ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), federal sivil kurumlara bulut ortamlarını korumalarını ve Güvenli Bulut İş Uygulamaları (SCuBA) güvenli yapılandırma temellerine uymalarını emreden Bağlayıcı Operasyonel Direktifi (BOD) 25-01’i yayınladı.
Ajans, “Son siber güvenlik olayları, saldırganların yetkisiz erişim elde etmek, veri sızdırmak veya hizmetleri aksatmak için kullanabileceği yanlış yapılandırmaların ve zayıf güvenlik kontrollerinin oluşturduğu önemli riskleri vurgulamaktadır” dedi ve direktifin “federal saldırı yüzeyini daha da azaltacağını” ekledi. hükümet ağları.”
25-01’in bir parçası olarak kurumlara, temellere göre ölçüm yapmak, kurumun sürekli izleme altyapısıyla entegre olmak ve güvenli yapılandırma temellerinden sapmaları ele almak için CISA tarafından geliştirilen otomatik konfigürasyon değerlendirme araçlarını kullanmaları da tavsiye ediliyor.
Temeller şu anda Microsoft 365 (Azure Active Directory / Entra ID, Microsoft Defender, Exchange Online, Power Platform, SharePoint Online, OneDrive ve Microsoft Teams) ile sınırlı olsa da siber güvenlik kurumu, diğer bulutlar için ek SCuBA Güvenli Yapılandırma Temelleri yayınlayabileceğini söyledi ürünler.
Bulut Hizmetleri için Güvenli Uygulamaların Uygulanması adlı BOD, öncelikle tüm federal kurumların gelecek yıl bir dizi son teslim tarihine uymasını şart koşuyor –
- Kiracı adı ve her kiracı için sistem sahibi kurum/bileşen de dahil olmak üzere tüm bulut kiracılarını en geç 21 Şubat 2025 tarihine kadar tanımlayın (yıllık olarak güncellenecektir)
- Kapsam dahilindeki bulut kiracıları için tüm SCuBA değerlendirme araçlarını en geç 25 Nisan 2025 tarihine kadar dağıtın ve araç sonuçları akışlarını CISA’nın sürekli izleme altyapısıyla entegre edin veya bunları üç ayda bir manuel olarak raporlayın
- Tüm zorunlu SCUBA politikalarını en geç 20 Haziran 2025 tarihine kadar uygulayın
- Zorunlu SCUBA politikalarına yönelik gelecekteki tüm güncellemeleri belirtilen zaman çizelgeleri içerisinde uygulayın
- Tüm zorunlu SCUBA Güvenli Yapılandırma Temel Hatlarını uygulayın ve İşletim Yetkisi (ATO) verilmeden önce yeni bulut kiracıları için sürekli izlemeye başlayın
CISA ayrıca potansiyel riskleri azaltmak ve genel anlamda dayanıklılığı artırmak için tüm kuruluşlara bu politikaları uygulamalarını şiddetle tavsiye ediyor.
CISA, “Satıcı değişikliklerinin, yazılım güncellemelerinin ve gelişen en iyi güvenlik uygulamalarının tehdit ortamını şekillendirdiği dinamik siber güvenlik ortamında güvenli yapılandırma temellerini korumak kritik öneme sahiptir.” dedi. “Satıcılar güvenlik açıklarını gidermek için sık sık yeni güncellemeler ve yamalar yayınladıkça, güvenlik yapılandırmalarının da ayarlanması gerekiyor.”
“Kuruluşlar, güvenlik yapılandırmalarını düzenli olarak güncelleyerek en son koruyucu önlemlerden yararlanıyor, güvenlik ihlali riskini azaltıyor ve siber tehditlere karşı güçlü savunma mekanizmalarını sürdürüyor.”
CISA, E2EE Hizmetlerinin Kullanımı İçin Baskı Yapıyor
Bağlayıcı Operasyonel Direktif haberi, CISA’nın ABD telekomünikasyon şirketlerini hedef alan Salt Typhoon gibi Çin bağlantılı tehdit aktörleri tarafından düzenlenen siber casusluk kampanyalarına yanıt olarak mobil iletişimin en iyi uygulamalarına ilişkin yeni kılavuz yayınlamasının ardından geldi.
CISA, “Yüksek düzeyde hedeflenen kişiler, hükümet ve kişisel cihazlar da dahil olmak üzere mobil cihazlar ile internet hizmetleri arasındaki tüm iletişimin müdahale veya manipülasyon riski altında olduğunu varsaymalıdır.” dedi.
Bu amaçla, üst düzey hükümet veya üst düzey siyasi pozisyonlardaki bireylere aşağıdakiler tavsiye ediliyor:
- Yalnızca Signal gibi uçtan uca şifrelenmiş (E2EE) mesajlaşma uygulamalarını kullanın
- Kimlik avına karşı dayanıklı çok faktörlü kimlik doğrulamayı (MFA) etkinleştirin
- Kimlik doğrulama için SMS’i ikinci faktör olarak kullanmayı bırakın
- Tüm şifreleri saklamak için bir şifre yöneticisi kullanın
- Abone kimlik modülü (SIM) değiştirme saldırılarını önlemek amacıyla cep telefonu hesapları için bir PIN belirleyin
- Yazılımı düzenli olarak güncelleyin
- Kritik güvenlik özelliklerinden yararlanmak için en yeni donanıma sahip cihazlara geçin
- “Şüpheli güvenlik ve gizlilik politikaları” nedeniyle kişisel sanal özel ağ (VPN) kullanmayın
- iPhone aygıtlarında Kilitleme Modunu etkinleştirin, iMessage’ı kısa mesaj olarak gönderme seçeneğini devre dışı bırakın, Etki Alanı Adı Sistemi (DNS) sorgularını güvenli hale getirin, iCloud Özel Aktarmayı etkinleştirin ve uygulama izinlerini inceleyip kısıtlayın
- Android cihazlarda, güvenlik taahhütleri konusunda geçmişi olan üreticilerin modellerini almaya öncelik verin, Zengin İletişim Hizmetlerini (RCS) yalnızca E2EE etkinse kullanın, DNS’yi güvenilir bir çözümleyici kullanacak şekilde yapılandırın, Google Chrome’da Güvenli Tarama için Gelişmiş Korumayı etkinleştirin, Google Play Korumanın etkinleştirildiğinden emin olun ve uygulama izinlerini inceleyip kısıtlayın
CISA, “Tek bir çözüm tüm riskleri ortadan kaldırmasa da, bu en iyi uygulamaları uygulamak, hassas iletişimlerin hükümete bağlı ve diğer kötü niyetli siber aktörlere karşı korunmasını önemli ölçüde artırır” dedi.