2021年12月に発効予定のCMMC 2.0は、さまざまなベストプラクティスとサイバーセキュリティ基準を組み合わせたもので、現行のDFARS 252.204-2012の継続的な進化を意味する。CMMCでは、様々なレベルの検証を要件として追加している。
しかし、ほとんどの組織は、レベル1で自己認証を受け、契約要件に応じてレベル2またはレベル3の追加認証を受ける必要がある。
ポリシー、標準、ベストプラクティスは進化し続けているため、このマッピングは、あらゆる分類レベルの企業ネットワークでNDRを自動化する方法のガイドとしてのみ使用する必要があります。Vectra 脅威検知とレスポンスプラットフォームは、クラウドからデータセンター、従来のIT資産からIoT/OT産業用制御機器やセンサーまで、すべてのワークロードをサポートするため、継続的なモニタリングとリアルタイムアラートの適用可能性と価値の利点は、全体的なセキュリティオペレーションセンター(SOC)とセキュリティアナリストのワークロードを削減しながら、多くの認証課題を支援することができます。
以下のセクションでは、Vectra Threat Detection and Response プラットフォームがどのようにこのカテゴリを満たすかを説明する詳細とともに、CMMC の主要要件を強調します。特許取得済みの機械学習(ML)と人工知能(AI)を使用することで、数週間または数ヶ月の作業負荷と分析を数分に自動化することができます。詳細については、今すぐVectraの連邦政府 チームにご連絡の上、ソリューション概要をご請求ください。
連邦政府コミュニティをサポートするために、Vectraは、様々な要件をVectra脅威検知およびレスポンス プラットフォームにマッピングするこのハイレベルガイドを提供しました。これにより、CMMCをDFARS(NIST 800-171およびNIST 800-172)および従来のNIST 800-53コントロールにマッピングすることができます。
AC.L2-3.1.5 最小特権(CMMC 2 - 3): 特定のセキュリティ機能および特権アカウントを含め、最小特権の原則を採用する。(800- 53: AC-6, AC-6(1), AC-6(5))
Vectra Detect™は、Vectra Threat Detection and Response プラットフォーム上で動作し、特権アクセスを監視して異常を検出します。これらの検知は、オンプレミスのデプロイメント、Azure、AWS、Microsoft 365環境において、商用および官公庁の両方のテナントで発生します。ほとんどの組織では、特権が付与された後のユーザーやホストのアクセス状況の変化を検証または追跡する機能がなく、攻撃者がCommand and Control 、大量のファイル流出、ランサムウェアやその他の活動を実行していることを示す異常な行動を探すことができません。
AC.L2-3.1.6 非特権アカウントの使用(CMMC 2 - 3):非セキュリティ機能にアクセスする場合は、非特権アカウントまたはロールを使用する。(800-53: AC-6(2))
Vectra検知 は、特権アクセスを監視して異常を検出し、どのユーザーが特権的な活動を行っているかを特定します。これらの検出は、オンプレミスのデプロイメント、Azure、AWS、Microsoft Office 365環境で発生します。商用および官公庁のテナントの両方で発生します。さまざまな教師なしAIモデルを使用することで、Vectra Threat Detection and Response プラットフォームは、標準外のアカウント使用に関する脅威と確実性のスコアを上げることができます。この検出が環境で見られる他の攻撃者の行動と相関してとらえられると、アカウントが攻撃に関与していることを忠実に警告することができます。異常検知はしばしば大量のノイズを発生させ、信頼性に欠ける。異常と他の行動との相関は、より確実性を高めます。
AC.L2-3.1.7 特権機能(CMMC 2 - 3): 非特権ユーザによる特権機能の実行を防止し、そのような機能の実行を監査ログに記録する。(800-53: AC-6(9), AC-6(10))
