Справляйтесь с CMMC с помощью Keeper Security.
Менеджер паролей и привилегированного доступа Keeper Security Government Cloud (KSGC) авторизован FedRAMP и соответствует требованиям к сертификации CMMC.
Что такое CMMC?
Сертификация CMMC (Cybersecurity Maturity Model Certification) — это программа Министерства обороны США по соблюдению требований в области кибербезопасности и сертификации, направленная на независимую оценку оборонных подрядчиков в соответствии с требованиями стандарта NIST 800-171 по защите контролируемой несекретной информации (CUI).
CMMC опирается на существующие правила DFARS 252.204-7012. Контроль доступа и защита данных находятся на переднем крае этой парадигмы, направленной на снижение риска киберугроз.
Для обеспечения контроля безопасности в рамках CMMC требуется определенное сочетание людей, процессов и технологий. Внедрив Keeper Security Government Cloud (KSGC), подрядчики Министерства обороны могут обеспечить охват 26 из 110 мер безопасности на втором уровне CMMC. Подробный список мер безопасности, охватываемых KSGC, приведен таблице ниже.
Как Keeper Security Government Cloud помогает DIB-подрядчикам соблюдать требования CMMC по безопасности паролей
Большинство мер безопасности CMMC основаны на версии NIST 800-171 Revision 2, выпущенной в 2020 году. Версия NIST 800-171 Revision 3, выход которой ожидается в первом квартале 2024 года, включает новые требования к безопасности паролей.
ИТ-команды многих DIB-подрядчиков не имеют представления о состоянии безопасности паролей в своей организации. KSGC анализирует надежность и безопасность паролей, хранящихся в организации. KSGC оценивает каждый пароль по критериям сложности, уникальности и потенциального попадания в «Даркнет», предоставляя комплексную оценку риска для отдельных учетных данных и общего уровня безопасности использования паролей в организации. ИТ-администраторы получают полезную информацию через подробные отчеты и информационные панели, выделяющие ненадежные, повторно используемые или скомпрометированные пароли, что позволяет им заблаговременно вводить политики паролей и инициировать корректирующие меры.
Система непрерывного мониторинга и оповещения KSGC позволяет администраторам быстро реагировать на потенциальные уязвимости в системе безопасности, значительно повышая защиту организации от киберугроз благодаря обеспечению защищенности учетных данных.
Как Keeper Security Government Cloud помогает DIB-подрядчикам соблюдать требования CMMC по безопасному обмену файлами
DIB-организации регулярно получают CUI-файлы, сотрудничая с Министерством обороны. CMMC требует, чтобы организации следовали строгим протоколам безопасности при совместном использовании CUI, например, использовали шифрование и ограничивали доступ только авторизованным пользователям.
Электронная почта, как правило, не шифруется, что позволяет киберпреступникам перехватывать электронные письма и вложения при передаче. Отправка конфиденциальной информации по электронной почте также может привести к тому, что информация будет переслана, сохранена или распечатана без разрешения отправителя.
Некоторые подрядчики используют зашифрованную электронную почту Microsoft, которая отправляет получателя на экран защищенного входа в систему для доступа к электронной почте с файлами. Однако во многих случаях система внутреннего контроля на государственных компьютерах не позволяет выполнить этот процесс входа, поэтому агентство не получает информацию.
В качестве альтернативы, DIB-подрядчик может создать зашифрованный PDF-файл, а затем отдельно отправить агентству пароль к PDF-файлу по электронной почте в виде обычного текста. Этот процесс является громоздким, небезопасным и неудобным для сотрудников.
Безопасно храните файлы и делитесь ими с помощью KSGC
KSGC имеет встроенные возможности обмена файлами, авторизованные FedRAMP, и обеспечивает безопасный и удобный способ обмена файлами. Keeper предоставляет безопасный обмен данными между хранилищами и ограниченное предоставление доступа с использованием эллиптической криптографии, что означает, что киберпреступники не могут перехватывать пароли или файлы при передаче. Только предполагаемый получатель может получить доступ к предоставляемой записи. При использовании функции ограниченного предоставления получателям не требуется входить в систему или иметь лицензию Keeper, чтобы открыть и загрузить зашифрованный файл.
