Obsługa CMMC z Keeper Security.
Menedżer haseł i dostępu uprzywilejowanego Keeper Security Government Cloud (KSGC) posiada autoryzację FedRAMP i spełnia wymagania programu Cybersecurity Maturity Model Certification (CMMC).
Czym jest CMMC?
Cybersecurity Maturity Model Certification (CMMC) to program zgodności i certyfikacji cyberbezpieczeństwa amerykańskiego Departamentu Obrony (DoD), który koncentruje się na niezależnej ocenie wykonawców z sektora obronnego pod kątem kontroli bezpieczeństwa NIST 800-171 w celu ochrony kontrolowanych informacji jawnych.
CMMC opiera się na istniejących przepisach DFARS 252.204-7012. Kontrola dostępu i ochrona danych znajdują się na czele modelu, aby zmniejszyć ryzyko powstawania cyberzagrożeń.
Spełnienie wymogów kontroli bezpieczeństwa CMMC wymaga połączenia ludzi, procesów i technologii. Wdrażając rozwiązanie Keeper Security Government Cloud (KSGC), wykonawcy DoD mogą objąć 26 ze 110 kontroli na poziomie 2 CMMC. Poniższa tabela przedstawia szczegółową lista kontroli objętych KSGC.
Jak Keeper Security Government Cloud pomaga wykonawcom DIB spełnić wymogi CMMC dotyczące bezpieczeństwa haseł
Większość kontroli bezpieczeństwa CMMC opiera się na standardzie NIST 800-171 Rev. 2, który został wydany w 2020 roku. Wersja 3 NIST 800-171 zostanie wydana w pierwszym kwartale 2024 r. i będzie zawierać nowe wymagania dotyczące bezpieczeństwa haseł.
Wiele zespołów IT DIB nie ma wglądu w stan bezpieczeństwa haseł w swojej organizacji. KSGC analizuje siłę i bezpieczeństwo przechowywanych haseł w całej organizacji. KSGC ocenia każde hasło pod kątem kryteriów złożoności, unikalności i potencjalnej ekspozycji w dark webie, zapewniając kompleksową ocenę ryzyka dla poszczególnych poświadczeń i ogólnej higieny haseł w organizacji. Administratorzy IT otrzymują przydatne informacje za pośrednictwem szczegółowych raportów i pulpitów, wyróżniając słabe, ponownie użyte lub naruszone hasła, umożliwiając im proaktywne egzekwowanie zasad dotyczących haseł i inicjowanie działań naprawczych.
System ciągłego monitorowania i ostrzegania KSGC zapewnia administratorom możliwość szybkiego reagowania na potencjalne luki w zabezpieczeniach, znacznie zwiększając obronę organizacji przed cyberzagrożeniami poprzez utrzymanie silnych, bezpiecznych poświadczeń.
Jak Keeper Security Government Cloud pomaga wykonawcom DIB spełnić wymogi CMMC dotyczące bezpiecznego udostępniania plików
Organizacje DIB regularnie otrzymują pliki CUI i współpracują z Departamentem Obrony w tym zakresie. CMMC wymaga, aby organizacje przestrzegały ścisłych protokołów bezpieczeństwa podczas udostępniania CUI, takich jak szyfrowanie i ograniczanie dostępu tylko do upoważnionych użytkowników.
Poczta elektroniczna zazwyczaj nie jest szyfrowana, co umożliwia cyberprzestępcom przechwytywanie wiadomości e-mail i załączników podczas ich przesyłania. Wysyłanie poufnych informacji pocztą elektroniczną wiąże się również z ryzykiem ich przekazania, zapisania lub wydrukowania bez zgody nadawcy.
Niektórzy wykonawcy korzystają z szyfrowanej poczty e-mail firmy Microsoft, która kieruje odbiorcę do bezpiecznego ekranu logowania w celu uzyskania dostępu do wiadomości e-mail z plikami. Jednak w wielu przypadkach wewnętrzne kontrole na komputerach rządowych nie pozwalają na przeprowadzenie tego procesu logowania, więc agencja nie otrzymuje informacji.
Alternatywnie, wykonawcy DIB mogą utworzyć zaszyfrowany plik PDF, a następnie oddzielnie wysłać agencji hasło do pliku PDF za pośrednictwem wiadomości e-mail zawierającej zwykły tekst. Proces ten jest uciążliwy, niepewny i nieprzyjazny dla pracowników.
Bezpieczne przechowywanie i udostępnianie plików dzięki KSGC
KSGC ma wbudowane funkcje udostępniania plików autoryzowane przez FedRAMP i zapewnia bezpieczny i przyjazny dla użytkownika sposób udostępniania plików. Keeper oferuje bezpieczne udostępnianie między sejfami i udostępnianie jednorazowe z szyfrowaniem krzywymi eliptycznymi, co oznacza, że cyberprzestępcy nie mogą przechwycić haseł ani plików w trakcie przesyłania. Tylko zamierzony odbiorca może uzyskać dostęp do udostępnionego wpisu. Dzięki funkcji udostępniania jednorazowego odbiorcy nie muszą się logować ani posiadać licencji Keeper, aby otworzyć i pobrać zaszyfrowany plik.
