Nolan Johnson and Barry Matties

Divyash Patel是一位杰出的网络安全专家，他警示相关公司应该进入CMMC准备状态。但他并不是有意造成恐慌。无论是从符合国防部CMMC认证要求的角度出发，还是仅仅为了确保公司的数据和流程受到保护，Divyash认为为了公司持续发展，都应认真对待CMMC准备工作。他说，“CMMC是一项必备的合规认证项目，公司需要认真对待和维护。”抱有侥幸心理的冒险不值得。

Nolan Johnson：Divyash，本次采访想深入探讨更多关于CMMC的信息，以及它如何解决目前的网络安全问题。

Divyash Patel：从制造业的角度来看，对于公司处理政府（广义政府，不仅国防部）数据的流程，我看到很多不一致之处。许多制造公司没有关于处理此类信息的流程或正式的网络安全意识培训，尤其是在涉及机密信息，特别是涉及国防部机密信息时。在许多企业中，如同完全公开透明地共享信息。

这让我看到实际情况存在很大的差距。这些公司远未达到最基本的标准，甚至连CMMC一级标准都达不到。这就是问题所在，尤其是当国防部要求在供应链上下游推动合规性时。高管们似乎没有像他们应该的那样认真对待这一问题，但它可能成为继续在国防部供应链内任何级别开展业务的一个障碍。不仅仅是国防部，其他政府机构也将执行CMMC认证。

Johnson：假设我们是PCB组装公司，一个客户送来一块PCB，让我们生产。该PCB恰好用于通用市场上的视觉系统，但后来我们发现，该视觉系统已被指定用于销售给美国军方的监视无人机。作为组装公司，我只是和我的客户一起合作。我不知道PCB最终的用途。现在它用于军事应用。这使CMMC要求一直推到了供应链的上游，不仅对我们公司有要求，而且对我们的上游供应商也有要求。对吗？

Patel：如果你们公司是供应链的组成部分，且你们将处理受控的未分类信息（CUI），那贵公司绝对涉及了CMMC要求。例如，如果贵公司是PCB制造商，该PCB可能是更大组件的组成部分，那贵公司将有责任满足CMMC要求。更重要的问题是，供应链中的任何环节都没有网络安全卫生。除了国防部之外，那些没有CMMC等合规要求的公司也没有像他们应该的那样认真对待安全问题。是的，CMMC将波及供应链上下游，至少对于那些制造这些PCB的制造商来说是如此。

缺乏信息是最薄弱的环节

Johnson：是否可以更详细地阐述网络安全卫生？

Patel：举个例子。网络安全卫生是指在整个组织内进行安全意识培训，进行访问控制，并遵守电子邮件等办公生产工具的网络安全最佳实践（禁止点击来自未知来源的链接，禁止与供应商共享敏感文件等）。

网络安全卫生不是按“我们一贯的方式”做事。例如，那些通过电子邮件共享机密文件的人从未遵循ITAR或网络安全卫生流程。ITAR表示，使用者不能通过电子邮件将CUI文档转发给供应商，但许多人根本不知道。

这种状况突出了网络安全卫生培训的必要性。

那些更认真对待CMMC的公司要求其供应商填写一份简单的网络安全问卷。问题包括：

•如果我们向贵公司发送此类信息，贵公司会如何处理？

•贵公司发送的是什么类型的信息？

•贵公司是否将电子邮件作为主要的信息传递方式？

•贵公司是否也有安全的文件传递方法？

•贵公司如何控制这些信息？

该公司表示，“我们已经达成了一份很好的客户协议，我们必须遵守规定的要求。”ISO有公司需要遵守的某些强制要求。但在某些情况下，有些公司并没有按应有的方式管理执行，现在仍可以通过电子邮件接收机密未分类信息。

那封电子邮件会怎么处理？员工了解他们刚刚收到的信息吗？

这个行业的问题是没有人维护安全态势。我曾多次看到这样的情况，公司一开始的协议是干净的，但故障可能只是简单的端点没有打补丁和保持更新。这是简单的网络安全卫生。人们喜欢定期洗澡，感觉干净。网络安全卫生也需要定期维护更新。

