Dalış Özeti:
- Siber Güvenlik ve Altyapı Güvenliği Ajansı Salı günü yaptığı açıklamada, federal sivil kurumlara Microsoft 365 ortamlarındaki yapılandırma temellerini karşılamalarını emrettiğini söyledi. bağlayıcı operasyonel direktif.
- “Yakın zamanda meydana gelen bir dizi siber güvenlik olayında, bulut ortamlarındaki güvenlik kontrollerinin uygun olmayan şekilde yapılandırılması önemli riskler ortaya çıkardı ve gerçek uzlaşmalara yol açtı.” CISA’nın siber güvenlikten sorumlu başkan yardımcısı Matt Hartman, Salı günü düzenlediği basın toplantısında şunları söyledi.
- Talimat, federal sivil kurumların 21 Şubat 2025’e kadar tüm Microsoft 365 bulut kiracılarını tanımlamasını gerektiriyorVe CISA’nın Güvenli Bulut İş Uygulamaları (SCuBA) güvenli yapılandırma temellerini 20 Haziran 2025’e kadar uygulamaya koyun.
Dalış Bilgisi:
CISA, bulut ortamlarının güvenliğini sağlama yetkisinin son siber güvenlik olaylarına bir yanıt olduğunu ancak belirli bir tehdit olmadığını söyledi. Yetkililer, ajansın bağlayıcı operasyonel direktifini tetikleyen son kötü niyetli faaliyetler hakkında ayrıntılı bilgi vermeyi reddetti.
Yönerge, CISA’nın, SolarWinds’i hedef alan 2019 tedarik zinciri saldırı çılgınlığının ardından başlayan federal bulut ortamlarının güvenliğine yönelik tutarlı bir yaklaşım oluşturma çalışmalarını sürdürüyor.
Hartman, “Güncelliği geçmiş güvenlik yapılandırmaları, sistemleri, önerilen ve zorunlu güvenlik yapılandırmalarıyla kolayca azaltılabilecek açıklardan yararlanmaya maruz bırakıyor” dedi.
Karar, federal sivil kurumların CISA’ya tüm Microsoft 365 bulut kiracıları için kiracı adını ve sistem sahibi kurum bilgilerini sağlamasını ve bu envanteri kuruma yıllık raporlarda güncellemesini gerektiriyor.
CISA’lar gerekli konfigürasyonların güncel listesi birden çok Microsoft 365 hizmetinin temellerini içerir; Azure Active Directory ve Entra ID, Microsoft Defender, Exchange Online, Microsoft Teams, Power Platform, SharePoint Online ve OneDrive.
Yönerge yalnızca Microsoft 365 ortamları için geçerlidir ancak CISA, diğer bulut hizmetleri için SCuBA güvenli yapılandırma temellerini yayınlayabileceğini söyledi. Microsoft yorum yapmayı reddetti.
“Bu direktif yalnızca federal sivil kurumlar için geçerli olsa da bulut ortamlarına yönelik tehdit her sektörü kapsamaktadır. Tüm kuruluşları bu kılavuzu benimsemeye çağırıyoruz,” CISA Direktörü Jen Easterly bir açıklamada söyledi. “Siber riski azaltmak ve dayanıklılığı sağlamak söz konusu olduğunda hepimizin oynayacağı bir rol var.”