A CISA emitiu a primeira diretriz operacional vinculativa (BOD 25-01) deste ano, ordenando que agências civis federais protejam seus ambientes de cloud ao implementar uma lista de baselines de configuração segura (SCBs) obrigatórios.
Embora a CISA tenha finalizado os SCBs apenas para Microsoft 365, ela planeja lançar baselines adicionais para outras plataformas de cloud, começando com o Google Workspace (previsto para entrar em escopo no segundo trimestre do ano fiscal de 2025).
Essa diretiva em todo o governo visa reduzir a superfície de ataque das redes federais ao exigir práticas seguras obrigatórias para serviços de cloud, a fim de proteger os sistemas e ativos do Federal Civilian Executive Branch (FCEB).
A BOD 25-01 exige que as agências do FCEB implementem ferramentas automáticas de avaliação de configuração desenvolvidas pela CISA (ScubaGear para auditorias do Microsoft 365), integrem-se com a infraestrutura de monitoramento contínuo da agência de cibersegurança e remediem quaisquer desvios das baselines de configuração segura dentro de prazos predefinidos.
"Incidentes recentes de cibersegurança destacam os riscos significativos apresentados por configurações incorretas e controles de segurança fracos, que os atacantes podem usar para ganhar acesso não autorizado, exfiltrar dados ou interromper serviços", disse a CISA hoje.
Esta Diretriz exige que as agências civis federais identifiquem inquilinos de cloud específicos, implementem ferramentas de avaliação e alinhem ambientes de cloud com as baselines de configuração segura de Secure Cloud Business Applications (SCuBA) da CISA.
Para todos os inquilinos de cloud dentro do escopo desta Diretriz, as agências do FCEB devem tomar as seguintes ações:
- Identificar todos os inquilinos de cloud dentro do escopo desta Diretriz, o mais tardar até sexta-feira, 21 de fevereiro de 2025.
- Implementar todas as ferramentas de avaliação SCuBA para inquilinos de cloud dentro do escopo, o mais tardar até sexta-feira, 25 de abril de 2025, e começar a relatar continuamente sobre os requisitos desta Diretriz.
- Implementar todas as políticas obrigatórias do SCuBA a partir da emissão desta Diretriz, o mais tardar até sexta-feira, 20 de junho de 2025.
- Implementar todas as atualizações futuras das políticas obrigatórias do SCuBA.
- Implementar todas as Secure Configuration Baselines obrigatórias do SCuBA e começar o monitoramento contínuo para novos inquilinos de cloud antes de conceder uma Authorization to Operate (ATO).
A lista atual de políticas obrigatórias está disponível no site Required Configurations.
No momento, ela inclui apenas baselines de configuração segura para produtos da Microsoft 365, incluindo Azure Active Directory / Entra ID, Microsoft Defender, Exchange Online, Power Platform, SharePoint Online & OneDrive e Microsoft Teams.
Embora a BOD 25-01 se aplique apenas às agências civis federais, a CISA aconselha fortemente todas as organizações a adotarem esta diretiva e priorizarem a segurança de seus ambientes de cloud para reduzir significativamente sua superfície de ataque e riscos de violação.
No ano passado, a CISA emitiu outra diretriz operacional vinculativa (BOD 23-02) ordenando que agências federais protegessem equipamentos de rede expostos à Internet ou mal configurados dentro de 14 dias após sua descoberta.
Dois anos antes, a diretriz operacional vinculativa BOD 22-01 da agência de cibersegurança exigiu que as agências do FCEB reduzissem o risco aumentado por trás das vulnerabilidades conhecidas exploradas, mitigando-as dentro de um cronograma agressivo.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...