CMMC 2.0認證的主要目的,就是要評估美國國防部承包商的網路安全能力,而2.0版的修訂,希望確保承包商遵循最佳實務做法,以保護網路上的敏感資訊,同時也使中小型業者更容易遵守這些規範。
面對近幾年的國際重大事件,COVID-19疫情、國際貨運塞港、俄烏戰爭、原物料短缺、能源危機、通貨膨脹等事件,大大的影響了全球供應鏈的正常鏈結,全球企業都在尋求現在或未來可以從多個管道執行的供應鏈結,以儘量減少因運輸和生產造成的供應鏈中斷。全球供應鏈的安全問題,從早期縝密規畫而後執行的方式到近幾年被迫緊急性的抬上檯面。
軟體供應鏈攻擊 每年倍數激增
以美國2020年12月美國財政部與商務部遭供應鏈攻擊為例,2021年1月美國司法部也證實遭駭客入侵,此攻擊事件起因為網路監控軟體公司SolarWinds遭駭,該公司Orion Platform成為供應鏈攻擊的跳板。但是,以SolarWinds委由CrowdStrike調查的結果來看,攻擊者在2019年9月4日可能已經入侵了SolarWinds的內網,假設此事是絕對的關聯事件,那麼從入侵開始到SolarWinds察覺已過了1年多。
又從sonatype最近一期的軟體供應鏈攻擊事件報告來看,從2015年2月到2019年6月,記錄了216次軟體供應鏈攻擊,從2019年7月到2020年5月,攻擊次數更增加到929次。然而,自2015發布報告以來軟體供應鏈攻擊事件在過去一年當中,激增 650%(圖一)。
網路安全成熟度模型認證CMMC 1.0 到 CMMC 2.0
面對供應鏈的安全問題,美國國防部近幾年也開始大推CMMC網路安全成熟度模型認證(Cybersecurity Maturity Model Certification),目標是讓全球與美國國防部(United States Department of Defense, DoD)相關的供應商符合在承包DoD業務或工程時,都已符合其對應的認證級別。
CMMC 1.0是DoD於2020年9月29日發布的一項臨時規則,當時是修改國防聯邦採購補充條例(DFARS),來實施CMMC框架。該臨時規則包括新的 DFARS條款 252.204-7021,該條款規定了CMMC的要求,主要
是為了驗證在國防工業基地(Defense Industrial Base, DIB)的非機密網路中對聯邦合約資訊(Federal Contract Information, FCI) 和需管控的非機密資訊 (Controlled Unclassified Information, CUI)的保護。正式發布則是在2020年11月30日,根據美國國防部(DOD)的說明,CMMC 1.0目的是為了要求競標國防契約的公司,在提案時,需證明自己符合其網路安全成熟度的要求。
之後,在2021年11月4日DoD發布了新的CMMC 2.0計畫,且說明其策略目的是:在保護敏感資訊的初始目標前提下
- 簡化CMMC標準,並進一步明確定義網路安全監管、政策和合約的要求。
- 將最進階的網路安全標準和第三方評估要求集中在支持最高優先項目的公司上。
- 加強DoD對評估生態系統中專業和道德標準的監督以達到(增強)。
- 確保企業實施網路安全標準之責任,同時盡量減少遵守國防部要求的障礙。
- 灌輸網路安全和網路彈性(cyber resilience)的協作文化。
- 增強大眾對CMMC生態系統的信任,同時提高整體執行的便利性。
CMMC2.0網路安全成熟度模型的框架
三個關鍵特性
- 分 層 模 型 :
CMMC要求受委託負責國家安全資訊的公司應根據資訊的類型及敏感性,逐步提高實施網路安全標準的水準。該計劃還規定了將資訊向下傳遞給分包商的流程。 - 評 估 要 求:
CMMC評估作業允許國防部驗證供應商要有明確的實施網路安全的標準。 - 通過合約實施:
一旦CMMC完全實施,某些處理敏感但非機密DoD資訊的承包商將被要求達到特定CMMC的級別,作為合約授予的條件。
基本上,CMMC 2.0認證的主要目的,就是要評估美國國防部承包商的網路安全能力,而2.0版的修訂,希望確保承包商遵循最佳實務做法,以保護網路上的敏感資訊,同時也使中小型業者更容易遵守這些規範。
CMMC 2.0 的主要特點,三級防護要求
DoD在原先的CMMC 1.0版中,規劃了五個等級,由低至高排序分別是:基本防護(Basic)、中等防護(Intermediate)、良好防護(Good)、主動防護(Proactive),以及進階防護(Advanced)。而在CMMC 2.0簡化為三個等級,由低至高排序分別是:第一級的基礎防護(Foundational),第二級為進階防護(Advanced),第三級為專家防護(Expert)。同時,CMMC也朝向與NIST SP 800標準保持一致。