Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), bulut güvenliğini güçlendirmeye yönelik kararlı bir hamleyle Bağlayıcı Operasyonel Direktifi (BOD) 25-01’i yayınladı: Bulut Hizmetleri için Güvenli Uygulamaların Uygulanması.
Bu direktif, federal sivil kurumların, bulut ortamlarını hedef alan artan siber saldırı tehdidine yanıt olarak bulut tabanlı sistemleri için sıkı güvenlik önlemleri almasını zorunlu kılmaktadır.
CISA kısa süre önce yeni en iyi uygulamaları yayınladı mobil iletişimin korunmasına yönelik rehberlik Çin Halk Cumhuriyeti’ne (PRC) bağlı tehdit aktörleriyle bağlantılı siber casusluk faaliyetlerine ilişkin endişelerin arttığı bir dönemde.
Bağlayıcı Operasyonel Direktif 25-01 nedir?
Bağlayıcı Operasyonel Direktifler, ABD Kanununun 44. Başlığı altında yetkilendirildiği şekilde, federal bilgi sistemlerini korumak için federal yürütme organı kurumlarına verilen yasal olarak uygulanabilir talimatlardır.
Bu direktifler ulusal güvenlik sistemleri veya belirli Savunma Bakanlığı ve İstihbarat Topluluğu sistemleri için geçerli değildir ancak diğer tüm federal kurumlar için zorunludur.
BOD 25-01 uyarınca, kurumların onaylı Hizmet Olarak Yazılım (SaaS) ürünleri için güvenli yapılandırma temellerini uygulaması, CISA değerlendirme araçlarını dağıtması, CISA’nın izleme sistemleriyle entegre olması ve herhangi bir güvenlik sapmasını derhal ele alması gerekir.
Arka Plan ve Gerekçe
Yönerge, kötü niyetli aktörlerin karmaşık taktikler yoluyla bulut ortamlarındaki güvenlik açıklarından giderek daha fazla yararlandığı bir dönemde geldi.
Son zamanlardaki güvenlik olayları, uygunsuz bulut yapılandırmalarının nasıl yıkıcı ihlallere yol açabileceğini ve federal sistemleri önemli risklere maruz bırakabileceğini gösterdi.
Buna yanıt olarak CISA şunları başlattı: Güvenli Bulut İş Uygulamaları (SCuBA) Güvenli yapılandırma yönergeleri, değerlendirme araçları ve izleme çözümleri sağlayan proje.
Kapsamlı hedef, Federal Sivil Yürütme Organı (FCEB) kurumları genelinde bulut güvenliği uygulamalarını standartlaştırmak ve güçlendirmektir.
Yönerge, SCuBA Güvenli Yapılandırma Temel Çizgilerinin benimsenmesini zorunlu kılarak, güvenlik açıklarını önemli ölçüde azaltmayı ve siber tehditlere karşı dayanıklılığı artırmayı amaçlıyor.
Siber güvenlik ortamı yeni tehditler, tedarikçi güncellemeleri ve en iyi uygulamalarla sürekli olarak geliştiğinden, bu güvenlik temellerini korumak çok önemlidir.
Güncel olmayan yapılandırmalar, sistemleri zamanında yapılan güncellemelerle azaltılabilecek saldırılara karşı savunmasız bırakır. CISA’nın direktifi, kurumların proaktif kalmasını ve rakiplerin önünde kalabilmek için en son güvenlik önlemlerinden yararlanmasını sağlar.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin
Direktifin Kapsamı
BOD 25-01, CISA tarafından yayınlanan nihai SCuBA Güvenli Yapılandırma Esasları kapsamına girmeleri koşuluyla, federal bilgi sistemleri olarak sınıflandırılan tüm operasyonel bulut sistemleri için geçerlidir.
Şu an itibariyle bu temeller Microsoft Office 365’i kapsıyor, ancak CISA gelecekte kapsamı diğer bulut ürünlerini de kapsayacak şekilde genişletmeyi planlıyor. Bir yıl içinde güncellenmeyen ürünler SCUBA kapsamından çıkarılacaktır.
