大多数美国国防承包商不符合基本网络安全要求

©网络研究院

根据CyberSheath委托进行的研究，近87%的美国国防承包商未能满足基本的网络安全监管要求。 

对300家美国国防部(DoD)承包商的调查发现，只有13%的受访者的供应商风险绩效系统(SPRS)得分在70分或以上。根据国防联邦采购条例补充(DFARS)，完全符合要求的分数为110。 

有趣的是，根据研究作者的说法，70分被认为是“足够好”的，可以被认为是合规的。 

DFARS于2017年颁布成为法律，旨在加强国防工业基地的网络安全。国防承包商还必须遵守网络安全成熟度模型认证(CMMC)，这是一个他们必须通过的与国防部竞标合同的认证框架。 

CMMC的第一个版本于2020年1月发布，更新版本2.0将于2023年5月生效。

它提供了从一到五的五个认证级别，其中五级为最高级别。每个级别对应不同的过程成熟度级别。 

新的研究表明，绝大多数国防部国防承包商既没有履行目前的DFARS义务，也没有能力遵守CMMC的更新版本。 

根据这项研究，这可能对国防承包商产生重大影响，如果国防部发生合同损失，近一半的承包商将损失高达40%的收入。

CREST的美国主席称：CMMC是一套保护数据的商业上合理的标准。组织应该将它作为业务的一部分来处理，否则他们可能会失去合同。

然而，该报告发现：

70%的企业尚未部署安全信息和事件管理(SIEM)；

79%的企业缺乏全面的多因素身份认证系统；

73%的企业没有端点检测响应(EDR)解决方案；

80%的企业缺乏漏洞管理解决方案。

国防承包商是民族国家组织的主要目标，因为他们掌握着与美国军方有关的敏感数据。

在2022年10月，网络安全和基础设施安全局(CISA)发布了一份咨询报告，强调了在一家国防组织的企业网络上观察到的高级持续威胁(APT)活动。

令人担忧的是，在CyberSheath的研究中，超过五分之四的国防承包商表示，他们经历了与网络相关的事件，近五分之三的承包商因与网络相关的事件而遭受业务损失。 

CyberSheath的首席执行官埃里克·努南称：该报告的调查结果表明，我们的国家安全面临明显的现实威胁。我们经常听说供应链容易受到网络攻击的危险。

DIB是五角大楼的供应链，我们看到尽管处于威胁行动者的瞄准之下，承包商们是多么可悲地毫无准备。

我们的军事机密并不安全，迫切需要改善这一群体的网络安全状况，他们往往连最基本的网络安全要求都达不到。

不合规的一个主要因素似乎是对政府网络安全法规缺乏了解，82%的受访者提到了这一点。大约五分之三的受访者将理解CMMC合规性的难度评为极度困难。

CyberSheath的安全服务副总裁称：以前政府法规执行不力解释了目前面临的合规性困难，企业需要适应。传统上，对这些法规的监督很少，执法也很少，导致‘偶然’合规。

随着政府逐步认识到这一点，法律也随之出台，我们希望看到更广泛的采用。这是一个‘有’和‘没有’的故事。苦苦挣扎的承包商在没有大量技术投资的情况下成功发展了业务，没有利用基于云的规模经济，因此远远落后于其他行业，学习曲线非常陡峭。

执行CMMC将最终提高合规性。这将推动理解和采用，因为网络安全合规性现在阻碍了收入的增长。其次，我们需要某种激励措施，税收或其他方式来推动承包商迅速进行这些投资。

网络安全合规应该成为这些承包商的业务重点。各组织必须任命一名具有技术和业务技能的人。其次，首席执行官必须会签证明。

该调查令人鼓舞的一面是，很大一部分国防承包商意识到遵守网络安全法规的重要性。近一半的人认为DFARS的改进对国家安全有重大影响，而五分之三的人认为MSP、MSSPs和IT提供商应该获得认证。

国防部完全致力于加强网络安全合规性，虽然国防工业基地在实施所有要求方面还有很长的路要走，但他们完全同意需要更加安全。

看到大多数公司现在承认这些法律应该能够改善美国政府的安全和公司层面的网络安全，令人感到欣慰。

国防工业基地状况 (DIB)

【在线阅读】 https://kdocs.cn/l/chiOcbYYqXMi

原文始发于微信公众号（网络研究院）：大多数美国国防承包商不符合基本网络安全要求