資管所名詞 CMMC(管理組要會!)

《網路安全成熟度模型認證 》（Cybersecurity Maturity Model Certification，CMMC）

一.定義:
鑒於美國整體每年平均因網路安全所造成的損失達6000億美元，2020 年美國國防部宣布，將逐步要求從武器到皮革工廠的供應鏈承包商依據專案機密性不同，須具備相應等級之《網路安全成熟度模型認證 》（Cybersecurity Maturity Model Certification，CMMC）

二.分級:
等級 1 — 基礎網路安全衛生
等級 2 — 中級網路安全衛生
等級 3 — 良好網路安全衛生
等級 4 — 主動防護
等級 5 — 進階／漸進

三.不同等級的目的
等級 1 — 保護聯邦合約資訊 (FCI)、
等級 2 — 過渡以保護受控非機密資訊 (CUI)、
等級 3 — 保護 CUI、
等級 4 和 5 — 保護 CUI 並降低 APT 風險。

補充:APT攻擊

APT攻擊是一種常見的網路攻擊手法之一。
APT總共有三個階段：
階段一：
觀察目標使用者的習慣，找出該使用者經常連線網站。
階段二：
蒐集這些網站的弱點或是程式漏洞，並植入惡意的Javascript程式碼。
第三階段：
當目標使用者連線該網站時，攻擊者可透過社交工程攻擊、惡意程式釣魚等方式達到滲透的目的。