Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosBlog
Requisitos de Cibersegurança do DoD: Dicas para Conformidade

Requisitos de Cibersegurança do DoD: Dicas para Conformidade

Sep 28, 2022

Os sistemas de TI e os dados do Departamento de Defesa (DoD) e sua rede de contratados são uma questão de segurança nacional. Assim, o DoD mantém requisitos de cibersegurança que as organizações devem cumprir para serem fornecedores aprovados pelo DoD.

Este artigo oferece uma visão geral dos documentos mais pertinentes que informam as expectativas de cibersegurança do DoD para organizações da base industrial de defesa (DIB), uma revisão de frameworks úteis e dicas para implementar os requisitos do DoD.

Conteúdo relacionado selecionado:

Quais são os requisitos de cibersegurança do DoD?

Os requisitos para cibersegurança podem ser encontrados nos seguintes três documentos, que se apoiam e referenciam mutuamente:

  • Defense Federal Acquisition Regulation Supplement (DFARS) — A cláusula 252.204-7012 delineia as expectativas para a higiene cibernética das organizações DIB.
  • NIST 800-171 — Com base no DFARS, NIST 800-171 fornece diretrizes detalhadas para que as empresas avaliem suas práticas de cibersegurança.
  • CMMC — O CMMC oferece um plano claro para organizações DIB atingirem a certificação de higiene cibernética necessária para serem um fornecedor aprovado do DoD.

DFARS

DFARS estabelece os requisitos para empresas que fazem negócios com o Departamento de Defesa. A cibersegurança está coberta sob a cláusula 252.204-7012, “Proteção de Informações de Defesa Cobertas e Relatório de Incidentes Cibernéticos.”

Quais tipos de dados devem ser protegidos?

Os requisitos de cibersegurança do DoD protegem dois principais tipos de registros digitais e físicos: Controlled Unclassified Information (CUI) e Federal Contract Information (FCI)

CUI inclui o seguinte:

  • Informação pessoal identificável (PII)
  • Informações Comerciais Proprietárias (PBI)
  • Informação Técnica Controlada Não Classificada (CTI)
  • Para Uso Oficial Somente (FOUO)

FCI inclui os detalhes de um contrato entre o governo e uma organização. FCI não inclui informações que já são de conhecimento público (como as disponíveis em sites do governo) ou informações transacionais. PCI nunca é destinado à liberação pública.

Organizações que desejam trabalhar com o DoD precisam ser capazes de identificar o CUI e o FCI que armazenam e processam, para que possam protegê-los de acordo com os requisitos do DoD.

Quem precisa estar em conformidade?

Embora os padrões do DoD forneçam diretrizes úteis para a cibersegurança em geral, eles são um requisito para algumas empresas. Qualquer contratado que trabalhe com o DoD e que armazene, processe ou circule CUI deve cumprir com os padrões DFARS. Isso inclui garantir que todos os dados não classificados do DoD estejam protegidos com salvaguardas adequadas, minimizando vulnerabilidades do sistema e potenciais consequências de uma violação, e implementando boas práticas de relatório de incidentes.

NIST 800-171

Em resposta ao DFARS, o Instituto Nacional de Padrões e Tecnologia (NIST) desenvolveu o NIST 800-171 para fornecer uma análise detalhada das melhores práticas de higiene cibernética. Especificamente, o NIST 800-171 é projetado para ajudar os contratados do DoD a proteger dados CUI. Ele não abrange a proteção para dados FCI.

Famílias de controle NIST 800-171

NIST 800-171 divide os controles de segurança nas seguintes 14 famílias:

1. Controle de Acesso

Monitore todos os eventos de acesso dentro de um sistema e limite o acesso de cada usuário a sistemas e dados ao mínimo necessário para realizar seu trabalho.

2. Conscientização e Treinamento

Garanta que a equipe receba treinamento suficiente sobre políticas de segurança, práticas e riscos apropriados ao seu privilégio de acesso. Treine regularmente para que os usuários estejam preparados para responder a ameaças.

3. Auditoria e Responsabilidade

Mantenha registros de auditoria adequados, práticas de gestão de logs e relatórios de auditoria. Limite o acesso aos sistemas de auditoria.

4. Gerenciamento de Configuração

Configure o hardware e o software para restringir o acesso a recursos e programas não essenciais e impedir a instalação de software não autorizado.