Ponadto dzienniki w rozwiązaniu Keeper pokazują wszystkie informacje dotyczące wysyłania i odbierania w przypadku udostępniania jednorazowego. Można również włączyć alerty bezpieczeństwa w czasie rzeczywistym, aby powiadamiać administratorów systemu za pośrednictwem wiadomości tekstowych, e-mail lub platform komunikacyjnych, takich jak Slack lub Teams, o wystąpieniu udostępniania.
Udostępnianie zaszyfrowanych plików to konieczność dla każdej organizacji współpracującej z Departamentem Obrony. Keeper umożliwia organizacjom przechowywanie i udostępnianie poufnych plików w zaszyfrowanym formacie w celu usprawnienia kontroli i zapewnienia zgodności z przepisami.
Kontrole bezpieczeństwa CMMC objęte przez KSGC
CMMC ostatecznie przyjmie trzecią wersję NIST 800-171, a wykonawcy z sektora obronnego będą musieli uwzględnić nowe wymagania.
Przyszłe zmiany w CMMC
- Zapewnienie, że nowe lub zaktualizowane hasła nie znajdują się na listach powszechnie używanych, oczekiwanych lub zagrożonych haseł.
- Zmiana haseł w przypadku ich naruszenia.
Definicje poniższej tabeli
- Spełnia – Keeper może być wykorzystywany jako główny środek do spełnienia kontroli bezpieczeństwa w planie bezpieczeństwa systemu.
- Obsługuje – Keeper może być wykorzystywany do wzmocnienia kontroli bezpieczeństwa w planie bezpieczeństwa systemu.
Kontrola bezpieczeństwa i tytuł
Ogólny status
Komentarze
AC.L2-3.1.1 Kontrola autoryzowanego dostępu (CUI)
Obsługuje
Keeper Enterprise Password Manager (EPM) umożliwia użytkownikom generowanie i przechowywanie bezpiecznych i unikatowych haseł, które wspierają uwierzytelnianie użytkowników.
AC.L2-3.1.11
Kończenie sesji
Obsługuje
Keeper zapewnia specyficzną dla platformy kontrolę zakończenia sesji w oparciu o przedział czasu. EPM zapewnia również opcje ponownego uwierzytelniania dla działań takich jak automatyczne uzupełnianie haseł.
AC.L2-3.1.12
Kontrola dostępu zdalnego
Spełnia
KCM to brama zdalnego dostępu służąca do przyznawania użytkownikom dostępu do zasobów zgodnie z zasadami najmniejszych uprawnień. Wykorzystuje protokoły połączeń, takie jak RDP, HTTPS, SSH, VNC, Telnet, Kubernetes, MySQL, PostgreSQL i SQL.
AC.L2-3.1.13
Poufność dostępu zdalnego
Spełnia
KCM wykorzystuje szyfrowanie zatwierdzone przez FIPS 140-3, aby zapewnić poufność dostępu zdalnego.
AC.L2-3.1.14
Routing dostępu zdalnego
Spełnia
KCM to brama dostępu zdalnego, która służy jako punkt kontroli dostępu zarządzanego.
AC.L2-3.1.15
Uprzywilejowany dostęp zdalny
Spełnia
KCM może ograniczyć dostęp użytkownika do określonych połączeń, ograniczyć dostęp do określonej aplikacji w ramach sesji RDP i ograniczyć dostęp poprzez automatyczne uruchamianie poleceń SSH przy połączeniu.
AU.L2-3.3.1 Audyt systemów
Obsługuje
Modułu zaawansowanego raportowania i ostrzeżeń (ARAM) firmy Keeper zapewnia audyt na poziomie przedsiębiorstwa oraz raportowanie aktywności administratorów i użytkowników.
AU.L2-3.3.5
Korelacja audytów
Obsługuje
Keeper ARAM płynnie integruje się z rozwiązaniami SIEM w celu długoterminowego przechowywania i korelacji audytów.
AU.L2-3.3.6
Redukcja i raportowanie
Obsługuje
Keeper ARAM zapewnia filtry dla ponad 200 typów zdarzeń.
CM.L2-3.4.2
Egzekwowanie konfiguracji zabezpieczeń
Obsługuje
EPM oferuje rozbudowane zasady oparte na grupach, które kontrolują sposób korzystania z rozwiązania Keeper.
CM.L2-3.4.6
Najmniejsza funkcjonalność
Obsługuje
KCM może ograniczyć zdalną sesję RDP do pojedynczej aplikacji, kontrolować zachowanie schowka, wyłączyć drukowanie i nie tylko.
IA.L2-3.5.10
Hasła chronione kryptograficznie
Spełnia
EPM bezpiecznie przechowuje i przesyła hasła przy użyciu szyfrowania zatwierdzonego przez FIPS 140-3.
