.
Chegou a hora de consolidar e simplificar seus conjuntos de ferramentas de segurança.
Uma pesquisa de julho de 2022 com 300 contratados de TI do Departamento de Defesa (DoD) dos EUA mostra uma lamentável falta de segurança da informação na maioria das situações. Esses contratados fazem parte da cadeia de suprimentos do DoD que, na fala típica do governo, é rotulada como Base Industrial de Defesa (DIB). o relatório deve ser um aviso até mesmo para os contratados de tecnologia que não fazem nenhum trabalho do DoD.
UMA ataque recente chamado STEEP#MAVERICK empreiteiros de defesa visados na Europa. Um deles era fornecedor de um dos programas de aeronaves de caça da Força Aérea dos Estados Unidos. O ataque era bastante sofisticado, contendo vários estágios e várias medidas de ofuscação e defesa para evitar a detecção.
Isso torna a pesquisa DIB mais relevante. Por exemplo, a pesquisa descobriu que:
-
80% carecem de qualquer solução de gerenciamento de vulnerabilidade
- 79% carecem de um conjunto abrangente de políticas e procedimentos de autenticação multifator (MFA) para proteger seus logins
- 73% carecem de uma solução de detecção e resposta de endpoint
-
70% não implantou nenhum tipo de gerenciamento de informações e eventos de segurança
É verdade que é muita infraestrutura de segurança, mas os negócios de hoje — de qualquer tipo, consultoria governamental ou não — exigem que essas ferramentas básicas sejam protegidas contra possíveis ataques. A pesquisa constatou que 82% dos entrevistados acharam “moderadamente a extremamente difícil entender os regulamentos governamentais sobre segurança cibernética”. Embora os regulamentos sejam complexos, há um elemento desses regulamentos que merece destaque, chamado de Certificação do Modelo de Maturidade em Cibersegurança (CMMC). Nós tocou em sua introdução alguns anos atrás e sugeriu que seguir o CMMC poderia ajudar a melhorar a postura geral de segurança cibernética com empresas sediadas nos EUA.
No centro do CMMC está uma série de 110 controles de segurança diferentes que fazem parte de um Documento do Instituto Nacional de Padrões e Tecnologia SP 800-171. Isso recomenda requisitos para proteger a confidencialidade de informações não classificadas controladas de fornecedores do governo. Os requisitos são divididos em 14 categorias diferentes, como controles de acesso e gerenciamento de configuração. O documento não é novo – ele também passou por uma grande revisão nos últimos dois anos – mas é abrangente. O governo sugere que “os fornecedores que desejam manter seus contratos com agências federais e estaduais precisam ter um plano que atenda aos requisitos do NIST SP 800-171” e entender os vários controles para sua segurança operacional e de TI.
Uma comparação dos conjuntos de regras CMMC v1 e v2. (Crédito da imagem: Departamento de Defesa dos EUA)
A esperança do DoD é que a conformidade com o CMMC acabe pegando, e no início deste ano eles anunciaram que está passando por uma grande revisão para v2, que deve entrar em vigor em março de 2023. Enquanto isso, o DoD pode fornecer todos os tipos de dicas úteis sobre como implementar melhores práticas de segurança cibernética. Certamente, o momento é propício para consolidar e simplificar seus conjuntos de ferramentas de segurança. E revisar as diretrizes do CMMC também é uma ótima maneira de encontrar seus próprios pontos fracos de segurança.
.
