Badan Keamanan Siber dan Infrastruktur AS (CISA) telah mengeluarkan Petunjuk Operasional yang Mengikat (BOD) 25-01, yang memerintahkan lembaga sipil federal untuk mengamankan lingkungan cloud mereka dan mematuhi garis dasar konfigurasi aman Aplikasi Bisnis Cloud Aman (SCuBA).
“Insiden keamanan siber baru-baru ini menyoroti risiko signifikan yang ditimbulkan oleh kesalahan konfigurasi dan lemahnya kontrol keamanan, yang dapat digunakan penyerang untuk mendapatkan akses tidak sah, mengambil data, atau mengganggu layanan,” kata badan tersebut, seraya menambahkan bahwa arahan tersebut “akan semakin mengurangi permukaan serangan terhadap sistem federal. jaringan pemerintah.”
Sebagai bagian dari 25-01, lembaga-lembaga juga disarankan untuk menggunakan alat penilaian konfigurasi otomatis yang dikembangkan CISA untuk mengukur berdasarkan data dasar, mengintegrasikan dengan infrastruktur pemantauan berkelanjutan lembaga tersebut, dan mengatasi setiap penyimpangan dari data dasar konfigurasi yang aman.
Meskipun garis dasar saat ini terbatas pada Microsoft 365 (Azure Active Directory / Entra ID, Microsoft Defender, Exchange Online, Power Platform, SharePoint Online, OneDrive, dan Microsoft Teams), badan keamanan siber mengatakan bahwa mereka mungkin merilis Garis Dasar Konfigurasi Aman SCuBA tambahan untuk cloud lainnya produk.
Dewan Direksi, yang bernama Implementing Secure Practices for Cloud Services, pada dasarnya mewajibkan semua lembaga federal untuk memenuhi serangkaian tenggat waktu tahun depan –
- Identifikasi semua penyewa cloud, termasuk nama penyewa dan lembaga/komponen pemilik sistem untuk setiap penyewa paling lambat tanggal 21 Februari 2025 (akan diperbarui setiap tahun)
- Menyebarkan semua alat penilaian SCuBA untuk penyewa cloud dalam cakupan selambat-lambatnya tanggal 25 April 2025, dan mengintegrasikan umpan hasil alat tersebut dengan infrastruktur pemantauan berkelanjutan CISA atau melaporkannya secara manual setiap triwulan.
- Melaksanakan seluruh kebijakan wajib SCUBA paling lambat tanggal 20 Juni 2025
- Terapkan semua pembaruan di masa mendatang terhadap kebijakan wajib SCUBA dalam jangka waktu yang ditentukan
- Menerapkan semua Garis Dasar Konfigurasi Aman SCuBA yang wajib dan memulai pemantauan berkelanjutan untuk penyewa cloud baru sebelum memberikan Otorisasi untuk Beroperasi (ATO)
CISA juga sangat merekomendasikan semua organisasi untuk menerapkan kebijakan ini guna mengurangi potensi risiko dan meningkatkan ketahanan secara menyeluruh.
“Mempertahankan dasar konfigurasi yang aman sangat penting dalam lanskap keamanan siber yang dinamis, di mana perubahan vendor, pembaruan perangkat lunak, dan praktik terbaik keamanan yang terus berkembang membentuk lingkungan ancaman,” kata CISA. “Karena vendor sering merilis pembaruan dan patch baru untuk mengatasi kerentanan, konfigurasi keamanan juga harus disesuaikan.”
“Dengan memperbarui konfigurasi keamanan secara rutin, organisasi memanfaatkan langkah-langkah perlindungan terbaru, mengurangi risiko pelanggaran keamanan, dan mempertahankan mekanisme pertahanan yang kuat terhadap ancaman dunia maya.”
CISA Mendorong Penggunaan Layanan E2EE
Berita tentang Petunjuk Operasional yang Mengikat muncul ketika CISA telah merilis panduan baru mengenai praktik terbaik komunikasi seluler sebagai respons terhadap kampanye spionase dunia maya yang diatur oleh aktor ancaman terkait Tiongkok seperti Salt Typhoon yang menargetkan perusahaan telekomunikasi AS.
“Individu yang sangat tertarget harus berasumsi bahwa semua komunikasi antara perangkat seluler – termasuk perangkat pemerintah dan pribadi – dan layanan internet berisiko disadap atau dimanipulasi,” kata CISA.
Untuk itu, individu yang menduduki posisi senior di pemerintahan atau politik senior disarankan untuk –
- Gunakan hanya aplikasi perpesanan terenkripsi ujung ke ujung (E2EE) seperti Signal
- Aktifkan autentikasi multifaktor (MFA) yang tahan terhadap phishing
- Berhenti menggunakan SMS sebagai faktor kedua untuk otentikasi
- Gunakan pengelola kata sandi untuk menyimpan semua kata sandi
- Tetapkan PIN untuk akun ponsel untuk mencegah serangan pertukaran modul identitas pelanggan (SIM).
- Perbarui perangkat lunak secara teratur
- Beralihlah ke perangkat dengan perangkat keras terbaru untuk memanfaatkan fitur keamanan penting
- Jangan gunakan jaringan pribadi virtual (VPN) pribadi karena “kebijakan keamanan dan privasi yang dipertanyakan”
- Di perangkat iPhone, aktifkan Mode Penguncian, nonaktifkan opsi untuk mengirim iMessage sebagai pesan teks, mengamankan kueri Sistem Nama Domain (DNS), mengaktifkan Relai Pribadi iCloud, dan meninjau serta membatasi izin aplikasi
- Pada perangkat Android, prioritaskan untuk mendapatkan model dari produsen yang memiliki rekam jejak komitmen keamanan, gunakan Rich Communication Services (RCS) hanya jika E2EE diaktifkan, konfigurasikan DNS untuk menggunakan penyelesai tepercaya, aktifkan Perlindungan yang Ditingkatkan untuk Penjelajahan Aman di Google Chrome, buat pastikan Google Play Protect diaktifkan, dan tinjau serta batasi izin aplikasi
“Meskipun tidak ada solusi tunggal yang menghilangkan seluruh risiko, penerapan praktik terbaik ini secara signifikan meningkatkan perlindungan komunikasi sensitif terhadap afiliasi pemerintah dan pelaku siber jahat lainnya,” kata CISA.
