CISA verplicht cloudbeveiliging voor federale agentschappen tegen 2025 op grond van bindende richtlijn 25-01

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft Binding Operational Regulation (BOD) 25-01 uitgevaardigd, waarin federale civiele instanties worden opgedragen hun cloudomgevingen te beveiligen en zich te houden aan de veilige configuratiebasislijnen van Secure Cloud Business Applications (SCuBA).

“Recente cyberveiligheidsincidenten benadrukken de aanzienlijke risico’s die voortkomen uit verkeerde configuraties en zwakke veiligheidscontroles, die aanvallers kunnen gebruiken om ongeoorloofde toegang te verkrijgen, gegevens te exfiltreren of diensten te ontwrichten”, aldus het agentschap, en voegt eraan toe dat de richtlijn “het aanvalsoppervlak van de federale overheid verder zal verkleinen. overheidsnetwerken.”

Als onderdeel van 25-01 wordt agentschappen ook aanbevolen om door CISA ontwikkelde geautomatiseerde configuratiebeoordelingsinstrumenten in te zetten om te meten aan de basislijnen, te integreren met de continue monitoringinfrastructuur van het agentschap en om eventuele afwijkingen van de veilige configuratiebasislijnen aan te pakken.

Hoewel de basislijnen momenteel beperkt zijn tot Microsoft 365 (Azure Active Directory / Entra ID, Microsoft Defender, Exchange Online, Power Platform, SharePoint Online, OneDrive en Microsoft Teams), zei het cyberbeveiligingsagentschap dat het mogelijk extra SCUBA Secure Configuration Baselines voor andere cloud-omgevingen vrijgeeft. producten.

De BOD, genaamd Implementing Secure Practices for Cloud Services, eist in de eerste plaats dat alle federale instanties volgend jaar een reeks deadlines halen –

  • Identificeer alle cloudtenants, inclusief de naam van de tenant en de systeemeigenaar/-component voor elke tenant, uiterlijk op 21 februari 2025 (wordt jaarlijks bijgewerkt)
  • Implementeer alle SCUBA-beoordelingstools voor betrokken cloudtenants uiterlijk 25 april 2025 en integreer de feeds van de toolresultaten met de continue monitoringinfrastructuur van CISA of rapporteer ze handmatig op kwartaalbasis
  • Implementeer al het verplichte ScuBA-beleid uiterlijk 20 juni 2025
  • Implementeer alle toekomstige updates van het verplichte SCUBA-beleid binnen gespecificeerde tijdlijnen
  • Implementeer alle verplichte SCUBA Secure Configuration Baselines en begin met continue monitoring voor nieuwe cloudtenants voordat u een Authorization to Operate (ATO) verleent

CISA beveelt alle organisaties ook ten zeerste aan om dit beleid te implementeren om potentiële risico’s te verminderen en de veerkracht over de hele linie te vergroten.

“Het handhaven van veilige configuratiebasislijnen is van cruciaal belang in het dynamische cybersecuritylandschap, waar leveranciersveranderingen, software-updates en evoluerende best practices op het gebied van beveiliging de bedreigingsomgeving vormgeven”, aldus CISA. “Aangezien leveranciers regelmatig nieuwe updates en patches uitbrengen om kwetsbaarheden aan te pakken, moeten ook de beveiligingsconfiguraties worden aangepast.”

“Door regelmatig de beveiligingsconfiguraties bij te werken, maken organisaties gebruik van de nieuwste beschermende maatregelen, waardoor het risico op beveiligingsinbreuken wordt verminderd en robuuste verdedigingsmechanismen tegen cyberdreigingen in stand worden gehouden.”

CISA dringt aan op gebruik van E2EE-diensten

Het nieuws over de bindende operationele richtlijn komt op het moment dat CISA nieuwe richtlijnen heeft vrijgegeven over beste praktijken op het gebied van mobiele communicatie als reactie op cyberspionagecampagnes die zijn georkestreerd door met China verbonden bedreigingsactoren zoals Salt Typhoon die zich richten op Amerikaanse telecommunicatiebedrijven.

“Zeer doelgerichte individuen moeten ervan uitgaan dat alle communicatie tussen mobiele apparaten – inclusief overheids- en persoonlijke apparaten – en internetdiensten het risico loopt te worden onderschept of gemanipuleerd”, aldus CISA.

Daartoe wordt personen die een hoge regerings- of hoge politieke positie bekleden, geadviseerd om:

  • Gebruik alleen end-to-end gecodeerde (E2EE) berichtentoepassingen zoals Signal
  • Schakel phishing-bestendige meervoudige authenticatie (MFA) in
  • Stop met het gebruik van sms als tweede factor voor authenticatie
  • Gebruik een wachtwoordbeheerder om alle wachtwoorden op te slaan
  • Stel een pincode in voor mobiele-telefoonaccounts om aanvallen van abonnee-identiteitsmodules (SIM) te voorkomen
  • Update de software regelmatig
  • Schakel over naar apparaten met de nieuwste hardware om te profiteren van essentiële beveiligingsfuncties
  • Gebruik geen persoonlijk virtueel particulier netwerk (VPN) vanwege “twijfelachtig beveiligings- en privacybeleid”
  • Schakel op iPhone-apparaten de Lockdown-modus in, schakel de optie uit om een ​​iMessage als sms-bericht te verzenden, beveilig DNS-query’s (Domain Name System), activeer iCloud Private Relay en bekijk en beperk app-machtigingen
  • Geef op Android-apparaten prioriteit aan het verkrijgen van modellen van fabrikanten die een staat van dienst hebben op het gebied van beveiligingsverplichtingen, gebruik Rich Communication Services (RCS) alleen als E2EE is ingeschakeld, configureer DNS om een ​​vertrouwde oplosser te gebruiken, schakel Verbeterde bescherming voor veilig browsen in Google Chrome in, zorg ervoor Zorg ervoor dat Google Play Protect is ingeschakeld en controleer en beperk de app-machtigingen

“Hoewel geen enkele oplossing alle risico’s elimineert, verbetert de implementatie van deze best practices de bescherming van gevoelige communicatie tegen aan de overheid gelieerde en andere kwaadaardige cyberactoren aanzienlijk”, aldus CISA.

Thijs Van der Does