Barry•Matties：那么风险是什么？他们忽视网络安全领域会危害到什么？

Patel：针对电子制造服务（EMS），可以发现有许多类型的设备，如回流炉、AOI/SPI设备、钢网印刷设备、焊接炉及其他设备。如果不更新固件、安全或操作补丁，它们很容易受到攻击。我们在EMS公司中多次看到这种情况，勒索软件进入，或者他们利用漏洞，然后对整个公司造成严重破坏。

另一个例子。一位客户正在使用20世纪90年代的Windows NT系统运行较旧的生产线组装设备。该设备可运行和生产，而且更换成本高；它在做它需要做的事情。然而，从安全的角度来看，我们并未隔离对其运行至关重要的旧生产线装配设备或报废系统。

这是一场不同的比赛，今天的网络攻击者都在追逐这类设备。制造业是有发展历史的行业，且仍在不断发展。它一直无法应对黑客攻击。一旦建立了一家制造公司，就会只考虑生产产品并将其推向市场。公司的重点是保证最底收入，而不会考虑公司的弱点。攻击者不是想在网络上随意玩乐的人。他们有目标。他们发现漏洞，利用漏洞，然后提出勒索资金要求。这是制造行业的严重问题。

Matties：你提到一件旧设备是黑客的切入点。这是最常见的切入点吗？与设备相比，电子邮件有多普遍？

Patel：切入点通常是通过电子邮件或网络钓鱼骗局。这种方式的成本低。

Matties：电子邮件的危险信号是什么？如何保护公司免受此类电子邮件的侵袭？

Patel：它通常涉及最终用户的安全意识培训。对于想要保护电子邮件的公司来说，最大的挑战是知道要寻找什么。这很简单，“你知道谁在给你发这封电子邮件吗？”很多人点击链接，因为链接上写着“点击此处”和“这样做”。终端用户没有经过充分的培训，不知道该看什么。如果你在等一封电子邮件，你了解发电子邮件的人吗？即使你确实“认识”他们，他们要求你做什么？听起来像他们的要求吗？你必须更有判断力，注意到所要求的东西。

在一个案例中，财务人员被要求向其供应商发送11万美元的应付账款。财务人员注意到这封电子邮件来自公司CEO，这表明这封电子邮件是合法的。然而，电子邮件发件人要求更改供应商银行信息。为什么？该请求是在交易的最后一小时提出的。财务人员突然想到一些事情，询问CEO是否发送了这封电子邮件；答案是“否”。事情就是这样发生的。点击电子邮件，突然有东西在后台运行，比如键盘记录系统之类的东西。这个链条是从一个简单的电子邮件开始的。这往往是切入点。

Matties：这是一个非常脆弱的要保护的点，因为公司依赖于使用者的判断。

Patel：但如果公司有经过培训和有判断力的使用者，就不会那么容易受到攻击。在减少漏洞方面要问的下一个问题是，IT人员是否知道如何在生产现场使用该技术。在合同制造组织或电缆装配厂，你可能会有电缆剥离机之类的设备。这些设备易受攻击吗？您对贵公司运行系统的漏洞了解多少？这会告诉你整个公司的易受攻击性。

Johnson：在这种情况下，政府系统的主承包商如发现在供应链的某个环节中其产品的某个组件出现违约，他们要以某种方式进行制裁或处罚。当然，实施CMCC认证后，主承包商将开始负责一切，包括其供应链上游的所有CMMC认证。他们必须负责。

Patel：没错。

Matties：上游公司也面临风险？

Patel：供应链中的每个公司都会受到这样或那样的影响。上游供应商受到的影响最大。如果事件发生在下游供应商，公司有适当的控制措施，如果发生违约，会发生什么情况？它影响到从这一点开始的上游的所有人，也可能影响到下游。它影响到供应链上的每个人。

这就是为什么供应商风险评估如此重要。ISO主要要求这一点，但还有其他合规性，国防部基于NIST 800-171，但修改非常严格。CMMC一级是最简单的级别，但现在仍有许多公司无法自证合规性。其他公司可能需要符合CMMC二级，这一级需要构建更多的控制措施。这取决于公司与国防部的业务性质。

