大多数美国防务承包商未能满足基本的网络安全要求媒体

近九成美国防务承包商未达基本网络安全标准

据CyberSheath委托的研究显示，近90%的美国防务承包商未能满足基本的网络安全标准。该研究对300家美国国防部(DoD)承包商进行调查，发现仅有13%的受访者在供应商表现风险系统(SPRS)中得分达70分以上，而根据国防联邦采购条例补充(DFARS)，完全合规需要110分。

尽管研究人员指出，系统的批评者偶尔认为70分“足够好”，但大多数承包商仍然未能达到这一最低标准。

CyberSheath首席执行官EricNoonan表示：“报告的结果显示出国家安全面临着明显而迫切的危险。”他进一步指出：“我们常常听到供应链受网络攻击的危险。国防工业基础就是五角大楼的供应链，我们看到尽管承包商处于威胁活动者的视线中，他们的准备仍然是多么不足。”

DFARS自2017年起生效，旨在维护国防工业基础(DIB)的网络安全标准。为了向国防部销售产品，承包商很快需要遵循(CMMC)，预计将于2023年5月生效。研究发现，大多数承包商未遵循DFARS要求，并且未做好未来CMMC合规的准备。

Noonan对SC媒体表示：“这些发现既不‘美观’也‘不惊讶’。”

“经过数十年的IT和网络安全投资不足，以及维持这些投资所需的人力和流程，许多联邦承包商突然需要重塑他们的传统基础设施以应对21世纪的威胁，这对于他们来说是一个巨大的挑战，”Noonan说道。

事实上，根据报告，许多承包商觉得理解CMMC和DFARS的要求非常困难，超过60%的受访者将这一难度评为7分或以上（满分10分）。

“在NIST SP800-171中的要求是经过数十年演变而来的灵活要求，现在变得如此开放和模糊，承包商觉得它们无帮助也就不足为奇，”专注于国防承包网络安全的Summit7首席安全宣传者JacobHorne通过电子邮件对SC媒体表示。

Horne表示，国防部应该提供具体规范、示例和参考架构，以帮助承包商了解如何遵守规定，而不是继续澄清安全要求。

“如果食谱仅关注灵活的‘结果’，例如网络安全法规，那么它们只会包含没有配方的图片，”Horne说道。“行业显然不需要更多的‘保持安全’的警告，他们需要知道如何实现这一目标。”

根据报告，80%的受访者表示他们缺乏脆弱性管理解决方案，而几乎同样比例的人缺乏全面的多因素认证系统。尽管网络安全行业已开发出多种工具和技术来监测已知的数字威胁和恶意网络活动，但很少有承包商显现出使用这些工具的趋势。超过73%的人缺乏端点检测和响应解决方案，70%的人尚未部署安全信息和事件管理系统。

在过去十年里，国防承包商社区一直受到外国情报机关、勒索软件团伙和其他恶意行为者的不断攻击，五角大楼官员和国会已经开始采取措施，更新或执行一系列更严格的网络安全标准，以防止知识产权及宝贵的未分类信息被盗或受到损害，这些信息是美国军事优势的基础。

华盛顿Rogers Joseph O'Donnell事务所的负责人Robert Metzger，和2018年影响力极大的MITRE报告《无