IA.L2-3.5.11
Niejawne informacje zwrotne
Obsługuje
EPM maskuje hasła i inne poufne informacje. Keeper umożliwia również tworzenie niestandardowych typów wpisów z ustawieniami maskowania dla każdego niestandardowego pola.
IA.L2-3.5.3
Uwierzytelnianie wieloskładnikowe
Obsługuje
Keeper obsługuje wiele metod MFA, w tym TOTP, RSA SecureID, Duo Security, klucze bezpieczeństwa FIDO2, Windows Hello i uwierzytelnianie biometryczne urządzeń mobilnych. Wymaga również dodatkowego zatwierdzenia, gdy nowe urządzenie jest używane do uzyskania dostępu do konta.
IA.L2-3.5.4
Uwierzytelnianie odporne na odtwarzanie
Spełnia
KSM przesyła wpisy tajne przez zaszyfrowany tunel TLS. Wpisy tajne są odszyfrowywane przez urządzenie użytkownika.
IA.L2-3.5.7
Złożoność hasła
Spełnia
EPM oferuje konfigurowalne ustawienia złożoności haseł dla haseł głównych oraz haseł generowanych dla zdefiniowanych domen i adresów IP. Raporty z audytu bezpieczeństwa pokazują statystyki dotyczące siły i słabości haseł w organizacji.
IA.L2-3.5.8
Ponowne użycie hasła
Spełnia
EPM umożliwia organizacjom wyeliminowanie ponownego użycia haseł poprzez generowanie unikatowych haseł dla każdego konta. Raporty z audytu bezpieczeństwa pokazują statystyki ponownego użycia haseł.
IA.L2-3.5.9
Hasła tymczasowe
Obsługuje
EPM umożliwia bezpieczne udostępnianie tymczasowych poświadczeń poprzez przeniesienie własności wpisu hasła lub poprzez jednorazowe udostępnienie.
SC.L2-3.13.10
Zarządzanie kluczami
Obsługuje
KSM bezpiecznie przechowuje i przesyła wpisy tajne, takie jak klucze SSH, klucze API, klucze szyfrowania, hasła i inne przy użyciu szyfrowania zero-knowledge zatwierdzonego przez FIPS 140-3. KSM może również automatycznie rotować wpisy tajne.
SC.L2-3.13.11
Szyfrowanie informacji CUI
Spełnia
EPM wykorzystuje zatwierdzone przez FIPS 140-3 szyfrowanie zero-knowledge do szyfrowania wszelkich informacji CUI i jest autoryzowany przez FedRAMP na poziomie Moderate Impact.
SC.L2-3.13.16
Data At Rest
Spełnia
EPM wykorzystuje zatwierdzone przez FIPS 140-3 szyfrowanie zero-knowledge do szyfrowania wszelkich informacji CUI przechowywanych w systemie w spoczynku i jest autoryzowany przez FedRAMP na poziomie Moderate Impact.
SC.L2-3.13.6
Komunikacja sieciowa na zasadzie wyjątku
Obsługuje
Dostęp do sieci można ograniczyć, włączając listę dozwolonych adresów IP.
SC.L2-3.13.8
Data In Transit
Spełnia
EPM wykorzystuje zatwierdzone przez FIPS 140-3 szyfrowanie zero-knowledge do szyfrowania wszelkich informacji CUI w tranzycie i jest autoryzowany przez FedRAMP na poziomie Moderate Impact.
SC.L2-3.13.9
Kończenie połączeń
Spełnia
Ustawienia limitu czasu sesji KCM są konfigurowalne.
SI.L2-3.14.3
Alerty i ostrzeżenia dotyczące bezpieczeństwa
Obsługuje
Keeper BreachWatch monitoruje hasła pod kątem zagrożeń i powiadamia użytkownika lub administratora, jeśli którekolwiek z haseł zostało naruszone.
SI.L2-3.14.7
Identyfikacja nieautoryzowanego użycia
Obsługuje
Keeper ARAM umożliwia tworzenie alertów na podstawie ponad 200 typów zdarzeń. Moduł raportowania zgodności EPM zapewnia dodatkowe raporty w celu identyfikacji nieautoryzowanego udostępniania lub używania haseł.
KSGC posiada autoryzację FedRAMP
Menadżer haseł i menedżer dostępu uprzywilejowanego Keeper Security Government Cloud mają autoryzację FedRAMP i korzystają ze środowiska bezpieczeństwa zero-trust Keeper Security wraz z architekturą bezpieczeństwa zero-knowledge.
KSGC zapewnia:
Pełna widoczność i kontrola nad siłą haseł pracowników
Bezpieczne udostępnianie i przechowywanie plików
Szczegółowa kontrola dostępu oparta na rolach (RBAC)
Dostęp do sieci na zasadzie zero-trust
Alerty dotyczące ujawnienia w dark webie