5. Identificação e Autenticação

Previna o uso não autorizado de sistemas implementando autenticação multifator (MFA) e políticas de senha fortes.

6. Resposta a Incidentes

Desenvolva e teste procedimentos para garantir a detecção e resposta rápidas a ameaças.

7. Manutenção

Realize manutenção do sistema para prevenir a divulgação de CUI. Monitore funcionários, impeça o uso de dispositivos com CUI fora do local de trabalho e verifique mídias para códigos maliciosos.

8. Proteção de Mídia

Controle o acesso, proteção e descarte de mídias que contêm CUI. Use criptografia para proteger dados digitais.

9. Proteção Física

Previna hardware, software, redes e dados contra danos físicos limitando o acesso e mantendo registros de auditoria

10. Segurança de Pessoal

Monitore a atividade dos usuários, especialmente em torno de mudanças de pessoal.

11. Avaliação de Risco

Realize testes de vulnerabilidade dos sistemas e avalie frequentemente os riscos potenciais para a sua organização.

12. Avaliação de Segurança

Defina os limites do sistema e implemente um plano para reduzir vulnerabilidades. Refine frequentemente os requisitos de segurança.

13. Proteção de Sistemas e Comunicações

Assegure a comunicação de CUI. Utilize redes ou sub-redes separadas para informações não protegidas e defina padrões para negar comunicações de rede (lista de permissões).

14. Integridade do Sistema e da Informação

Identifique rapidamente falhas no sistema. Responda imediatamente a violações de segurança e erros do sistema. Atualize o software de segurança assim que novas versões forem lançadas.

Mais detalhes sobre os controles NIST 800-171 podem ser encontrados aqui.

Conteúdo relacionado selecionado:

Atualizações do NIST

NIST 800-171 foi criado em 2015 e recebe atualizações periódicas. Sempre que ocorre uma atualização, os contratados têm um prazo determinado para alcançar a conformidade com as novas regulamentações ou arriscam perder seu status de fornecedor aprovado junto ao DoD.

CMMC

Enquanto a DFARS clause define as melhores práticas para a cibersegurança empresarial, a Cybersecurity Maturity Model Certification (CMMC) avalia a qualidade dos programas de cibersegurança de uma organização e fornece um conjunto de certificações que atestam essa qualidade. Essas certificações padronizam a aprovação de fornecedores do DoD. As certificações CMMC aplicam-se tanto a dados FCI quanto CUI.

A quem se aplica o CMMC?

Os padrões CMMC aplicam-se a todas as organizações que recebem financiamento do DoD para conduzir negócios ou prestar serviços. Referido como o complexo industrial de defesa, isso inclui mais de 300.000 organizações que fornecem bens ou serviços para o DoD.

Cronograma CMMC

Praticamente qualquer pessoa que tenha acompanhado a evolução do CMMC tem dúvidas sobre o cronograma. Após a versão 1.0 e as subsequentes “regras intermediárias” para o CMMC, a segunda versão da certificação foi lançada em novembro de 2021. No entanto, ainda não entrou em vigor; o CMMC 2.0 ainda está no processo de elaboração de regras, o que pode levar até dois anos.

Isso não significa que os padrões de certificação não devam ser uma prioridade para as empresas. Os contratados estão priorizando a conformidade com os novos padrões em suas cadeias de suprimentos na esperança de sair na frente. A conformidade com o CMMC 2.0 também alinhará sua empresa às diretrizes do NIST 800-171.

Níveis de conformidade CMMC

O DoD fez várias alterações entre o CMMC 1.0 e o 2.0 para simplificar os níveis de conformidade. A primeira versão tinha cinco níveis com diferentes padrões de avaliações. Na versão 2.0, existem três níveis de conformidade CMMC, dependendo do tipo de dados e da intensidade do contrato com o DoD. Os diferentes níveis têm diferentes expectativas para as avaliações. Consulte o gráfico abaixo para mais detalhes sobre os níveis de conformidade do CMMC 2.0.

