles.
Les informations techniques contrôlées répondraient, si elles étaient diffusées, aux critères des déclarations de distribution B à F selon les critères définis dans l'instruction DoD 5230.24, Distribution Statements on Technical Documents (déclarations de distribution sur les documents techniques). Ce terme n'inclut pas les informations qui sont légalement accessibles au public sans restrictions.
La bonne nouvelle, c'est que le NIST 800-171 contient un tableau de correspondance (annexe D) qui permet de faire correspondre les contrôles du NIST 800-53 au NIST 800-171. Le NIST 800-53 est le cadre fédéral de sécurisation des infrastructures critiques, une norme largement utilisée pour la mise en correspondance des processus et de la maturité d'un programme de sécurité.
Les sections ci-dessous mettent en évidence les composants clés du cadre NIST et fournissent des détails sur la façon dont la plateforme Vectra AI fournit aux contractants et sous-traitants du DoD une détection et une réponse continues et automatisées aux menaces sur les réseaux d'entreprise - de cloud et des charges de travail du centre de données aux utilisateurs et aux appareils IoT.
Grâce à l'intelligence artificielle, la plateforme Vectra AI condense des semaines ou des mois de travail en quelques minutes, ce qui permet aux équipes chargées des opérations de sécurité de prendre des mesures rapides pour prévenir les vols ou les dommages causés par les cyberattaques. Les catégories décrites par la norme NIST 800- 171 qui sont prises en charge par la plateforme Vectra AI sont détaillées dans les tableaux suivants :
3.4 Gestion de la configuration
Exigences de base en matière de sécurité
| Sous-catégorie |
Vectra AI Capacité |
| 3.4.1 Établir et maintenir des configurations de référence et des inventaires des systèmes d'information de l'organisation (y compris le matériel, les logiciels, les microprogrammes et la documentation) tout au long des cycles de développement des systèmes respectifs. |
Vectra AI surveille et analyse en permanence le trafic du réseau interne, le trafic vers l'internet et le trafic du centre de données, y compris le trafic entre les charges de travail virtuelles dans le centre de données, afin d'établir des lignes de base pour les comportements du système et d'identifier les activités non approuvées. |
| 3.4.2. Établir et appliquer les paramètres de configuration de la sécurité pour les produits des technologies de l'information utilisés dans les systèmes d'information de l'organisation. |
Vectra AI surveille et analyse en permanence le trafic du réseau interne, le trafic vers l'internet et le trafic du centre de données, y compris le trafic entre les charges de travail virtuelles dans le centre de données, afin d'établir des lignes de base pour les comportements du système et d'identifier les activités non approuvées. |
Exigences de sécurité dérivées
| Sous-catégorie |
Vectra AI Capacité |
| 3.4.3 Suivre, examiner, approuver/désapprouver et auditer les modifications apportées aux systèmes d'information. |
Vectra AI suit l'infrastructure Kerberos interne pour comprendre les comportements d'utilisation normaux et détecter lorsque les informations d'identification des utilisateurs de confiance sont compromises par des attaquants, y compris l'utilisation abusive des informations d'identification administratives et des protocoles administratifs, tels que l'IPMI. |
| 3.4.4. Analyser l'impact des changements sur la sécurité avant leur mise en œuvre. |
Vectra AI offre de multiples possibilités d'alerte précoce pour détecter les ransomwares, d'autres variantes de malware et les activités malveillantes qui précèdent une attaque sur n'importe quel appareil du réseau, y compris ceux qui ne sont pas équipés d'un logiciel antivirus. |
| 3.4.5. Définir, documenter, approuver et appliquer les restrictions d'accès physiques et logiques associées aux modifications du système d'information. |
Vectra AI surveille et analyse en permanence l'ensemble du trafic réseau, y compris le trafic interne entre les hôtes physiques et virtuels dotés d'une adresse IP, tels que les ordinateurs portables, les smartphones, les appareils BYOD et les appareils IoT, quel que soit le système d'exploitation ou l'application. |
| 3.4.6 Utiliser le principe de moindre fonctionnalité en configurant le système d'information de manière à ce qu'il ne fournisse que les capacités essentielles. |
Une combinaison d'apprentissage automatique supervisé et non supervisé appliquée au réseau local développe la base de référence des comportements appropriés et approuvés à partir de laquelle il est possible d'identifier les comportements non approuvés du personnel, des connexions, des appareils et des logiciels. |
| 3.4.7 Restreindre, désactiver et empêcher l'utilisation de fonctions, ports, protocoles et services non essentiels. |
Une combinaison d'apprentissage automatique supervisé et non supervisé appliquée au réseau local développe la base de référence des comportements appropriés et approuvés à partir de laquelle il est possible d'identifier les comportements non approuvés du personnel, des connexions, des appareils et des logiciels. |
| 3.4.8 Appliquer une politique de refus par exception (liste noire) pour empêcher l'utilisation de logiciels non autorisés ou une politique de refus total et d'autorisation par exception (liste blanche) pour permettre l'exécution de logiciels autorisés. |
Une combinaison d'apprentissage automatique supervisé et non supervisé appliquée au réseau local développe la base de référence des comportements appropriés et approuvés à partir de laquelle il est possible d'identifier les comportements non approuvés du personnel, des connexions, des appareils et des logiciels. |
3.6 Réponse aux incidents
| Sous-catégorie |
Vectra AI Capacité |
| 3.6.1 Mettre en place une capacité opérationnelle de traitement des incidents pour les systèmes d'information de l'organisation, qui comprend des activités adéquates de préparation, de détection, d'analyse, de confinement, de récupération et de réaction des utilisateurs. |
Les métadonnées sont analysées à l'aide d'algorithmes de détection comportementale afin d'identifier les attaquants cachés et inconnus. Par exemple, l'apprentissage automatique supervisé permet à Vectra AI de trouver les caractéristiques cachées que toutes les menaces ont en commun, tandis que l'apprentissage automatique non supervisé révèle les schémas d'attaque. Vectra AI condense des milliers d'événements et de caractéristiques de réseau en une seule détection à l'aide de techniques d'apprentissage automatique qui exposent automatiquement les attaquants en se basant sur les caractéristiques du trafic réseau. |
| 3.6.2 Suivre, documenter et signaler les incidents aux responsables de l'organisation et/ou aux autorités compétentes. |
La notation automatisée des hôtes révèle le risque global pour le réseau en fonction de la menace et de la certitude. Le Threat Certainty Index™ de Vectra AI évalue toutes les menaces et donne la priorité aux attaques qui représentent le plus grand risque. La notation des hôtes compromis par l'indice de certitude des menaces permet aux équipes de sécurité de définir des niveaux de seuil basés sur la notation combinée (par exemple, critique > 50/50). |
