Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), federal sivil kurumların Microsoft 365 bulut ortamlarının güvenliğini artırmasını zorunlu kılan Bağlayıcı Operasyonel Direktifi (BOD) 25-01’i yayınladı.
Bu direktif, CISA’nın son siber saldırılarda istismar edilen bulut yanlış yapılandırmaları ve zayıf güvenlik kontrolleriyle ilişkili riskleri azaltmaya yönelik daha geniş çabasının bir parçasıdır.
BOD 25-01, Microsoft 365 için standartlaştırılmış güvenlik yapılandırmaları sağlayan Güvenli Bulut İş Uygulamaları (SCuBA) Güvenli Yapılandırma Temellerini (SCB’ler) sunar.
Bu temeller, Azure Active Directory, Microsoft Teams, Exchange Online, SharePoint Online, OneDrive ve Microsoft Defender gibi kritik bileşenleri kapsar. Direktif ayrıca kurumların bu temel değerlere uygunluğu sağlamak için CISA’nın ScubaGear değerlendirme aracını kullanmasını da gerektiriyor.
API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt
Yönerge, federal kurumlar için belirli son tarihleri özetlemektedir:
- 21 Şubat 2025: Ajanslar kapsam dahilindeki tüm bulut kiracılarını tanımlamalı ve raporlamalıdır.
- 25 Nisan 2025: SCUBA değerlendirme araçlarının devreye alınması ve sürekli uyumluluk raporlamasının başlatılması.
- 20 Haziran 2025: Zorunlu SCB’lerin tam olarak uygulanması ve CISA’nın sürekli izleme altyapısıyla entegrasyon.
CISA Direktörü Jen Easterly, bulut ortamlarının güvenliğini sağlamanın aciliyetini vurguladı. “Kötü niyetli tehdit aktörleri, yetkisiz erişim elde etmek veya hizmetleri kesintiye uğratmak için yanlış yapılandırmalardan ve zayıf kontrollerden yararlanarak bulut sistemlerini giderek daha fazla hedef alıyor” dedi. Yönerge, federal ağların saldırı yüzeyini azaltmayı ve siber tehditlere karşı dayanıklılığı artırmayı amaçlıyor.
SCuBA aracı, Microsoft 365 yapılandırmalarının değerlendirmesini otomatikleştirerek bu girişimde önemli bir rol oynuyor. SCB’lere uyum hakkında ayrıntılı raporlar sunarak kurumların güvenlik açıklarını belirlemesine ve düzeltici önlemleri derhal almasına yardımcı olur.
Temel Özellikler ve İşlevsellik
- Otomatik Değerlendirme: SCuBA aracı, M365 kiracı yapılandırmalarının CISA’nın Güvenli Yapılandırma Temellerine göre kontrol edilmesi sürecini otomatikleştirir.
- Çoklu Ürün Kapsamı: Araç, Azure Active Directory, Exchange Online, OneDrive for Business, SharePoint Online ve Teams dahil olmak üzere çeşitli M365 ürünlerini değerlendirebilir.
- Rapor Oluşturma: SCuBA aracı, önerilen temel çizgilerden sapan politikaları vurgulayan ayrıntılı HTML raporları üretir.
- API Entegrasyonu: Araç, çeşitli yapılandırma ayarlarını sorgulamak için M365 API’lerini kullanır6.
- Politika Uygulaması: SCuBA aracı, ayarları temel belgelere göre yazılan Rego güvenlik politikalarıyla karşılaştırmak için bir Açık Politika Aracısı (OPA) kullanır.
BOD 25-01 federal sivil kurumlar için zorunlu olsa da CISA, tüm sektörlerdeki kuruluşların bu uygulamaları benimsemesini şiddetle tavsiye etmektedir.
Bulut platformlarını hedef alan siber tehditlerin artan karmaşıklığı göz önüne alındığında, bu kılavuz özellikle Microsoft 365 kullanan özel kuruluşlar için geçerlidir. Kuruluşlar, SCB’lerle uyum sağlayarak ve ScubaGear gibi araçlardan yararlanarak siber güvenlik duruşlarını önemli ölçüde geliştirebilirler.
CISA, SCB’lerin kapsamını gelecekte Google Workspace gibi diğer bulut platformlarını da kapsayacak şekilde genişletmeyi planlıyor. Bu proaktif yaklaşım, kurumun kritik altyapı ve bilgi sistemlerini gelişen siber risklere karşı koruma konusundaki kararlılığının altını çiziyor.
CISA’nın direktifi, federal kurumlar genelinde bulut ortamlarının güvenliğinin sağlanmasına yönelik önemli bir adımı temsil ediyor. Ancak kurum, kolektif eylemin şart olduğunu vurguluyor. Kuruluşların varlıklarını korumak ve daha güvenli bir dijital ekosisteme katkıda bulunmak için bu en iyi uygulamaları uygulamaları gerekir.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin