Una oficina de programa adyacente a entornos clasificados. 11 componentes prohibidos, bloqueados en el cable.
Un contratista de defensa federal ejecutó SpacesIQ en la infraestructura AV y de salas de conferencias de una oficina de programa adyacente a entornos clasificados, antes de una revisión de sostenimiento de la Sección 889 de la NDAA. La plataforma identificó 11 componentes cubiertos de proveedores prohibidos, los bloqueó automáticamente en el puerto y produjo el paquete de evidencia para el oficial de contratación en siete días. Proyecto anonimizado a petición del cliente.
El planteamiento
El cliente es un gran contratista de defensa de EE. UU. con varias oficinas de programa que abarcan trabajo de la comunidad de inteligencia, del DoD y de agencias civiles. La oficina de programa en alcance manejaba trabajo adyacente a entornos clasificados que situaba toda la infraestructura AV y de salas de conferencias bajo el cumplimiento de la Sección 889 de la NDAA. Una revisión de sostenimiento programada por el oficial de contratación estaba prevista en tres semanas. La preocupación del responsable de cumplimiento: equipos de telecomunicaciones cubiertos de proveedores prohibidos (Huawei, ZTE, Dahua, Hikvision, Hytera) podrían estar presentes dentro de señalización gestionada por proveedor, cámaras de sala de conferencias o sistemas de pantallas etiquetados con otra marca. La documentación cumplía 889. La documentación no ve cadenas de suministro a nivel de componente.
Por qué CybrIQ
El contratista evaluó CybrIQ específicamente por su capacidad de identificación en Capa 1. NAC y EDR no podían identificar el silicio subyacente cuando un dispositivo se reetiquetaba o cuando había componentes prohibidos incrustados dentro de un producto por lo demás conforme. Los criterios para el caso de uso de cumplimiento 889 eran más estrechos de lo habitual:
- Identificación a nivel de componente. La plataforma debía identificar por firma eléctrica, no por etiqueta de dispositivo o descriptor de proveedor.
- Bloqueo automático en la detección. El equipo prohibido identificado debía ponerse en cuarentena en el puerto sin demora del operador.
- Forma de evidencia para el oficial de contratación. El artefacto debía ser uno que un auditor de DCMA o un oficial de contratación aceptara sin más.
- Postura de despliegue compatible con SCIF. La plataforma debía desplegarse sin cambios a la configuración de control AV existente y sin riesgo para la aprobación de sala segura.
El proyecto
SpacesIQ se desplegó contra la infraestructura AV y de salas de conferencias de la oficina de programa. La plataforma se colocó en el tejido del edificio, pasiva en el cable, sin agente en endpoints monitorizados y sin cambios a la configuración del switch existente. El responsable de cumplimiento y el ISSM (gestor de seguridad de sistemas de información) de la oficina de programa se sumaron a la revisión diaria.
Lo que mostró el cable
- 11 componentes cubiertos identificados en la oficina de programa. Seis estaban dentro de sistemas de cámaras de sala de conferencias etiquetados con una marca de proveedor estadounidense. Tres estaban incrustados en controladores de señalización digital en el vestíbulo y los pasillos de las salas de información. Dos estaban dentro de un kit de videoconferencia ejecutiva que había superado compras bajo otra etiqueta de marca.
- El bloqueo automático se disparó en cada componente en menos de 60 segundos desde la detección. Cada dispositivo prohibido fue puesto en cuarentena en el puerto del switch; el paquete de evidencia para el oficial de contratación documentó el momento de la detección, la firma Device DNA que activó la regla y la acción tomada.
- Dos anomalías de ciclo de reemplazo detectadas. Una cámara que se había sustituido bajo RMA el trimestre anterior sin actualización documental, y un reproductor de señalización que había sido instalado en una visita de mantenimiento del proveedor, también sin registrar.
- Cero falsos positivos en la primera barrida. Cada componente marcado fue confirmado como prohibido bajo 889 por el ISSM durante la revisión diaria.
El resultado
La revisión de sostenimiento 889 se cerró en cinco días laborables sin hallazgos sobre equipo de telecomunicaciones cubierto. El oficial de contratación aceptó el paquete de evidencia por dispositivo de CybrIQ como el artefacto subyacente, fechado y firmado por el cable. El contratista amplió SpacesIQ al resto de oficinas de programa en los seis meses siguientes; ComplianceIQ ejecuta ahora el programa de cumplimiento 889 de forma continua en lugar de en intervalos de revisión programados.
«La revisión anterior fueron tres revisores y cuatro semanas de papeleo. Esta fue el oficial de contratación leyendo nuestro paquete de evidencia.»
ISSM, oficina de programa de un contratista de defensa federal. Cita anonimizada a petición del cliente.
Por qué este proyecto es el de referencia
Este proyecto es la referencia que citamos al explicar lo que el cumplimiento de la Sección 889 de la NDAA en Capa 1 detecta realmente. Los 11 componentes prohibidos se detectaron en el cable por firma, no por documentación; cada uno había superado los registros de compras y la atestación del proveedor. El patrón (equipo de telecomunicaciones cubierto oculto dentro de señalización gestionada por proveedor, cámaras de sala de conferencias o sistemas de pantallas con etiquetas reetiquetadas) se generaliza a contratistas federales y oficinas de programa.
Los números 11-bloqueados, revisión-de-sostenimiento-superada pertenecen a este proyecto. La forma se repite.
Lecturas recomendadas
- El registro de activos miente. Por qué la hoja de cálculo se desvía del cable el primer día y nunca cuadra.
- «Tiene buena pinta» no es evidencia de Capa 1. Lo que un panel ambiental te dice, lo que no.
- Cinco informes, una sola verdad. Mapeo de un único registro de Capa 1 a HIPAA, PCI, SOC 2, NIST CSF y CMMC.
Convierte tu entorno en el próximo proyecto de referencia.
La sesión de trabajo de 30 minutos aterriza la misma forma de evidencia en tu red. Sea lo que sea lo que la auditoría pida a continuación.