上述内容重点讨论了减少风险。如已发生违约或事故，公司有什么样的事故响应计划？例如，贵公司是否将发生的情况通知了上游供应商？公司是否有能力确定违约的内容、采取的措施以及可能对业务及业务伙伴造成的影响？在我看到的许多EMS公司中，这些事项还远远没有准备到位。

不认真对待

Matties：如果这些公司不认真对待CMCC，这是为什么？如果惩罚足够严厉，显然他们会认真对待。还是他们只是愿意抱着侥幸心理？

Patel：他们只是不明白CMCC的重要性。举个例子。今年在圣地亚哥的IPCAPEX展会上，我和一位CEO讨论了CMMC。他说：“我不在乎，因为我与国防部没有任何业务往来。”嗯，也许你没有直接的国防部客户，但贵公司是否与国防部供应链中的其他供应商有业务往来？

当HIPAA首次问世时，医疗保健供应商拒绝认真对待它。他们只是说，“我们会在必要的时候处理它。”25年后，我们的行业在安全问题上也有类似的想法。一位高管说了两种反应态度。那些采取更积极主动态度的公司会问：“我们该做什么？我们公司的网络安全目前处于什么水平？”持另一种态度的公司反应是，“我不了解CMCC，我们与国防部没有合作业务。”那些积极主动的公司了解，影响更大的问题即将到来，我们现在需要认真对待。那些不认真对待CMMC的公司通常会对网络安全过于放松；他们坦言不在乎，这很可怕。

Matties：现在大部分旧设备都以某种方式在线，以某种方式与网络连接，对吗？

Patel：是的。一切都与网络相连，设备可以通过某种方式连接到互联网。

Matties：在许多情况下，OEM或设备制造商会在远程接入点重新接入该设备进行更新。这些也是易受攻击的开放点。

Patel：是的。假设一家EMS公司的生产线有一台空气压缩机。为了报告这些生产线上的错误，压缩机可能会发送事件或维护通知。它们与网络相连，并与其他系统通信。人们并没有认识到。空气压缩机可以使用WiFi联网。这些设备中有物联网设备和许多报告信息的传感器。我们可以得到各种各样的结果。这些设备都在网络上。

公司可以获得网络内部运行系统及设备的清单，不仅有计算机，还有物联网传感器等设备。AOI设备在网络上吗？它们在做什么？它们是否因为与其他设备通信而必须连接？它们能被隔立吗？我的建议是获得一份清单，然后了解漏洞在哪里。回到固件或制造商那里，检查固件的更新情况；采取积极主动和有分寸的方法。

Matties：无论是在个人生活中，还是在工业4.0中，我们都看到有大量物联网传感器涌入。每个传感器都将被连接，因此每个传感器也是一个接入点。EMS公司如何引入传感器并了解它们是安全的？这种担忧应该有多大？

Patel：可以进行漏洞扫描——包含所有已发现漏洞的数据库。比如说，一家公司每季度运行一次漏洞扫描，他们可以发现被引入的新设备；他们可以查看这些设备上是否存在漏洞。如果不想这样做，最简单的方法就是运行漏洞扫描软件。它将返回一份可能不到50页或数千页的报告。例如，我们对一家15人公司进行了漏洞扫描，结果发现有1000个漏洞。

你会发现软件系统操作很简单，“这是我的网络。去找到所能找到的漏洞。”软件系统会自动扫描整个网络，寻找漏洞。

远程网络

Matties：我们一直在谈论工厂，在远程工作环境中，我们必须重新考虑网络安全。现在，所有这些家庭网络都连接到了公司网络。关于这一点，你会向公司提出什么建议？

Patel：对于远程运行的客户，我们设置了虚拟桌面，让他们能够连接到工作场所。当疫情第一次来袭时，那些有先见之明的公司构建了虚拟环境，这样即使员工在家里的电脑而不是公司分配的电脑上工作，也仍然是安全的。员工需要登录到公司系统才能完成工作，他们必须登录到虚拟桌面。

虚拟桌面是受控的；即使他们在没有任何安全措施的情况下使用他们的微软家用电脑，公司的安全控制措施也会起到作用。对于那些真正在家工作的人，可查看虚拟桌面，利用公司可以控制的网络安全，而不是依靠家庭用户的PC来确保公司数据的安全。

