CMMC合规没有银弹:如何识别软件供应商的空洞承诺

本文深入探讨了国防承包商在应对CMMC 2级合规要求时应如何谨慎评估软件供应商的承诺,揭露了供应商通过夸大其共享责任矩阵或声称可“继承”云服务商控制项来误导客户的风险,并强调了透明度和专注于实际数据安全能力的重要性。

No Single Vendor Does It All

要实现CMMC 2级认证,您必须在所需的110个控制项中获得110分的满分。为了帮助寻求认证的组织了解特定供应商如何契合,许多供应商发布了共享责任矩阵或客户责任矩阵。

但是,当一家软件供应商声称能解决110个CMMC 2级控制项中的100多个时,就该仔细阅读细则了。

面对保护受控非密信息所需的大量安全控制措施以及额外成本,寻找能尽可能多地“搞定”CMMC控制项的“简易按钮”是很自然的事。但是,正如格言所说:如果听起来好得令人难以置信,那很可能就是假的。

在评估数据保护软件时,您必须警惕那些玩数字游戏的供应商。目前存在一种令人担忧的趋势,即供应商夸大其共享责任矩阵,声称他们几乎满足了所有110个CMMC 2级控制项。以下是这种营销策略为何危险,以及它为何可能导致更多成本、挫折甚至评估失败的原因。

The Point of CMMC

CMMC合规要求国防承包商证明其能够安全处理CUI。关于CMMC作为合规标准的结构和推出存在很多争论,但几乎所有人都同意,其期望的结果是通过保护敏感信息来加强国家安全。

这就是为什么在这种情况下供应商的空洞承诺如此成问题:它们让国防承包商相信其安全态势比实际情况更强。

在Virtru,我们认为透明度是CMMC合规的最佳策略——我们的CMMC认证客户网络、首席CCA和C3PAO都同意这一点。以下是一位C3PAO最近的看法:

“我欣赏Virtru对待CMMC的方式。不幸的是,其他人缺乏你们的诚信,正在危及客户的安全和合同资格,以及我们的国家安全。”

如果您购买软件来支持CMMC合规之旅,有几个危险信号需要注意。

CMMC Controls vs. Objectives

首先,让我们澄清一下在进行CMMC评估时实际被评估的内容。虽然我们谈论的是CMMC 2级的110个控制项,但评估员不仅仅是勾选110个框。他们正在评估这些控制项内嵌套的320个评估目标。

要通过评估,OSCs需要获得满分,或者在短期内解决任何微小差距的计划(称为行动计划与里程碑)下获得接近满分的分数。您必须向评估员展示您如何满足每一个目标。软件供应商在营销材料(包括其SRM或CRM)中所声称的内容不受任何监管机构的监管。他们可以断言他们“帮助”处理任意数量的控制项。

然而,促进一个控制项(如加密)与完全满足一个控制项之间存在巨大差异。

Don‘t Fall For the ’Inheritance‘ Trap

供应商夸大其数字的最常见方式是声称您可以从他们的云托管提供商(如AWS或Azure)那里“继承”控制项。虽然继承在特定情况下是有效的,但一些供应商将这种逻辑推向了崩溃的边缘。

让我们看一个具体的、真实的例子,看看这在严格审查下是如何站不住脚的:物理保护(PE.3.10.3)。该控制项要求您护送访客并监控访客活动。具体目标要求当访客走进您设施的前门时:

  • 有员工在那里迎接访客。
  • 您公司的某人在他们在您的设施内活动时全程陪同。
  • 访客可能会被发放访客徽章或其他视觉标识。
  • 他们在您设施内的活动受到监控,直到他们离开。

一些数据保护供应商声称在他们的共享责任矩阵中涵盖了此控制项。但是,一个软件如何护送人类访客穿过您的建筑?

某些软件供应商的逻辑通常是这样的:“我们将您的数据存储在AWS中。AWS在其数据中心有人员和处理流程来护送和监控访客,满足了控制要求。因此,您可以继承此控制项。”

需要注意的是,某些“物理”控制项可能超出范围。然而,对于大多数组织来说,这极不可能。

What Your CMMC Assessor Sees

想象一下坐在您的评估员对面。他们已经审查了您的文档,声称您通过软件供应商满足了PE.3.10.3。

评估员会查看您的办公室——您的员工坐在那里并可以访问CUI——然后问:“好吧,但是谁在看现在站在您大厅里的承包商?”或者更糟的是,评估员第一次进入您的办公室时没有人迎接。

如果您的回答是“我的加密供应商负责处理”,您很可能无法通过该目标。反过来,这可能导致您最终评估失败,让您需要额外的工作来解决、更多的成本和更多的挫折。

通常,CUI安全软件供应商对数据进行加密和控制访问;他们不会向您的实体办公室部署物理人员(保安)。声称相反的做法是一种营销策略,而不是合规策略。

Other Pitfalls to Avoid: FedRAMP Equivalency

值得注意的是,许多软件供应商吹捧的是“FedRAMP等效性”而非“FedRAMP授权”。虽然这两个术语看起来很相似,但存在很大差异。如果您的供应商是“等效的”,这意味着您的组织在发生CUI泄露时承担所有风险。如果您的供应商是FedRAMP授权的(在FedRAMP市场上),那么他们负责满足和维护与DFARS要求一致的安全标准——包括事件报告。

Trust Vendors Who are Transparent on CMMC Controls

Virtru不会在CMMC合规方面过度承诺。我们认真对待以数据为中心的安全,这就是为什么我们采取保守和诚实的方法:Virtru帮助您满足110个CMMC控制项中的27个。这些是直接适用于我们能力的控制项。我们处理加密、审计和CUI共享——我们的软件实际做的事情。

当您看到一个供应商声称他们处理100多个控制项时,您需要索取他们的共享责任矩阵,并逐行审核,询问诸如:

  • 他们是否声称对物理安全负责?
  • 他们是否声称对您员工的安全意识培训负责?
  • 他们是否提供持续监控?
  • 是否CUI必须仅在其平台内才能满足目标?

The Bottom Line: Don‘t Let Empty Promises Derail Your CMMC Assessment。

作为安全负责人,您的目标不仅仅是购买软件来勾选CMMC复选框。目标是按照CMMC、DFARS和NIST要求保护CUI,以确保敏感信息得到安全管理。如果您持续处理包含CUI的国防部项目,成功的CMMC评估对于保持收入流动至关重要。不要只听我们的一面之词:以下是Bunny Banowsky,SHE BASH的CEO,就此话题的看法。

不要相信在营销宣传材料上声称控制项数量最多的供应商。诚实说明他们实际解决的27个控制项的供应商是合作伙伴。声称通过借用亚马逊的保安来解决102个控制项的供应商是您业务的负担。

了解其中的区别。阅读目标。选择一个重视透明度而非“勾选框”的合作伙伴。要了解更多关于Virtru如何支持您的CMMC合规之旅的信息,请联系我们进行演示。我们很乐意向您展示为什么数百家国防工业基础承包商信任我们进行加密、安全的CUI管理。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次