Vectra Threat Detection and Response プラットフォームは、AzureAD、Active Directory、LDAP、およびその他のアイデンティティ・ソースとの統合により、特権的な振る舞いをするユーザーを自動的かつリアルタイムに警告します。アカウントのアクションと「観察された特権」を他の振る舞い ベースの検出との相関関係で調査することにより、リアルタイムのアラートとアカウントのロックダウン/抑制を実施し、潜在的な脅威を軽減することができます。
AC.L2-3.1.12 リモートアクセスの制御(CMMC 2 - 3): リモートアクセスセッションの監視と制御。(800-53: AC-17(1))
Vectra 検知 およびVectra Stream リモートアクセスのセッションと経路を監視します。情報は、NAC、SOAR、EDR、SIEM ツールとの統合に基づいて対処することができます。リモート・アクセス・セッションは、Vectra 検知 で分類され、リスクと影響のスコアが与えられます。これにより、アナリストやエンジニアは、リモート・アクセス・セッションを追跡する際に通常発生するノイズを排除し、よりリスクの高いユーザーに焦点を当てることができます。メタデータ内では、リモート・アクセス・セッションとプロトコルの具体的な詳細が追跡され、AIモデルから得られる潜在的な攻撃者の行動と相関付けられます。様々なモデルの結果と観測されたリモートアクセスセッション情報を関連付けることで、自動的な対応や制御などを実施することができます。
AC.L2-3.1.15 特権リモートアクセス(CMMC 2 - 3):特権コマンドのリモート実行およびセキュリティ関連情報へのリモートアクセスを許可する。(800-53: ac-17(4))
Vectra Detect は、特権コマンドのリモート実行を監視します。 この機能は、商用クラウド、政府クラウド、および Microsoft 365 環境にネイティブに存在します。 特権コマンドのリモート実行が観察されると、他の観察された動作アクティビティに基づいて、資産に高いスコアまたはクリティカル スコアが自動的に割り当てられます。
AC.L2-3.1.8失敗したログオン試行回数(CMMC 2 - 3): 失敗したログオン試行を制限する。
Vectra Threat Detection and Response プラットフォームは、ブルートフォース攻撃と MFA バイパスメカニズムを示す監視と検出を提供します。複数回の試行失敗によるロックアウトは通常、良性ですが、他の攻撃行動の検出と組み合わせると、Vectraは自動修復、アカウント封じ込め、またはその他のアクションを提供できます。
AC.L1-3.1.20 外部接続(CMMC 1 - 3): 外部情報システムへの接続およびその使用を検証し、制御/制限する。(800-53: AC-20, AC-20(1))
Vectra 検知 とVectra Stream が外部情報システムとの接続を監視する。これらの機能に基づく検出は、他のデータソースと関連付けられ、Vectra から観察された行動や他のセキュリ ティツールおよびオーケストレーションツールに基づく対応を自動化する。一例として、多くの攻撃者、malware 、または内部脅威者は、PowerAutomate を活用して、外部データソース(DropBox、SharePoint など)との隠れた接続や信頼関係を構築します。Vectra は、検知 これらの「疑わしい活動」や、昇格した特権を使用した連携された信頼関係を可能にします。
IA.L2-3.5.3 多要素認証(CMMC 2 - 3): 特権アカウントへのローカルおよびネットワークアクセス、および非特権アカウントへのネットワークアクセスには、多要素認証を使用する。
多要素認証(MFA)は強化された本人確認を提供しますが、多くの洗練された敵や国家は、漏洩した認証情報、なりすまし、Azure ADのようなツール内の基本的な設定の操作によって、これらのコントロールをバイパスすることができます。MFAをバイパスするログイン、典型的でないMFAの変更を行うM365/AzureAD管理者、およびAzureAD内の7,500以上の構成ラインの姿勢の完全なスキャンを検知 、ルートシステム自体ができないメカニズムへのアラートを許可するVectraの能力。
IR.L2-3.6.1 インシデント処理(CMMC 2 - 3): 準備、検知、分析、封じ込め、復旧、及びユーザレスポンス の活動を含む、組織システムの運用上のインシデント処理能力を確立する。(800-53: IR-2, IR-4, IR-5, IR-6, IR-7)