SCuBA Güvenli Temel Hatları içindeki “yapılacak” eylemler olarak belirtilen zorunlu yapılandırmalar yasal olarak bağlayıcıdır.
“Zorunluluk” olarak adlandırılan önerilen eylemler, kurumların takdirindedir. Bu yapılandırmaların kapsamlı bir listesi CISA’nın Bağlayıcı Operasyonel Direktifi 25-01 Gerekli Yapılandırmalar web sitesinde mevcuttur.
Federal Kurumlar için Temel Gereksinimler
CISA, BOD 25-01 kapsamında federal kurumlar için belirli eylemler ve zaman çizelgeleri belirlemiştir:
| Gereklilik | Detaylar |
|---|---|
| Bulut Envanter Raporlaması | Ajanslar, direktif kapsamındaki tüm bulut sistemlerini şu şekilde tanımlamalı ve raporlamalıdır: 21 Şubat 2025. |
| Envanterler yıllık olarak güncellenmelidir. ilk çeyrek. | |
| SCUBA Değerlendirme Araçlarının Dağıtımı | Ajanslar, bulut sistemleri için CISA tarafından sağlanan değerlendirme araçlarını şu şekilde dağıtmalıdır: 25 Nisan 2025. |
| Sonuçlar ya CISA’nın sürekli izleme sistemleriyle entegre edilmeli ya da makine tarafından okunabilir bir formatta üç ayda bir manuel olarak gönderilmelidir. | |
| Zorunlu Politikaların Uygulanması | Ajansların tüm zorunlu SCUBA politikalarını şu tarihe kadar uygulaması gerekmektedir: 20 Haziran 2025. |
| Zorunlu politikalara yönelik gelecekteki güncellemeler, CISA tarafından yönetilen Gerekli Yapılandırmalar web sitesindeki zaman çizelgelerine göre benimsenmelidir. | |
| Yeni Bulut Kiracıları | Ajanslar, Çalıştırma Yetkisi (ATO) vermeden önce tüm güvenli yapılandırma temellerini uygulamalı ve yeni bulut kiracıları için sürekli izlemeyi etkinleştirmelidir. |
| Sapma Yönetimi | Yetkilendirme Görevlileri (AO’lar) operasyonel sapmalara ilişkin riskleri kabul edebilir ancak bunlar SCuBA değerlendirme araçları kullanılarak tanımlanmalı, açıklanmalı ve CISA’ya rapor edilmelidir. |
Gelişmiş Güvenlik için İşbirlikçi Çabalar
Yönerge, Federal Risk ve Yetkilendirme Yönetimi Programı (FedRAMP), Ulusal Standartlar ve Teknoloji Enstitüsü’nün (NIST) rehberliği ve CISA’nın Güvenilir İnternet Bağlantıları (TIC) 3.0 Bulut Kullanım Örneği gibi mevcut federal bulut güvenliği çerçevelerine dayanmaktadır.
BOD 25-01, bu kaynakları entegre ederek federal kurumların gelişen siber tehditlere karşı sağlam, uyarlanabilir savunmaları sürdürebilmesini sağlar. Ajansların uyumluluk ve sorular için [email protected] aracılığıyla CISA ile koordinasyon kurmaları teşvik edilmektedir.
Operasyonel Direktif 25-01’in uygulanması, federal siber güvenlik stratejisinde önemli bir dönüm noktasına işaret ediyor ve güvenli bulut yapılandırmalarının ve sürekli izlemenin önemini vurguluyor.
Açık bir yol haritası ve tanımlanmış zaman çizelgeleri ile CISA, federal kurumların giderek daha karmaşık hale gelen siber saldırılara karşı savunma için daha iyi donanıma sahip olmalarını sağlıyor.
21 Şubat 2025 envanter son tarihi yaklaşırken, federal kurumların direktife uymak, kritik sistemleri korumak ve ülkenin dijital altyapısını kalıcı tehditlerden korumak için hızlı hareket etmesi gerekiyor.
2024 MITRE ATT&CK Evaluation Results Released for SMEs & MSPs -> Download Free Guide