Кроме того, в журналах Keeper отображается вся информация об отправке и получении в случаях ограниченного предоставления. Также можно включить оповещения безопасности в режиме реального времени, чтобы уведомлять системных администраторов с помощью текстовых сообщений, электронной почты или платформ обмена сообщениями, таких как Slack или Teams, когда происходит такое предоставление.
Шифрование при обмене файлами является обязательным требованием для любой организации, сотрудничающей с Министерством обороны. Keeper позволяет организациям хранить конфиденциальные файлы и предоставлять к ним доступ в зашифрованном формате в целях упрощения соблюдения требований и аудита.
Меры безопасности из CMMC, охватываемые KSGC
CMMC в конечном счете примет третью редакцию NIST 800-171, и оборонным подрядчикам придется учитывать новые требования.
Будущие изменения в CMMC
- Обеспечение отсутствия новых или обновленных паролей в списках часто используемых, ожидаемых или скомпрометированных паролей.
- Смена паролей в случае их компрометации.
Определения в таблице ниже
- Соответствует — Keeper можно использовать в качестве основного средства для обеспечения меры безопасности в вашем плане безопасности системы (SSP).
- Поддерживает — Keeper можно использовать для усиления меры безопасности в вашем плане безопасности системы (SSP).
Мера безопасности
Статус в целом
Комментарии
AC.L2-3.1.1 Контроль авторизованного доступа (CUI)
Поддерживает
Keeper Enterprise Password Manager (EPM) позволяет пользователям создавать и хранить надежные и уникальные пароли для их аутентификации.
AC.L2-3.1.11
Завершение сеанса
Поддерживает
Keeper предоставляет средства управления завершением сеанса для конкретных платформ на основе времени. EPM также предоставляет возможности повторной аутентификации для таких действий, как автоматический ввод пароля.
AC.L2-3.1.12
Управление удаленным доступом
Соответствует
KCM — это шлюз удаленного доступа, используемый для предоставления пользователям доступа к ресурсам в соответствии с принципом наименьших привилегий. Он использует такие протоколы подключения, как RDP, HTTPS, SSH, VNC, Telnet, Kubernetes, MySQL, PostgreSQL и SQL.
AC.L2-3.1.13
Конфиденциальность удаленного доступа
Соответствует
KCM использует шифрование уровня FIPS 140-3 для обеспечения конфиденциальности удаленного доступа.
AC.L2-3.1.14
Маршрутизация удаленного доступа
Соответствует
KCM — это шлюз удаленного доступа, служащий управляемой точкой контроля доступа.
AC.L2-3.1.15
Привилегированный удаленный доступ
Соответствует
KCM может ограничить доступ пользователя к определенным подключениям, ограничить доступ к определенному приложению в рамках сеанса RDP и ограничить доступ путем автоматического выполнения команд SSH при подключении.
AU.L2-3.3.1 Аудит системы
Поддерживает
Модуль расширенной отчетности и предупреждений Keeper (ARAM) обеспечивает аудит и составление отчетов о действиях администратора и пользователей на уровне предприятия.
AU.L2-3.3.5
Сопоставление результатов аудита
Поддерживает
Модуль ARAM в Keeper легко интегрируется с решениями SIEM в целях долгосрочного хранения и сопоставления результатов аудита.
AU.L2-3.3.6
Сокращение и отчетность
Поддерживает
Модуль ARAM в Keeper предоставляет фильтры для более чем 200 типов событий.
CM.L2-3.4.2
Применение конфигурации безопасности
Поддерживает
EPM предоставляет расширенные групповые политики, определяющие, как можно использовать Keeper.
CM.L2-3.4.6
Наименьшая функциональность
Поддерживает
KCM может ограничить удаленный сеанс RDP одним приложением, управлять поведением буфера обмена, отключать печать и многое другое.
IA.L2-3.5.10
Криптографически защищенные пароли
Соответствует
EPM безопасно хранит и передает пароли, используя шифрование, отвечающее стандарту FIPS 140-3.
