CISA, bu yılki ilk bağlayıcı operasyonel direktifi (BOD 25-01) yayınladı ve federal sivil ajanslara bulut ortamlarını güvence altına almalarını emretti.
CISA, Microsoft 365 için sadece gerekli güvenli yapılandırma temellerini (SCBS) sonlandırmış olsa da, Google Workspace'den başlayarak (FY 2025'in Q2'sinde kapsam girmesi beklenen) diğer bulut platformları için ek temel çizgiler yayınlamayı planlıyor.
Bu hükümet çapında yönerge, Federal Sivil Yürütme Şubesi (FCEB) sistemlerini ve varlıklarını korumak için bulut hizmetleri için zorunlu güvenli uygulamalar gerektirerek federal ağların saldırı yüzeyini azaltmayı amaçlamaktadır.
BOD 25-01, FCEB ajanslarının CISA tarafından geliştirilen otomatik yapılandırma değerlendirme araçlarını (Microsoft 365 denetimleri için Scubagear) dağıtmasını, siber güvenlik ajansının sürekli izleme altyapısıyla entegre olmasını ve önceden tanımlanmış zaman çerçeveleri içindeki güvenli konfigürasyon temellerinden sapmaları düzeltmesini gerektirir.
CISA, "Son siber güvenlik olayları, saldırganların yetkisiz erişim elde etmek, verileri dışarı atmak veya hizmetleri bozmak için kullanabilecekleri yanlış yapılandırmaların ve zayıf güvenlik kontrollerinin sağladığı önemli riskleri vurguluyor." Dedi.
"Bu direktif, federal sivil ajansların belirli bulut kiracılarını tanımlamasını, değerlendirme araçlarını uygulamasını ve bulut ortamlarını CISA'nın Güvenli Bulut İş Uygulamaları (SCUBA) güvenli yapılandırma taban çizgilerine hizalamasını gerektiriyor."
Tüm kapsam içi bulut kiracıları için, FCEB ajansları aşağıdaki işlemleri yapmalıdır:
Mevcut zorunlu politikalar listesi gerekli yapılandırmalar web sitesinde bulunabilir. Şu anda, yalnızca Azure Active Directory / Entra ID, Microsoft Defender, Exchange Online, Power Platform, SharePoint Online & OneDrive ve Microsoft Teams dahil olmak üzere Microsoft 365 ürünleri için yalnızca güvenli yapılandırma taban çizgileri içerir.
BOD 25-01 yalnızca federal sivil ajanslar için geçerli olsa da, CISA tüm kuruluşlara bu direktifi benimsemelerini ve bulut ortamlarını saldırı yüzeylerini ve ihlal risklerini önemli ölçüde azaltmak için güvence altına almalarını şiddetle tavsiye eder.
Geçen yıl, CISA, federal ajanslara, keşiften sonraki 14 gün içinde internete maruz kalan veya yanlış yapılandırılmış ağ ekipmanlarını güvence altına almaları için başka bir bağlayıcı operasyonel direktif (BOD 23-02) yayınladı.
İki yıl önce, Siber Güvenlik Ajansı'nın BOD 22-01, FCEB ajanslarını, agresif bir zaman çizelgesinde hafifleterek bilinen sömürülen güvenlik açıklarının arkasındaki artan riski azaltmaya zorladı.
CISA, telekom hack'lerinden sonra sinyal benzeri şifreli mesajlaşma uygulamalarına geçiş yapıyor
Windows çekirdek hatası artık sistem ayrıcalıkları kazanmak için saldırılarda kullanıldı
CISA, Fidye Yazılımı Saldırılarında Kritik Cleo Böcek Sömürüsünü onaylıyor
CISA, çevrimiçi olarak maruz kalan HMI sistemlerini güvence altına almak için su tesislerini uyarıyor
Microsoft 365 Outage, Office Web Uygulamalarını, Yönetici Merkezi
Kaynak: Bleeping Computer