CISA a emis prima directivă operațională obligatorie a anului (BOD 25-01), ordonând agențiilor federale civile să-și securizeze mediile cloud prin implementarea unei liste de baze de configurare securizate (SCBs) obligatorii.
Deși CISA a finalizat SCB-urile doar pentru Microsoft 365, planifică să lanseze linii directoare suplimentare pentru alte platforme cloud, începând cu Google Workspace (prevăzut să intre în sfera de aplicare în T2 al AF 2025).
Această directivă la nivel guvernamental își propune să reducă suprafața de atac a rețelelor federale prin impunerea unor practici securizate obligatorii pentru serviciile cloud, pentru a proteja sistemele și activele Executive Branch (FCEB) civile federale.
BOD 25-01 solicită agențiilor FCEB să implementeze instrumente automate de evaluare a configurației dezvoltate de CISA (ScubaGear pentru auditurile Microsoft 365), să se integreze cu infrastructura de monitorizare continuă a agenției de securitate cibernetică și să remedieze orice abateri de la bazele de configurare securizate în intervale de timp predefinite.
„Incidentele recente de securitate cibernetică subliniază riscurile semnificative generate de configurațiile incorecte și controalele de securitate slabe, pe care atacatorii le pot folosi pentru a obține acces neautorizat, a exfiltra date sau a perturba serviciile”, a declarat CISA astăzi.
„Această Directivă solicită agențiilor civile federale să identifice anumite tenanți cloud, să implementeze instrumente de evaluare și să alinieze mediile cloud la liniile directoare de configurare securizate ale CISA pentru aplicațiile de afaceri cloud (SCuBA)”.
Pentru toți tenanții cloud în sfera de aplicare, agențiile FCEB trebuie să ia următoarele măsuri:
Lista curentă a politicilor obligatorii este disponibilă pe site-ul Configurărilor Necesare. În prezent, aceasta include doar bazele de configurare securizate pentru produsele Microsoft 365, precum Azure Active Directory / Entra ID, Microsoft Defender, Exchange Online, Power Platform, SharePoint Online & OneDrive și Microsoft Teams.
Deși BOD 25-01 se aplică doar agențiilor civile federale, CISA recomandă cu tărie tuturor organizațiilor să adopte această directivă și să-și prioritizeze securizarea mediilor cloud pentru a reduce semnificativ suprafața de atac și riscurile de încălcare.
Anul trecut, CISA a emis o altă directivă operațională obligatorie (BOD 23-02) prin care ordona agențiilor federale să-și securizeze echipamentele de rețea expuse pe internet sau configurate greșit în termen de 14 zile de la descoperire.
Doi ani în urmă, directiva BOD 22-01 a agenției de securitate cibernetică a impus agențiilor FCEB să reducă riscul crescut generat de vulnerabilitățile cunoscute exploatate, prin remedierea acestora într-un interval de timp agresiv.
Microsoft 365 outage takes down Office web apps, admin center
CISA says BianLian ransomware now focuses only on data theft
Leave a Reply