Nível

Tipo de Avaliação

Quem Deve Cumprir

Nível 1. Fundamental

Avaliações de autoavaliação anuais de autoavaliação

Empresas que lidam apenas com FCI

Nível 2. Avançado

Avaliações de terceiros a cada três anos e autoavaliações anuaisAvaliações de terceirosavaliações

Empresas que lidam com CUI

Nível 3. Expert

Avaliações adicionais lideradas pelo governo a cada três anos

Especificados em contratos individuais do DoD

Como cumprir com o CMMC

A adesão ao CMMC requer conformidade com os 17 conjuntos de padrões. Estes incluem as 14 famílias de controles do NIST 800-171 revisadas acima e os seguintes três grupos adicionais:

Área Adicional

Descrição

Recuperação

Crie um plano de recuperação em caso de data breach ou perda.

Consciência situacional

Compreenda seu ambiente de TI para aprender eficientemente sobre ameaças cibernéticas e responder a elas adequadamente.

Gestão de Ativos

Identifique ativos, particularmente dados CUI, e defina seus procedimentos para manipulação e classificação desses ativos.

Para suporte, baixe esta CMMC compliance starter checklist.

Frameworks DoD

Como vice-CIO ou CISO de uma organização afiliada ao DoD, você pode achar os requisitos do DFARS, NIST e do CMMC avassaladores. Mas uma riqueza de recursos está disponível para ajudá-lo a alcançar a conformidade com a cibersegurança do DoD, como esta compilação de material de referência. Abaixo, fornecemos recursos úteis para ajudá-lo com muitos aspectos críticos da conformidade.

Desenvolvendo uma estratégia de cibersegurança

As organizações devem criar uma estratégia de cibersegurança de 4 a 5 anos que lhes permita modificar processos e implementar controles. Os seguintes recursos podem ajudá-lo a criar uma estratégia sólida de cibersegurança:

Construindo redes defensáveis

Construir uma rede defensável requer a implementação de monitoramento, automação, detecção de ameaças e ferramentas e processos de resposta a incidentes. Os seguintes recursos podem ajudar:

  • FIPS 199 — Fornece categorias padronizadas para sistemas de informação federais com base no seu nível de risco, o que pode ajudar a estabelecer prioridades para sua estratégia de segurança
  • FIPS 200 – Define os requisitos mínimos de segurança dependendo do nível de risco da informação e explica o processo de seleção de controles de segurança com base no nível de risco da sua informação
  • NIST SP 800-53 — Fornece um catálogo de controles de segurança e privacidade para sistemas de informação federais e organizações e um processo para selecionar os controles apropriados

Estabelecendo proteção de infraestrutura crítica

A proteção de infraestruturas críticas (CIP) refere-se a uma estratégia abrangente de criação de sistemas, redes e bancos de dados resilientes. Isso inclui a prevenção de danos e a proteção de dados, bem como a mitigação de incidentes, resposta e recuperação. Existem muitos recursos para planos e políticas de CIP que podem apoiar CIOs e CISOs. Por exemplo, as normas ISA/IEC 62443 fornecem ferramentas de segurança e melhores práticas para proprietários de ativos, prestadores de serviços e fornecedores.

Gerenciando acesso

Os seguintes recursos podem ajudá-lo a gerenciar adequadamente o acesso aos seus dados, aplicações e outros ativos de TI:

  • NIST SP 800-60 — Informa as práticas de gerenciamento de acesso fornecendo orientações para categorizar informações como CUI e controlar quem tem acesso a elas
  • NIST SP 800-133 — Ajuda você a proteger dados sensíveis usando algoritmos criptográficos aprovados

Compartilhando informações

Compartilhar informações sobre ameaças cibernéticas e atacantes é crucial para reforçar a segurança cibernética. Os seguintes recursos podem ajudar.

  • DoD Cyber Exchange — Fornece orientações e treinamento para profissionais de cibersegurança dentro e fora do DoD

Construindo uma força de trabalho em cibersegurança

Os seguintes recursos podem ajudá-lo no processo de integração, qualificação e gestão de pessoas que trabalham em TI ou cibersegurança:

  • NIST SP 800-16 — Fornece conceitos para treinamento em segurança de TI no ciberespaço moderno, permitindo flexibilidade para softwares e tecnologias futuras
  • NIST SP 800-100 — Fornece orientações para gestores sobre a criação de um programa de segurança da informação

Dicas para manter-se seguro no ciberespaço

O Centro Nacional de Integração de Cibersegurança e Comunicação (NCCIC) compilou sete estratégias-chave para começar a cumprir com os padrões de higiene cibernética do DoD:

