揭露CMMC合规虚假承诺:如何识别软件供应商的空头支票

本文深入探讨国防承包商在寻求CMMC合规过程中,应如何警惕软件供应商夸大其控制覆盖范围的营销陷阱。文章指出,真正的合规需要透明、实际的解决方案,而非虚假的“万能药”,并提供了识别空头承诺的具体方法。

CMMC没有“万能药”:如何识别软件供应商的空头承诺

对于国防工业基地(DIB)的安全负责人而言,压力正与日俱增。为了能继续承接美国国防部(DoD)的合同,达到CMMC 2级合规性已不再是“锦上添花”,而是一项关乎生存的硬性要求。

虽然供应商在如何满足CMMC方面发布了大量有用信息,但其中也充斥着许多杂音——其中一些甚至具有误导性。 本文将深入探讨,当任何软件供应商宣传他们能帮助您满足多少CMMC控制项时,您应考虑什么以及应如何谨慎行事。

没有哪个供应商能解决所有问题

要获得CMMC 2级认证,您必须在所需的110项控制中获得110分的满分。为了帮助寻求认证的组织了解特定供应商的角色,许多供应商发布了共享责任矩阵或客户责任矩阵。

但是,当一个软件供应商声称能解决110项CMMC 2级控制中的100多项时,就该仔细阅读细则了。 面对保护受控非密信息(CUI)的大量安全控制要求以及随之增加的成本,寻找一个能“一键解决”尽可能多CMMC控制项的“简单按钮”是人之常情。但正如那句老话所说:如果听起来好得令人难以置信,那它很可能就是假的。

在评估数据保护软件时,您必须警惕那些玩数字游戏的供应商。目前存在一种令人担忧的趋势,即供应商夸大其共享责任矩阵,声称他们能满足近110项CMMC 2级控制中的绝大部分。以下是这种营销策略的危险之处,以及它为何可能导致更多成本、挫折,甚至评估失败。

CMMC的核心目的

CMMC合规要求国防承包商证明其能够安全处理CUI。虽然关于CMMC作为一个合规标准的结构和推出方式存在很多争论,但几乎所有人都同意,其期望的结果是通过保护敏感信息来加强国家安全。

这就是为什么供应商的空头承诺在此情景下如此成问题:它们让国防承包商误以为其安全状况比实际情况更强大。

在Virtru,我们认为透明度是CMMC合规的最佳策略——我们网络中经过CMMC认证的客户、首席CCA和C3PAO都同意这一点。一位C3PAO最近这样说道:

“我欣赏Virtru在CMMC方面采取的方法。不幸的是,还有其他一些供应商缺乏贵司的诚信,正在危害其客户的安全和合同资格,以及我们的国家安全。”

如果您正在购买软件以支持您的CMMC合规之旅,需要注意几个危险信号。

CMMC控制项与评估目标

首先,让我们澄清一下在进行CMMC评估时,您实际上被考核的是什么。虽然我们谈论的是CMMC 2级的110项控制(基于NIST SP 800-171),但评估员并不仅仅是勾选110个框。他们评估的是嵌套在这些控制内的320个评估目标。

要通过评估,OSC需要获得满分,或者在短期内通过行动计划与里程碑解决任何微小差距后接近满分。您必须向评估员证明您如何满足每一个目标。软件供应商在营销材料(包括其SRM或CRM)中的声明不受任何监管机构的约束。他们可以声称自己“帮助”解决了任意数量的控制项。

然而,“促成”一项控制(如加密)与“完全满足”一项控制之间存在巨大差异。

不要掉入“继承”陷阱

供应商夸大其数字的最常见方式是声称您可以从他们的云托管提供商(如AWS或Azure)那里“继承”控制项。虽然继承在特定情境下是有效的,但一些供应商将这种逻辑延伸到了断裂点。

让我们看一个具体的、现实世界的例子,看看这在严格审查下是如何站不住脚的:物理保护(PE.3.10.3)。这项控制要求您护送访客并监控访客活动。具体目标要求当访客走进您公司设施的前门时:

  • 有员工迎接访客。
  • 在访客在您的设施内活动时,您公司有人全程陪同。
  • 可能会向访客发放访客徽章或其他视觉标识。
  • 在访客离开前,其在设施内的活动受到监控。

一些数据保护供应商声称在他们的共享责任矩阵中覆盖了这项控制。但是,一个软件如何能护送一个真人访客穿过您的大楼呢?