IA.L2-3.5.11
Защита обратной связи
Поддерживает
EPM маскирует пароли и другую конфиденциальную информацию. Keeper также позволяет создавать собственные типы записей с настройками маскировки для каждого настраиваемого поля.
IA.L2-3.5.3
Многофакторная аутентификация
Поддерживает
Keeper поддерживает несколько методов MFA, включая TOTP, RSA SecureID, Duo Security, ключи безопасности FIDO2, Windows Hello и биометрическую аутентификацию на мобильных устройствах. Кроме того, при доступе к учетной записи с нового устройства требуется дополнительное подтверждение.
IA.L2-3.5.4
Устойчивая к воспроизведению аутентификация
Соответствует
KSM передает секреты в зашифрованном туннеле TLS. Секреты расшифровываются устройством пользователя.
IA.L2-3.5.7
Сложность пароля
Соответствует
EPM предлагает настраиваемые параметры сложности мастер-паролей, а также паролей, генерируемых для определенных доменов и IP-адресов. Отчеты по аудиту безопасности содержат статистику о ненадежных и надежных паролях в организации.
IA.L2-3.5.8
Повторное использование паролей
Соответствует
EPM позволяет организациям исключить повторное использование паролей, генерируя уникальные пароли для каждой учетной записи. Отчеты аудита безопасности отображают статистику повторного использования паролей.
IA.L2-3.5.9
Временные пароли
Поддерживает
EPM предлагает безопасное предоставление временных учетных данных путем передачи права владения на запись пароля или посредством ограниченного предоставления.
SC.L2-3.13.10
Управление ключами
Поддерживает
KSM надежно хранит и передает такие секреты, как SSH-ключи, API-ключи, ключи шифрования, пароли и многое другое, используя шифрование с нулевым разглашением по стандарту FIPS 140-3. KSM также может автоматически осуществлять ротацию секретов.
SC.L2-3.13.11
Шифрование CUI
Соответствует
EPM использует шифрование с нулевым разглашением по стандарту FIPS 140-3 для шифрования любой CUI и имеет авторизацию FedRAMP на уровне умеренного воздействия (Moderate Impact Level).
SC.L2-3.13.16
Data At Rest
Соответствует
EPM использует шифрование с нулевым разглашением по стандарту FIPS 140-3 для шифрования любой CUI, хранящейся в системе, и имеет авторизацию FedRAMP на уровне умеренного воздействия.
SC.L2-3.13.6
Сетевая связь по исключению
Поддерживает
Сетевой доступ можно ограничить, используя список разрешенных IP-адресов.
SC.L2-3.13.8
Data In Transit
Соответствует
EPM использует шифрование с нулевым разглашением по стандарту FIPS 140-3 для шифрования любой передающейся информации CUI и имеет авторизацию FedRAMP на уровне умеренного воздействия.
SC.L2-3.13.9
Завершение соединений
Соответствует
Можно настраивать параметры тайм-аута сеанса KCM.
SI.L2-3.14.3
Предупреждения и рекомендации по безопасности
Поддерживает
BreachWatch от Keeper отслеживает пароли на предмет признаков компрометации и предупреждает пользователя или администратора, если какой-либо из паролей был раскрыт в результате взлома.
SI.L2-3.14.7
Выявление несанкционированного использования
Поддерживает
Модуль ARAM в Keeper позволяет создавать оповещения на основе более чем 200 типов событий. Модуль отчетности о соответствии требованиям EPM предоставляет дополнительные отчеты для выявления несанкционированного обмена паролями или их использования.
KSGC имеет авторизацию FedRAMP
Менеджер паролей и привилегированного доступа Keeper Security Government Cloud авторизован FedRAMP и поддерживает концепцию безопасности с нулевым доверием Keeper Security наряду с архитектурой безопасности с нулевым разглашением.
KSGC предоставляет следующие возможности:
Полная обзорность и контроль над надежностью паролей сотрудников
Безопасный обмен файлами и хранение файлов
Детальное управление доступом на основе ролей (RBAC)
Сетевой доступ с нулевым доверием
Предупреждение об обнаружении в «Даркнете»