Vectra 機能を活用することで、IRは検出、封じ込め、およびレポートとフォレンジックのためのその他のAI強化メタデータをサポートするデータで強化される。さらに、Vectra 検知 は、早期検知と自動化された実施とアラートに基づき、実際のIRを軽減するアップフロント振る舞い 検知機能を提供する。検知 シグネチャのない新しい未知の脅威をリアルタイムでネットする機能により、Vectra 、最初の攻撃者の行動が確認されてから数秒以内に検知と封じ込めを行うことができる。変更管理を維持するために、発券とSOARベースのプレイブックを活用することで、ホストやユーザーの自動封じ込め/ロックダウンを実行する前に、一定期間人間による対話を行うことができます。
IR.L2-3.6.2 事故報告(CMMC 2 - 3):インシデントを追跡し、文書化し、組織の内部及び外部の指定された役員及び/又は当局に報告する。(800-53: IR-2、IR-4、IR-5、IR-6、IR-7)
Vectra検知 は、Vectraダッシュボードを介して、インシデントのトリアージと警告を行います。これらのアラートと Vectra検知 のリアルタイムのレポーティングにより、即時の対応が可能になります。SIEMや発券ツールと統合することで、内部および外部ソースに対する規制に基づいた追加レポートおよびレスポンス 。
RA.L2-3.11.2 脆弱性スキャン(CMMC 2 - 3):組織のシステムおよびアプリケーションの脆弱性を定期的にスキャンする。(800-53: RA-5, RA-5(5))
VectraStream は、すべてのトラフィックからセキュリティ強化されたネットワークメタデータを収集し、保存します。このメタデータは、SIEMツール内で脆弱なシステムを特定するために不可欠な、深いセキュリティ洞察と脅威のコンテキストで強化されています。同時に、Vectra検知 は、観察されたユーザー行動、攻撃者の横の動き、および70以上の特許取得済みAIベース振る舞い モデル全体に基づいて、脆弱性の可能性がある新しいシステムをリアルタイムで特定します。メタデータの特定の部分を使用して、脆弱な資産を示す可能性のある弱いサイファー(古いTLSバージョン)、SMB共有、ビーコンのような特徴を表面化することができる。多くの組織は、Vectra Threat Detection and Response プラットフォームを利用することで、自社の環境上に、説明されていないだけでなく、攻撃者にとって格好の標的となっている資産がさらに多く存在することに気づく。
RA.L2-3.11.3 脆弱性の修復(CMMC 2 - 3):リスクアセスメントに従い、脆弱性を修正する。(800-53: RA-5)
Vectra検知 と VectraStream は、オーケストレーション環境と統合された場合と同様に、脆弱性に対して即座に対策を講じることができます。MFAが無効化されたアカウント、オープンSMBまたは脆弱なサイファーが設定されたホスト、その他のメタデータ・トラフィック解析の検出により、リスク評価が完了する前に対策を講じることができます。Vectra Threat Detection and Response プラットフォームは、LDAP および AD 内で自動化されたアカウントの無効化を実行し、NAC ソリューション内で認可の変更 (COA) を調整して、環境内の ACL を解除または変更することができます。さまざまな検出結果に基づいて、Vectraの特定の脅威スコアと確実性スコアを持つホストを封じ込める機能は、Microsoft Defender、CrowdStrike、CarbonBlackなどのEDRツール内で自動化することができます。
RA.L2-3.11.2 脆弱性スキャン(CMMC 2 - 3): 組織のシステムおよびアプリケーションの脆弱性を定期的にスキャンする。
ほとんどのクラウドセキュリティ評価とコンプライアンスにおける主要なギャップは、AzureAD/M365 内のユーザーごとの 7,500 を超える個々の構成行の姿勢です。トークンと認証が、これらの操作しやすいスペースを利用する敵によってクローン化されていることが、多くの事例で確認されています。Vectraは、商用、GCC、GCC-HIGH、政府のSECRETおよびTOP SECRETエンクレーブにおけるAzureAD内の態勢を継続的に監視/スキャンする機能を提供します。Vectra Protectは、これらのイニシアチブをサポートするためにMicrosoftによって承認された唯一の機能です。