CMMC规划策略

Johnson：制造商面临人员短缺。自动化、增加传感器和使工厂更加数字化正成为重要的关注点，因为公司可能无法雇佣所有想要的员工。同时，他们需要增加额外的安全性，并致力于认证，以便他们能够继续留住客户和获取最高收入。这两个要求确实存在分歧，但它非常有力地说明，制造商需要有非常一致、可测量、有记录的网络安全流程，尤其是对于CMMC。

Patel：是的，我认为网络安全流程可以很简单。它不一定是这份100页的网络安全文件。一级有17项要求，是网络安全卫生的基础。CMMC一级并不像人们想象的那样繁重。

现在对于CMCC一级认证，基本问题是：

•谁可以访问什么信息？

•是否有在公司环境中运行系统的清单？

基本卫生不一定是繁杂的网络安全文件。

现在，当公司想达到CMCC二级时，有更多要求；当然，公司应该有网络安全计划，或者与一家可以为公司监控这些事项的公司合作。

在CMCC一级，公司只需要具备基本措施。了解必须有的政策和程序。例如，部署新使用者PC或设备时，必须考虑：

•有检查表吗？

•是否验证了设备上的固件或是否安装了安全软件补丁？

•是否正在部署计算机？

•是否具备恶意软件保护等基础设施？

•使用者是否接受过安全意识培训？

根据公司的具体情况，可能就这么简单。它不一定是只有网络安全专业人员才能了解如何阐释的措施和程序。保持简单；列出网络中运行的所有设备的清单，确保使用者经过培训。

接下来，公司的系统是否物理安全？如果现场有服务器，是否有服务器房间的锁和钥匙？谁可以访问公司的ERP？他们有哪些职责？销售团队是否可访问仓库团队的工作并有权限完成库存团队的工作？从技术上讲，他们不应该这样做。如果有简单的文档记录，即可以满足许多CMMC一级要求。现在，在一般公司，每个人都可以访问整个文件服务器，销售人员可以访问公司质量部门文档。没有任何控制，对于所有员工都是开放的。我已经多次见过这种情况了。

Johnson：处于特定的CMMC级别意味着什么？如果公司完成了CMMC一级认证，公司是否完全有资格从事国防部或政府生产？如果是，为什么还需要其他CMMC级别？

Patel：一级应该是起点，有助于公司评估是否需要完成CMCC二级认证。公司涉及受控的未分类信息时需要完成CMCC二级认证。许多制造公司应该从一级开始。随着供应链的升级，供应商开始进入国防部项目时，他们则需要进行CMCC二级认证。

Johnson：你能量化一下吗？获得CMCC一级认证需要完成什么工作？需要什么资源？需要多少费用？

Patel：如果没有公司运行的所有系统的任何文档或清单，那么需要投入时间和精力收集、构建和组织这些信息。假设有50%的基础；查看要求，核对现有工作，解决发现的任何差距。

例如，EMS公司A没有任何准备；它配置有一个大型开放网络，没有网络安全流程或程序。从零开始需要做大量的工作。根据组织规模和设备数量，构建系统文档和流程可能需要6个月到1年。

如果已经做了一些准备工作，可能需要3~6个月。完全取决于公司目前的状况、记录了多少信息，以及他们的积极性。

但如果公司什么都没有准备好，是时候考虑着手CMCC准备工作了。就在最近，有公告称，到明年这个时候，必须符合CMMC一级自我认证要求。很多公司已经远远落后了。

Johnson：这是一个最适合雇佣顾问或承包商的流程吗？

Patel：是的，因为即使是CMMC一级，在阐释国防部真正想要的东西时也可能会存在很多歧义。IT有一套理解，但公司需要以一种可以自我证明合规性的方式来安排。需要构建适当的方法来维护和控制CMMC一级要求。必须确保员工遵循流程，而不仅仅是为了遵守自我证明要求而做。必须认真对待并妥善维护。

公司的领导者必须对整体安全采取更好的方法。这是一项重要的工作。它可能导致业务中断、收入损失，最坏的情况是，公司倒闭。如出现问题，可能会影响他们的声誉。顾问可以帮助公司保护自己。