  • Utilize a lista de permissões de aplicativos (AWL) — Defina uma lista de softwares aprovados e bloqueie todo o resto. Isso é muito mais eficaz do que tentar colocar na lista negra todos os aplicativos indesejados.
  • Pratique uma configuração adequada e gerenciamento de patches — Implemente configurações de linha de base seguras e corrija prontamente qualquer desvio. Garanta que as atualizações críticas sejam aplicadas em tempo hábil.
  • Reforce a segurança da sua rede — Minimize os potenciais pontos de entrada para atacantes e segmente sua rede em vários enclaves para quarentenar os atacantes.
  • Implemente autenticação multifator — Use MFA, especialmente para contas com acesso privilegiado a CUI.
  • Acesso remoto seguro — Controle o acesso remoto usando MFA e padrões controlados pelo operador e limitados pelo tempo. Verifique regularmente a existência de backdoors ocultos que poderiam permitir que atacantes ganhassem acesso remoto a um sistema.
  • Monitore constantemente os sistemas — Para acelerar a detecção e resposta a ameaças e garantir responsabilidade, implemente monitoramento contínuo com inteligência de ameaças para o tráfego IP nas fronteiras do ICS, tráfego IP dentro da rede e atividade da conta de admin.
  • Estabeleça e teste regularmente um plano de resposta a incidentes — Crie um plano de resposta abrangente para incidentes de segurança. As ações de resposta podem incluir desconectar todos os dispositivos da internet, desativar contas específicas, isolar segmentos de rede, realizar uma busca por malware e exigir imediatamente uma redefinição de senha. Teste e revise o plano periodicamente.
  • Desenvolva um cartão de pontuação de cibersegurança de acordo com os padrões e estruturas do DoD — Um cartão de pontuação ajudará você a medir seu progresso em direção a uma cibersegurança mais robusta.

Como a Netwrix pode ajudar

Alcançar e manter a conformidade com os padrões de cibersegurança do DoD é necessário para obter um lugar na lista de fornecedores aprovados pelo governo. Netwrix solutions oferecem uma abordagem holística aos desafios de cibersegurança, protegendo sua organização em todas as principais superfícies de ataque: dados, identidade e infraestrutura.

Saiba mais sobre nossas principais soluções:

Compartilhar em

Saiba Mais

Sobre o autor

Asset Not Found

Kevin Joyce

Diretor de Product Management

Diretor de Product Management na Netwrix. Kevin tem uma paixão por segurança cibernética, especificamente em compreender as táticas e técnicas que os atacantes usam para explorar os ambientes das organizações. Com oito anos de experiência em product management, focando em Active Directory e segurança do Windows, ele levou essa paixão para ajudar a construir soluções para organizações protegerem suas identidades, infraestrutura e dados.

Saiba mais sobre este assunto

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

O que é Gerenciamento de Registros Eletrônicos?

Análise de Risco Quantitativa: Expectativa de Perda Anual

Últimos blogs

Os próximos cinco minutos de conformidade: construindo segurança de dados com foco em identidade em toda a APAC

Gerenciamento de configuração para controle seguro de endpoint

Classificação de dados e DLP: Previna a perda de dados, comprove a conformidade

Conformidade com CMMC e o papel crítico do controle de USB estilo MDM na proteção de CUI

DSPM, ASM e ITDR: Construindo uma Estratégia de Segurança Consciente da Exposição e Orientada por Dados

De ruído a ação: transformando risco de dados em resultados mensuráveis

IA no Trabalho: Velocidade, Risco e Por Que a Simplicidade Vence

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

Nossos principais artigos

Tipos Comuns de Dispositivos de Rede e Suas Funções

Como Executar um Script do PowerShell a partir do Agendador de Tarefas

Como instalar e usar o Active Directory Users and Computers (ADUC)?

Baixe e instale o PowerShell 7

Os Maiores e Mais Notórios Ataques Cibernéticos da História

Comandos Essenciais do PowerShell: Um Guia de Consulta Rápida para Iniciantes

Uma visão geral do ataque cibernético da MGM

Extração de Hashes de Senha do arquivo Ntds.dit

Guia para Montar Compartilhamentos Unix com um Cliente NFS do Windows

Como Portas Abertas Inseguras e Vulneráveis Representam Sérios Riscos de Segurança