2020’de ABD Savunma Bakanlığı, yüklenicilerini NIST standartlarına dayanarak uygun siber güvenlik uygulamalarına sahip olduklarını belgelemek için Siber Güvenlik Olgunluk Modeli Sertifikasyon (CMMC) çerçevesini oluşturdu. İçinde son Kara Uçurtma raporu, ilk 100 savunma müteahhitinin %96’sı en son sürüm olan CMMC 2.0’a uydu. Buna rağmen, şirketlerin zırhında bazı zayıf noktalar vardı.
Black Kite’ın “2021 Üçüncü Taraf Risk Nabzı: ABD Federal Hükümeti” raporu, en iyi 100 savunma müteahhitinin güvenlik hazırlığının çeşitli yönlerine ilişkin performansını derecelendiriyor. Grup, genel olarak fidye yazılımlarını savuşturmaya hazır olduklarını gösteren genel bir B derecesi aldı. Ancak grafiğin gösterdiği gibi, kimlik bilgisi yönetimi yarısından fazlası için önemli bir zayıf noktaydı; 57 şirket F olarak derecelendirdi. Gerçekten de, raporun tamamı, “savunma müteahhitlerinin %42’sinin son 90 gün içinde en az bir sızdırılmış kimlik belgesine sahip olduğunu” belirtiyor.
Çoğu savunma yüklenicisi, saldırı yüzeyi farkındalığı (88 As, 8 Bs), hileli uygulamalar (84 As, 11 Bs, 1 C) ve sosyal medya riskleri (85 As, 9 Bs, 1 C ve) dahil olmak üzere güvenlik duruşlarında iyi puan aldı. 1D). D ve F satırlarında çok sayıda sıfır görebilirsiniz.
Ancak şirketlerin yarısının yama yönetimini iyileştirmesi gerekiyor; 44’ü burada F olarak derecelendirildi ve diğer dördü D kazandı. Diğer zayıf noktalar arasında CDN güvenliği (51 Ds, 9 Fs), uygulama güvenliği (15 Ds, 34 Fs), bilgi ifşa uygulamaları (24 Ds, 16 Fs) ve SSL/TLS gücü (34 Ds, 17 Fs).
Sonuçlar, siber güvenlik uygulamaları için devlet standartlarını karşılamanın gerekli olduğu, ancak hassas bilgileri korumak için yeterli olmadığı fikrini desteklemektedir.
Tamamını görüntüle savunma sektörü raporu Kara Uçurtma üzerinde.