增强国防工业基础的网络韧性

国防工业基地 (DIB) 由超过 100,000 家公司组成，这些公司向美国国防部 (DoD) 提供材料或服务。 这些企业提供国家防御所需的产品，是美国国防部 (DoD) 供应链的关键组成部分。 DIB 涵盖的企业规模各异，既有洛克希德・马丁、波音、诺斯罗普・格鲁曼等知名大型国防承包商，也有提供无人机、军用车辆等专业产品及服务的中小型企业。

随着国家级网络攻击持续瞄准公共部门服务，DIB 范围内的政府机构和私营企业必须重视网络安全，努力加强网络安全防御，以保护敏感的国防信息。 DoD 制定了网络安全成熟度模型认证 (CMMC) 框架，以提升 DIB 的网络安全态势。 该框架整合了美国国家标准与技术研究院 (NIST) 发布的网络安全标准，所有希望与 DoD 开展业务的政府承包商均需遵守这些标准。

针对国防工业基地 (DIB) 的网络攻击

攻击者之所以发起网络攻击，目的是为了窃取敏感数据或知识产权、破坏商业活动或威胁供应链。

近年来备受关注的网络攻击案例包括 2021 年 Colonial Pipeline 勒索软件攻击——该攻击导致一条主要输气管道关闭数日，并引发全国紧急状态。 在 2020 年 SolarWinds 攻击事件中，国家级黑客获取了数千名 SolarWinds 客户的网络、系统及数据访问权限，其中包括众多地方、州及联邦政府机构。

Colonial Pipeline 攻击事件的根本原因在于密码泄露、VPN 账户未启用以及缺乏多因素身份验证——这些均为基础网络安全原则范畴内的问题。 SolarWinds 事件而言，其本质是一场供应链攻击，攻击者瞄准了该公司的 IT 性能监控系统——该系统拥有访问其他 IT 系统的特权，可获取日志和系统性能数据。

最近，在 2024 年 4 月，四名伊朗公民遭到联邦法院起诉，他们被控参与一项恶意软件行动——他们利用鱼叉式钓鱼和其他黑客技术攻陷美国政府员工账户，涉及美国财政部、国务院以及国防承包商。 在其中一个案例中，美国司法部指出：

“共谋者攻陷了一个属于某国防承包商的管理员邮箱账户。这些共谋者一旦获取该管理员账户的访问权限，便能够创建未授权账户，随后他们利用这些账户向另一家国防承包商和一家咨询公司的员工发起鱼叉式钓鱼攻击。”

攻击者还使用社会工程学策略，在受害者计算机上部署恶意软件，并攻陷更多设备和账户。

CMMC 和网络弹性

网络犯罪分子只需攻陷一个特权账户，即可获取组织网络内其他账户和数据的访问权限。 处理受控非机密信息（CUI）的政府承包商需要遵循 CMMC 安全框架，该框架涵盖一系列按领域分类的控制措施。 这些领域涵盖了广泛的网络安全实践，其中的控制措施旨在增强组织的整体安全态势。

CMMC 2 级合规要求组织满足 NIST SP 800-171 中的 110 项安全控制。 虽然我们无法在此涵盖每一个控制措施，但贵组织可以采取一些措施来帮助确保 CMMC 合规性和网络弹性。

• 实施多因素身份验证 (MFA)——访问敏感系统和数据时使用 MFA，为密码保护账户增加额外安全层。
• 更新和修补系统——保持所有软件、操作系统和固件使用最新的补丁，以防范已知漏洞。
• 定期开展安全评估——定期执行安全审计、漏洞评估和渗透测试，以识别并修复潜在安全漏洞。
• 加密敏感数据和密码——使用密码管理器保护对静态和传输中敏感数据的访问，防止未经授权的访问。
• 使用特权访问管理 (PAM)——实施严格的访问控制，确保只有授权人员才能访问敏感信息。 这包括基于角色的访问控制 (RBAC) 以及遵守最小特权原则。
• 实施零信任安全架构——确保在整个组织内实施用户级和设备级身份验证、授权和加密。

Keeper Security Government Cloud 如何帮助 DIB 承包商满足 CMMC 合规要求

Keeper Security Government Cloud (KSGC) 密码管理器及特权访问管理器已获得 FedRAMP 授权，并满足访问控制 (AC)、审计与问责 (AU)、识别和身份验证 (IA) 等领域的多项 CMMC 控制要求。

KSGC 分析整个组织内存储密码的强度和安全性，为单个凭证以及组织和个人的整体密码健康状况提供全面风险评分。 IT 管理员通过详细报告和仪表板获取可操作的洞察，这些报告和仪表板会突出显示弱密码、重复使用的密码或已泄露的密码，助力管理员主动执行密码策略并启动纠正措施。

KSGC 利用零信任和零知识安全架构，结合委托管理和基于角色的执行策略，为系统管理员提供对组织内身份安全和风险的全面可视性和控制。

要进一步了解 KSGC 如何满足 CMMC 合规要求并保护贵组织免受网络攻击，请立即申请演示。