CISA heeft de eerste bindende operationele richtlijn van dit jaar uitgevaardigd (BOD 25-01), waarin federale civiele agentschappen wordt opgedragen om hun cloudomgevingen te beveiligen door een lijst met verplichte beveiligde configuratiebaselines (SCB’s) te implementeren.

Hoewel CISA alleen de SCB’s voor Microsoft 365 heeft voltooid, is het van plan om aanvullende baselines voor andere cloudplatforms vrij te geven, te beginnen met Google Workspace (waarvan wordt verwacht dat deze in het tweede kwartaal van boekjaar 2025 in scope komen).

Deze richtlijn voor de gehele overheid heeft tot doel het aanvalsvlak van federale netwerken te verkleinen door verplichte beveiligingspraktijken voor clouddiensten te eisen ter bescherming van systemen en middelen van de Federale Civiele Uitvoerende Tak (FCEB).

BOD 25-01 vereist dat FCEB-agentschappen door CISA ontwikkelde geautomatiseerde configuratieassessment-tools implementeren (ScubaGear voor Microsoft 365-audits), integreren met de continue monitoringinfrastructuur van het agentschap voor cyberbeveiliging en eventuele afwijkingen van de beveiligde configuratiebaselines binnen vooraf gedefinieerde tijdslijnen verhelpen.

“Recente cyberbeveiligingsincidenten benadrukken de aanzienlijke risico’s die worden veroorzaakt door verkeerde configuraties en zwakke beveiligingscontroles, die aanvallers kunnen gebruiken om ongeoorloofde toegang te verkrijgen, gegevens te extraheren of diensten te verstoren,” zei CISA vandaag.

“Deze richtlijn vereist dat federale civiele agentschappen specifieke cloud-tenants identificeren, assessment-tools implementeren en cloudomgevingen afstemmen op de Secure Cloud Business Applications (SCuBA) beveiligde configuratiebaselines van CISA.”

Voor alle in scope zijnde cloud-tenants moeten FCEB-agentschappen de volgende acties ondernemen:

1. Identificeer alle cloud-tenants binnen de scope van deze richtlijn uiterlijk op vrijdag 21 februari 2025.
2. Implementeer uiterlijk op vrijdag 25 april 2025 alle SCuBA-assessment-tools voor in scope zijnde cloud-tenants en begin met continue rapportage over de vereisten van deze richtlijn.
3. Voer uiterlijk op vrijdag 20 juni 2025 alle verplichte SCuBA-beleid effectief in vanaf de uitvaardiging van deze richtlijn.
4. Implementeer alle toekomstige updates van verplichte SCuBA-beleid.
5. Implementeer alle verplichte SCuBA-beveiligde configuratiebaselines en begin met continue monitoring voor nieuwe cloud-tenants voordat een autorisatie voor operatie (ATO) wordt verleend.

De huidige lijst met verplichte beleidslijnen is beschikbaar op de website voor vereiste configuraties. Op dit moment omvat het alleen beveiligde configuratiebaselines voor Microsoft 365-producten, waaronder Azure Active Directory / Entra ID, Microsoft Defender, Exchange Online, Power Platform, SharePoint Online & OneDrive en Microsoft Teams.

Hoewel BOD 25-01 alleen van toepassing is op federale civiele agentschappen, adviseert CISA dringend dat alle organisaties deze richtlijn volgen en prioriteit geven aan het beveiligen van hun cloudomgevingen om hun aanvalsvlak en risico’s op inbreuken significant te verminderen.

Vorig jaar heeft CISA een andere bindende operationele richtlijn uitgevaardigd (BOD 23-02) waarin federale agentschappen werd bevolen om binnen 14 dagen na ontdekking netwerkapparatuur die aan het internet blootstaat of verkeerd is geconfigureerd, te beveiligen.

Twee jaar eerder verplichtte de BOD 22-01 van het cyberbeveiligingsagentschap FCEB-agentschappen om het verhoogde risico achter bekende uitgebuite kwetsbaarheden te verminderen door deze binnen een agressieve tijdlijn aan te pakken.