CISA指令要求联邦机构在2025年前实现云安全

美国网络安全和基础设施安全局 (CISA) 发布了具有约束力的操作指令 (BOD) 25-01，命令联邦民事机构保护其云环境并遵守安全云业务应用程序 (SCuBA) 安全配置基线。

该机构表示：“最近的网络安全事件凸显了错误配置和薄弱的安全控制所带来的重大风险，攻击者可以利用这些风险进行未经授权的访问、窃取数据或破坏服务。”并补充说，该指令“将进一步减少联邦政府网络的攻击面”。

作为 25-01 的一部分，还建议机构部署 CISA 开发的自动配置评估工具来衡量基线，与机构的持续监控基础设施集成，并解决与安全配置基线的任何偏差。

虽然基线目前仅限于 Microsoft 365（Azure Active Directory / Entra ID、Microsoft Defender、Exchange Online、Power Platform、SharePoint Online、OneDrive 和 Microsoft Teams），但该网络安全机构表示可能会为其他云产品发布额外的 SCuBA 安全配置基线。

该委员会名为“实施云服务安全实践”，主要要求所有联邦机构明年满足一系列最后期限——

• 最迟在 2025 年 2 月 21 日之前识别所有云租户，包括租户名称以及每个租户的系统拥有机构/组件（每年更新）

• 在 2025 年 4 月 25 日之前为范围内的云租户部署所有 SCuBA 评估工具，并将工具结果反馈与 CISA 的持续监控基础设施集成，或按季度手动报告

• 不迟于 2025 年 6 月 20 日实施所有强制性 SCuBA 政策

• 在规定时间内实施强制性 SCuBA 政策的所有未来更新

• 实施所有强制性的 SCuBA 安全配置基线，并在授予运营授权 (ATO) 之前开始持续监控新的云租户

CISA 还强烈建议所有组织实施这些政策，以降低潜在风险并全面增强抵御能力。

CISA 表示：“在动态的网络安全环境中，维护安全配置基线至关重要，因为供应商的变化、软件更新和不断发展的安全最佳实践塑造了威胁环境。由于供应商频繁发布新的更新和补丁来解决漏洞，安全配置也必须进行调整。”

“通过定期更新安全配置，组织可以利用最新的保护措施，降低安全漏洞的风险并维持强大的防御机制以抵御网络威胁。”

CISA 推动使用 E2EE 服务#

在发布具有约束力的操作指令之际，CISA 发布了关于移动通信最佳实践的新指南，以应对与有关的威胁行为者的网络间谍活动。

CISA表示：“受到高度针对的个人应该意识到，移动设备（包括政府和个人设备）与互联网服务之间的所有通信都面临被拦截或操纵的风险。”

为此，建议担任高级政府职务或高级政治职务的个人 -

• 仅使用端到端加密 (E2EE) 消息传递应用程序，例如 Signal

• 启用防网络钓鱼多因素身份验证 (MFA)

• 停止使用短信作为身份验证的第二个因素

• 使用密码管理器存储所有密码

• 为手机账户设置 PIN 码，以防止用户识别模块 (SIM) 交换攻击

• 定期更新软件

• 切换到具有最新硬件的设备以利用关键的安全功能

• 由于“安全和隐私政策存在问题”，请勿使用个人虚拟专用网络 (VPN)

• 在 iPhone 设备上，启用“锁定模式”，禁用将 iMessage 作为短信发送的选项，保护域名系统 (DNS) 查询，激活iCloud 私人中继，并查看和限制应用程序权限

• 在 Android 设备上，优先从具有安全承诺记录的制造商处获取型号，仅在启用 E2EE 时使用富通信服务 (RCS)，配置 DNS 以使用受信任的解析器，在 Google Chrome 中启用增强保护以进行安全浏览，确保启用 Google Play Protect，并查看和限制应用程序权限

CISA表示：“虽然没有任何一种解决方案可以消除所有风险，但实施这些最佳实践可以大大增强对敏感通信的保护，防止政府附属机构和其他恶意网络行为者的攻击。”

— 欢迎关注