某些软件供应商的逻辑通常是这样的:“我们将您的数据(CUI)存储在AWS中。AWS在其数据中心配备了人员和流程来护送和监控访客,满足了控制要求。因此,您可以继承这项控制。”

需要指出的是,在某些情况下,某些“物理”控制可能超出评估范围。然而,对大多数组织来说,这种情况极不可能发生。

您的CMMC评估员会看到什么

想象一下,您坐在评估员对面。他们已经审查了您的文档,其中声称您通过软件供应商满足了PE.3.10.3。

评估员会看向您的办公室——您的员工坐在那里并可以访问CUI的地方——然后问:“好吧,但谁在看着此刻站在您大厅里的承包商呢?”或者更糟,评估员最初进入您办公室时根本无人迎接。

如果您的回答是“我的加密供应商负责处理”,您很可能会在这个目标上失分。反过来,这可能导致您最终评估失败,让您面临额外的工作来解决、更多的成本和更大的挫折。

通常,CUI安全软件供应商负责加密和控制数据访问;他们并不会向您的实体办公室部署物理人员(保安)。声称能够做到后者是一种营销策略,而非合规策略。

其他需要警惕的陷阱:FedRAMP等效性

值得注意的是,许多软件供应商吹捧的是FedRAMP等效性,而非FedRAMP授权。虽然这两个术语看起来相似,但存在巨大差异。如果您的供应商是“等效的”,这意味着在发生CUI泄露事件时,您的组织将承担所有风险。如果您的供应商是经过FedRAMP授权的(在FedRAMP市场上),那么他们负责满足并维护与DFARS要求(包括事件报告)相一致的安全标准。

推荐阅读:《来自一线的反馈——“FedRAMP等效”的不足之处》

信任在CMMC控制上保持透明的供应商

Virtru不会在CMMC合规上过度承诺。我们认真对待以数据为中心的安全,这就是为什么我们采取保守和诚实的方法:Virtru帮助您满足110项CMMC控制中的27项。这些是直接适用于我们能力的控制项。我们处理CUI的加密、审计和共享——这些是我们软件实际做的事情。

当您看到一个声称能处理100多项控制的供应商时,您需要索取他们的共享责任矩阵,逐行审计,并提出以下问题:

  • 他们是否在为物理安全邀功?
  • 他们是否在为您的员工安全意识培训邀功?
  • 他们是否提供持续监控?
  • 是否只有CUI在他们的平台内才能满足目标?

底线:不要让空头承诺毁了您的CMMC评估

作为安全负责人,您的目标不仅仅是购买软件来勾选CMMC的复选框。目标是根据CMMC、DFARS和NIST要求保护CUI,以确保敏感信息得到安全管理。如果您经常参与涉及CUI的DoD项目,一次成功的CMMC评估对于维持您的收入流至关重要。不要只听我们的一面之词:以下是SHE BASH首席执行官Bunny Banowsky对此话题的看法。

不要被那些在营销材料上声称覆盖控制项数量最多的供应商所蒙蔽。一个诚实告知他们实际解决的27项控制的供应商才是合作伙伴。一个声称通过借用亚马逊的保安来解决102项控制的供应商,是您业务的负担。

了解其中的区别。仔细阅读评估目标。选择一个重视透明度而非“勾选框”的合作伙伴。要了解更多关于Virtru如何支持您的CMMC合规之旅,请联系我们进行演示。我们很乐意向您展示为何数百家DIB承包商信任我们进行加密、安全的CUI管理。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次