Matties：您是否建议使用CMMC一级作为审计要求？

Patel：是的，或者更准确地说，作为自我证明练习。无论是CMMC还是两年后发布的另一项标准，一级都含有基础部分。不过，我提醒大家，不要为了这个字母缩写而这么做。正如我多次强调的，制造公司必须认真对待这些事项。制造业是较老的行业，它们通常都有生产系统，一旦开始生产，就不想受到外来事件的影响。公司不会再回去检查他们是否仍然安全。

Matties：我认为你提出了很好的观点。公司的IT部门将帮助设置信息收集点、传感器和所有服务器，但它必须是持续的过程。这需要商业情报或网络安全情报人员或顾问。

Patel：是的，没错；维护和监控是关键。例如，在ISO 9001中，文件控制部门帮助维护与其工艺和程序相关的质量管理体系。CMCC具有相似的思想，相似的概念；是持续的过程。

网络安全投资回报率：按预算实施

Matties：除了勒索软件攻击导致的公司关闭之外，如何证明投资回报率？他们是否有一线希望可以找到一些新的产能机会？例如，作为一家组装厂，我在这方面投入了很多资金，因为我必须这么做。这就像买保险；保护自己免受灾难性事件的影响。除去保护方面外，是否存在投资回报率？他们是否可以从中受益？也许是因为公司现在遵守了一些网络安全协议，所以能够以更高效和最佳的方式更新和维护设备，从而增加产能？

Patel：是的，是这样，但CMCC与购买保险并不完全一样，因为保险不会帮助公司免受勒索，也不会帮助公司赢得更多业务。虽然网络安全是制造公司需要支付的额外费用，但如果有这些安全协议和文档，公司将在市场中获得可信度，将赢得客户的信任。此外，一般来说，拥有合规认证可以为公司吸引更多业务。

如果其他公司不这样做或未认真对待这些事情，这些供应商将失去潜在的商业机会。

就投资而言，假设公司每月投资预算为1000美元，将使公司能够建立正确的安全协议并遵从合规性要求，这可能是公司的竞争对手没有做到的。然后，公司可以向潜在客户展示所实施的网络安全计划。则客户更有可能想和贵公司做业务。同时，这样也可保护贵公司。有投入的公司将获得更多的收入份额。

Matties：同意你提出的1000美元案例观点：公司投入资金构建CMCC，是需要付出一定成本的提议？

Patel：是需要付出成本的提议，但比不这么做的风险要小得多。

Matties：我明白了。不过，有些公司还是会存在侥幸心理。他们没有资源。如果没有资源怎么办？正如你所指出的，利润正在收紧。

Patel：今年一月刊的《SMT007杂志》刊登了一篇关于有两家工厂公司的违规行为文章。这两年的收入损失是多少？

Matties：我们对他们做了跟踪报道，真的很值得关注。他们和联邦调查局一起坐在会议室里，听取是否支付赎金的建议。这就演变为了是否能保持公司继续开办的问题。他们陷入了可怕的境地。

Patel：真是一团糟。公司成了犯罪现场。我认为网络安全卫生现在是商业计划的组成部分，必须得到适当的预算和资金支持。

Matties：我同意，另一个投资回报率是因为公司提升了网络安全而增加的市场价值。你可以证明这一点。

Patel：CMCC是必须具备的合规项目，就像ISO一样，可以显示公司的网络安全状况。一级的成本不一定很高。它只需要认真对待和维护，这样以后的实施成本就不会太高。

Matties：对。这是很好的建议。

Johnson：ISO通常是“最好能具备的”认证。很多公司都要求通过ISO认证。必定会有客户压力要求确保公司通过ISO认证。但是，CMMC，特别是如果公司想进入国防部供应链，将不仅仅是“最好能具备的”认证，你要么具备，要么不具备。如果不具备CMMC，公司就不能进入国防部供应链。

Patel：我对CMMC和公司的普遍看法是：不管发生什么情况，都要努力具备CMCC。这是基础。CMMC基于标准NIST 800-171构建。只要通过CMMC一级，公司的处境就会比昨天好得多。保持这种态度对任何业务都至关重要。不管公司是否与国防部做业务；即使贵公司是一家只有10人的小公司，也要控制大发展环境。

Matties：好建议。谢谢你，Divyash。

Patel：谢谢你们。