CISA emitió la primera Directiva operativa vinculante de este año (BOD 25-01), que ordena a las agencias civiles federales proteger sus entornos de nube mediante la implementación de una lista de líneas base de configuración segura (SCB) requeridas.
Aunque CISA solo ha finalizado los SCB para Microsoft 365, planea publicar puntos de referencia adicionales para otras plataformas en la nube, comenzando con Google Workspace (que se espera que entre en su alcance en el segundo trimestre de este año fiscal 2025).
Esta directiva gubernamental tiene como objetivo reducir la superficie de ataque en las redes federales al exigir prácticas seguras obligatorias para que los servicios en la nube protejan los sistemas y activos del Poder Ejecutivo Civil Federal (FCEB).
DBO 25-01 requiere que las agencias FCEB implementen herramientas de evaluación de configuración automatizadas desarrolladas por CISA (Equipo de buceo para auditorías de Microsoft 365), se integra con la infraestructura de monitoreo continuo de la agencia de ciberseguridad y corrige cualquier desviación de las líneas base de configuración segura dentro de plazos predefinidos.
“Los recientes incidentes de ciberseguridad resaltan los importantes riesgos que plantean las configuraciones erróneas y los controles de seguridad débiles, que los atacantes pueden utilizar para obtener acceso no autorizado, filtrar datos o interrumpir servicios”, dijo CISA. dicho Hoy.
“Esta directiva requiere que las agencias civiles federales identifiquen inquilinos específicos de la nube, implementen herramientas de evaluación y alineen los entornos de la nube con las líneas base de configuración segura de Secure Cloud Business Applications (SCuBA) de CISA”.
Para todos los inquilinos de la nube afectados, las agencias de la FCEB deben tomar las siguientes acciones:
- Identifique a todos los inquilinos de la nube dentro del alcance de esta directiva a más tardar Viernes 21 de febrero de 2025.
- Implementar todas las herramientas de evaluación de SCuBA para los inquilinos de la nube afectados a más tardar Viernes 25 de abril de 2025, y comenzar a producir informes continuos sobre los requisitos de esta directiva.
- Implementar todas las políticas obligatorias de buceo vigentes a partir de la publicación de esta directiva a más tardar viernes 20 de junio de 2025.
- Implementar cualquier futura actualización obligatoria de la política de ScuBA.
- Implemente todas las líneas base de configuración segura de SCuBA obligatorias y comience el monitoreo continuo de los nuevos inquilinos de la nube antes de otorgar una Autorización para operar (ATO).
La lista actual de políticas obligatorias está disponible en el Sitio web de requisitos del sistema. Actualmente, solo incluye bases de configuración segura para productos Microsoft 365, incluidos Azure Active Directory/Entra ID, Microsoft Defender, Exchange Online, Power Platform, SharePoint Online y OneDrive, y Microsoft Teams.
Aunque BOD 25-01 solo se aplica a agencias civiles federales, CISA recomienda encarecidamente a todas las organizaciones que adopten esta directiva y prioricen la protección de sus entornos de nube para reducir significativamente su huella de ataque y los riesgos de violación.
El año pasado, CISA emitió otra Directiva Operativa Vinculante (BOD 23-02) que ordena a las agencias federales proteger los equipos de red expuestos a Internet o mal configurados dentro de los 14 días posteriores a su descubrimiento.
Dos años antes, el BOD 22-01 de la agencia de ciberseguridad ordenó a las agencias FCEB reducir el mayor riesgo de vulnerabilidades explotadas conocidas mitigándolas dentro de un marco de tiempo agresivo.