CA.L2-3.12.3 セキュリティ管理モニタリング(CMMC 2 - 3):セキュリティ管理策を継続的に監視し、管理策の継続的有効性を確保する。(800-53: CA-2, CA-5, CA-7, P-2)
Vectra AIサイバー検知エンジンは、ダッシュボードにリアルタイムで表示され、潜在的な問題のアラートを提供することで、セキュリティ制御の検証を可能にし、セキュリティ制御が効果的で包括的であるかどうかをさらに検証することができる。理想的には、環境は十分に制御され、ロックダウンされているが、ほとんどの企業は、より重要な環境への横の動きを可能にする補助的なシステムに対する十分な制御を提供していない。Vectra 検知 検知 ダッシュボードを活用することで、侵害されたシステム、現在のセキュリティ管理をバイパスする新たな攻撃をリアルタイムで認識することができます。
SC.L2-3.13.6 例外によるネットワーク通信(CMMC 2 - 3):デフォルトでネットワーク通信トラフィックを拒否し、例外的にネットワーク通信トラフィックを許可する(すなわち、すべてを拒否し、例外的に許可する)。
ゼロトラストセキュリティアーキテクチャに移行する組織は、多くの課題に直面しています。数多くの諜報機関のゼロトラスト・リファレンス・アーキテクチャの分析基盤として、Vectra Threat Detection and Response プラットフォームは、学習した標準外のリソースを使用する昇格した権限を持つホスト/アカウントの権限使用異常検知に関する追加コンテキストをすべての環境に提供します。ゼロトラストは基本的なアクセスを制限しますが、権限が付与された後の有効なアカウントを追跡するには十分きめ細かくないことがよくあります。
SC38: SC.L2-3.13.11 CUI 暗号化(CMMC 2 - 3): CUI の機密性を保護するために使用される場合は、FIPS Validated 暗号を採用する。(800-53: SC-13)
Vectra Threat Detection and Response プラットフォームの強化されたメタデータは、FIPS に対応していない暗号を示す環境内の弱いサイファを区別することができます。多くのレポートにおける主な発見は、環境がFIPSに対応しているにもかかわらず、多くのレガシー・ツールやOT/IoT/ICS環境が脆弱な暗号や非推奨の暗号を使用していることです。Vectra Threat Detectionおよびレスポンス プラットフォーム内でこれらを自動的に表面化することで、即座に可視化することができます。Vectra Threat Detectionおよびレスポンス プラットフォームは、ML強化メタデータおよびmicro-PCAPインスタンスのすべての送信および連邦データアットレスト(DAR)にFIPS 140-2に準拠した暗号を活用します。サードパーティシステムへのすべてのインタフェースは、準拠した暗号化方式で開始されます。Vectra Threat Detection and Response プラットフォームは、ML ベースの振る舞い 検出機能を実行するためにトラフィックフローの復号化を必要としません。つまり、操作にブレーク&インスペ クトは必要ない。
SC39:SC.L1-3.13.1 バウンダリの保護(CMMC 1 - 3):情報システムの外部境界及び重要な内部境界において、組織の通信(組織の情報システムによって送受信される情報)を監視、制御、及び保護する。(800-53: SC-7、SA-8) Vectra検知 と VectraStream は、外部と重要な境界における通信を監視する。ニューラル・ネットワーク・ベースの振る舞い サイバー検知は、通信システムのあらゆるレベルにおいて、潜在的な脅威をリアルタイムで特定し、セキュリティアナリストに警告します。シグネチャベースの機能とは異なり、Vectraは境界を迂回するための「既知の」攻撃ベクターに縛られることなく、連続的な挙動に基づいて新しい攻撃や「未知の」攻撃を検知 。
SI.L1-3.14.1 欠陥の修正(CMMC 1 - 3):情報及び情報システムの欠陥を適時に特定し、報告し、修正する。(800-53: SI-2, Si-3, SI-5)
VectraStream は、インシデント発生時および発生後のレポーティングとフォレンジック機能のために、データレイクを完全に統合します。このデータは、データセットの欠陥を特定するために他のプラットフォームと相関させることができ、AIで強化されたメタデータを使用してSOCチームが比較演習を完了することができます。リアルタイムの警告は、Vectra Threat Detection and Response プラットフォームのダッシュボードで完了します。多くのCISO組織がシフトの開始時と終了時にVectraを見て、現在の状況を把握しているのはこのためです。
SI.L1-3.14.2 悪意のあるコードの保護(CMMC 1 - 3):組織の情報システム内の適切な場所に悪意のあるコードからの保護を提供する。(800-53: SI-2, SI-3, SI-5)
Vectra 脅威検知とレスポンスプラットフォームは、悪意のあるコードを防止する代わりに、コマンド・アンド・コントロール通信、データ流出、横方向への移動など、新たな脅威の挙動を検出して対応します。その結果、Vectra 脅威検知とレスポンスプラットフォームは、システムを自動的に隔離またはハニーポット化し、ネットワークアクセス制御(NAC)、エンドポイント検出およびレスポンス (EDR)、セキュリティオーケストレーションおよびレスポンス (SOAR)ソリューションとの業界連携を利用して、クラウド、リモートおよびその他の環境における他のシステムやエンドポイントへの追加の伝播を緩和することができる。潜在的な悪意のあるアクターやネットニュー攻撃に対するゼロトラスト・セキュリティ(レスポンス )を自動化するためにAIを活用するアプローチにより、Vectraは攻撃を開始する前に阻止することができる。
SI.L1-3.14.4 悪意のあるコード保護 (CMMC 1 - 3) の更新: 新しいリリースが利用可能になったら、悪意のあるコード保護メカニズムを更新する。(800-53: SI-3)
Vectra Threat Detection and Response プラットフォームの振る舞い 性質により、アップデートは必要なく、システムは継続的に新しい AL アルゴリズムを活用し、従来の定義がほとんどのベンダーやセキュリティ組織からリリースされる前に検知 新たな脅威を検出します。AI振る舞い 検出を活用することで、新たな攻撃者からの脅威を低減し、検知 、対応にかかる時間を数時間、数日、数週間から数分に短縮することができる。
SI.L2-3.14.6 攻撃のために通信を監視する(CMMC 2 - 3):インバウンド及びアウトバウンド通信トラフィックを含む組織システムを監視し、検知 攻撃及び潜在的な攻撃の指標を監視する。(800-53: au-2, au-2(3), au-6, Si-4, Si-4(4))
Vectra検知 は次世代の IDS/IPS 機能を提供し、AI主導の振る舞い ほとんどの商用製品で一般的な定義やトラフィックの復号化、その他のテクニックを必要とせずに攻撃を検知します。ほとんどの国家安全保障システム(NSS)コンシューマーをサポートするVectraにより、サイバーチームは、攻撃が複製されたり損害を与えたりする状態に移行する前に攻撃を軽減することができます。
SI.L2-3.14.7 不正使用の特定(CMMC 2 - 3):組織システムの不正使用を特定する。(800-53: SI-4)
Vectra 検知 ユーザが通常の行動を超えた行動を行った場合、特権アカウントの不正使用と侵害を特定し、対応し、緩和します。これらの悪意のある行動は、攻撃者がユーザーのアカウントと特権を乗っ取ったこと、または、流出させる資産を求めて横方向に移動するために偽のアカウントを作成したことを示す主要な指標です。最近の攻撃の大半は、M365アカウントの侵害と、権限の昇格に基づく環境全体への横移動のレベルを活用しています。これらの行動がGCC-HIGHで実行される前に検知 、企業を保護するための重要な要素です。
Vectraは、Vectra 脅威検知とレスポンスプラットフォームを通じて、CMMCの様々な要件をマッピングする。No.1のAI主導のネットワーク検知およびレスポンス プラットフォームとして、Vectraは、クラウド、データセンター、IoT、エンタープライズを含むあらゆる分類レベルのネットワーク全体のワークロードをサポートします。このプラットフォームは、セキュリティ・オペレーション・センター(SOC)とセキュリティアナリストの作業負荷を軽減しながら、継続的な監視とリアルタイムのアラートを可能にします。