Amerykańska Agencja Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) opublikowała nowe wytyczne operacyjne Binding Operational Directive (BOD) 25-01, które nakłaniają federalne agencje cywilne do zabezpieczenia swoich środowisk chmurowych oraz dostosowania się do zasad bezpieczeństwa Secure Cloud Business Applications (SCuBA).
CISA wskazuje, że najnowszy dokument wynika z wniosków płynących z ostatnich incydentów cyberbezpieczeństwa, które uwidoczniły, jak duże zagrożenie stanowią błędne konfiguracje i słabe zabezpieczenia. W takich przypadkach możliwe jest uzyskanie nieautoryzowanego dostępu, wykradanie danych lub zakłócanie działania usług. Dzięki BOD 25-01 federalne sieci rządowe mają ograniczyć swoją powierzchnię narażoną na ataki.
Nowe dyrektywy obligują agencje do stosowania narzędzi oceny konfiguracji opracowanych przez CISA, integracji ich z systemami monitorowania ciągłego oraz usuwania wszelkich odchyleń od wyznaczonych standardów. Obecnie wytyczne koncentrują się na środowiskach Microsoft 365, takich jak Azure Active Directory, Microsoft Defender, Exchange Online, Power Platform, SharePoint Online, OneDrive oraz Microsoft Teams. Niemniej jednak w przyszłości możliwe jest rozszerzenie standardów SCuBA także na inne produkty chmurowe.
Kluczowe wymagania dla federalnych agencji
BOD 25-01 wprowadza konkretne zobowiązania i terminy dla agencji federalnych, które mają na celu stopniowe zwiększenie poziomu bezpieczeństwa w sektorze IT:
- Zidentyfikowanie wszystkich środowisk chmurowych, w tym ich nazw i powiązanych jednostek odpowiedzialnych, do 21 lutego 2025 roku (i aktualizowanie tych informacji co roku).
- Wdrożenie narzędzi SCuBA dla wszystkich środowisk chmurowych objętych dyrektywą do 25 kwietnia 2025 roku oraz zapewnienie raportowania wyników automatycznie lub ręcznie na zasadzie kwartalnej.
- Zaimplementowanie obowiązkowych polityk SCuBA najpóźniej do 20 czerwca 2025 roku.
- Dostosowanie się do przyszłych aktualizacji polityk SCuBA zgodnie z wyznaczonymi przez CISA harmonogramami.
- Zapewnienie, że dla nowych środowisk chmurowych spełnione zostaną wszystkie standardy SCuBA oraz wdrożone mechanizmy monitorowania przed uzyskaniem autoryzacji operacyjnej.
CISA podkreśla, że stosowanie wyżej opisanych zasad znacząco zmniejsza ryzyko potencjalnych zagrożeń i wzmacnia ogólną odporność systemów na cyberataki.
Dlaczego regularne aktualizacje konfiguracji mają kluczowe znaczenie?
Dynamiczny rozwój technologii oraz ciągłe zmiany w oprogramowaniu i najlepszych praktykach bezpieczeństwa sprawiają, że aktualizacja konfiguracji to kluczowy element skutecznej obrony przed zagrożeniami. Producenci regularnie wydają nowe poprawki i aktualizacje, które mają na celu wyeliminowanie znanych luk w zabezpieczeniach. Dzięki temu administratorzy IT mogą na bieżąco dostosowywać konfiguracje systemów, zmniejszając ryzyko włamań i zwiększając skuteczność mechanizmów ochronnych.
Zarządzanie zgodnością z najlepszymi praktykami bezpieczeństwa nie tylko redukuje potencjalne zagrożenia, ale także pozwala budować bardziej elastyczne i odporniejsze na ataki środowisko IT.
Nowe wytyczne CISA w obszarze komunikacji mobilnej
Wraz z opublikowaniem BOD 25-01 CISA zaprezentowała także zaktualizowane wytyczne dotyczące bezpieczeństwa komunikacji mobilnej. Ma to związek z przypadkami cybernetycznego szpiegostwa prowadzonymi przez grupy powiązane z Chinami, takie jak Salt Typhoon, które atakowały amerykańskie firmy telekomunikacyjne.
Wysoko postawione osoby w strukturach rządowych i politycznych otrzymały zestaw rekomendacji zabezpieczających ich komunikację przed potencjalnymi zagrożeniami:
- Korzystanie wyłącznie z aplikacji do przesyłania wiadomości z pełnym szyfrowaniem (E2EE), takich jak Signal.
- Aktywacja odpornej na phishing metody uwierzytelniania wieloskładnikowego (MFA).
- Unikanie SMS-ów jako drugiego czynnika autoryzacji.
- Stosowanie menedżera haseł do zabezpieczania danych logowania.
- Ustawienie kodu PIN na kontach telefonicznych, aby zapobiec atakom typu SIM-swapping.
- Regularne aktualizowanie oprogramowania urządzeń.
- Wybór urządzeń z najnowszymi funkcjami bezpieczeństwa sprzętowego.
- Unikanie korzystania z prywatnych VPN-ów, z uwagi na wątpliwe polityki prywatności.
Dla użytkowników iPhone’ów zaleca się włączenie Trybu Blokady, aktywację Prywatnego Przekaźnika iCloud, zabezpieczenie zapytań DNS oraz ograniczenie uprawnień aplikacji. Natomiast posiadacze urządzeń z Androidem powinni wybierać modele producentów znanych z zaawansowanych zabezpieczeń, korzystać wyłącznie z komunikacji RCS z włączonym E2EE, a także włączyć Enhanced Protection w Google Chrome.
CISA podkreśla, że choć żadne działanie nie zredukuje ryzyka do zera, wdrożenie tych praktyk znacząco zwiększa ochronę wrażliwej komunikacji przed potencjalnymi atakami, w tym także tymi sponsorowanymi przez rządy innych państw.
Podsumowanie
Nowe wytyczne CISA są ważnym krokiem w stronę zwiększenia cyberbezpieczeństwa zarówno w sektorze publicznym, jak i prywatnym. W obliczu stale zmieniających się zagrożeń cyfrowych organizacje i użytkownicy indywidualni muszą nieustannie rozwijać swoje mechanizmy ochronne, integrując najnowsze rekomendacje i technologie. Wdrażanie bezpiecznych konfiguracji, stosowanie solidnych standardów oraz wdrażanie najlepszych praktyk w komunikacji mobilnej to fundament budowy bezpieczniejszej przyszłości w świecie cyfrowym.
