La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha emitido la Directiva Operativa Vinculante (BOD) 25-01, ordenando a las agencias civiles federales proteger sus entornos de nube y cumplir con las líneas base de configuración segura de Secure Cloud Business Applications (SCuBA).
“Los recientes incidentes de ciberseguridad resaltan los riesgos significativos que plantean las configuraciones erróneas y los controles de seguridad débiles, que los atacantes pueden utilizar para obtener acceso no autorizado, filtrar datos o interrumpir servicios”, dijo la agencia, y agregó que la directiva “reducirá aún más la superficie de ataque del gobierno federal”. redes gubernamentales.”
Como parte de 25-01, también se recomienda a las agencias implementar herramientas de evaluación de configuración automatizadas desarrolladas por CISA para compararlas con las líneas de base, integrarlas con la infraestructura de monitoreo continuo de la agencia y abordar cualquier desviación de las líneas de base de configuración segura.
Si bien las líneas base están actualmente limitadas a Microsoft 365 (Azure Active Directory/Entra ID, Microsoft Defender, Exchange Online, Power Platform, SharePoint Online, OneDrive y Microsoft Teams), la agencia de ciberseguridad dijo que puede lanzar líneas base de configuración segura SCuBA adicionales para otras nubes. productos.
La BOD, denominada Implementación de prácticas seguras para servicios en la nube, exige principalmente que todas las agencias federales cumplan una serie de plazos el próximo año:
- Identifique a todos los inquilinos de la nube, incluido el nombre del inquilino y la agencia/componente propietario del sistema para cada inquilino a más tardar el 21 de febrero de 2025 (se actualizará anualmente)
- Implementar todas las herramientas de evaluación de SCuBA para los inquilinos de la nube dentro del alcance a más tardar el 25 de abril de 2025 e integrar los resultados de la herramienta con la infraestructura de monitoreo continuo de CISA o informarlos manualmente trimestralmente.
- Implementar todas las políticas obligatorias de SCuBA a más tardar el 20 de junio de 2025.
- Implementar todas las actualizaciones futuras de las políticas obligatorias de SCuBA dentro de los plazos especificados.
- Implementar todas las líneas base de configuración segura de SCuBA obligatorias y comenzar el monitoreo continuo de nuevos inquilinos de la nube antes de otorgar una autorización para operar (ATO)
CISA también recomienda encarecidamente a todas las organizaciones que implementen estas políticas para reducir los riesgos potenciales y mejorar la resiliencia en todos los ámbitos.
“Mantener líneas de base de configuración seguras es fundamental en el panorama dinámico de la ciberseguridad, donde los cambios de proveedores, las actualizaciones de software y las mejores prácticas de seguridad en evolución dan forma al entorno de amenazas”, dijo CISA. “Dado que los proveedores lanzan con frecuencia nuevas actualizaciones y parches para abordar las vulnerabilidades, las configuraciones de seguridad también deben ajustarse”.
“Al actualizar periódicamente las configuraciones de seguridad, las organizaciones aprovechan las últimas medidas de protección, reduciendo el riesgo de violaciones de seguridad y manteniendo mecanismos de defensa sólidos contra las amenazas cibernéticas”.
CISA impulsa el uso de servicios E2EE
La noticia de la Directiva Operativa Vinculante llega cuando CISA ha publicado una nueva guía sobre las mejores prácticas de comunicaciones móviles en respuesta a las campañas de ciberespionaje orquestadas por actores de amenazas vinculados a China, como Salt Typhoon, dirigidas a empresas de telecomunicaciones estadounidenses.
“Las personas altamente atacadas deben asumir que todas las comunicaciones entre dispositivos móviles -incluidos los dispositivos gubernamentales y personales- y los servicios de Internet corren el riesgo de ser interceptados o manipulados”, dijo CISA.
Con ese fin, se recomienda a las personas que ocupan altos cargos gubernamentales o políticos de alto nivel que:
- Utilice únicamente aplicaciones de mensajería cifradas de extremo a extremo (E2EE), como Signal
- Habilite la autenticación multifactor (MFA) resistente al phishing
- Deje de utilizar SMS como segundo factor de autenticación
- Utilice un administrador de contraseñas para almacenar todas las contraseñas
- Establezca un PIN para cuentas de teléfonos móviles para evitar ataques de intercambio de módulo de identidad de suscriptor (SIM)
- Actualizar el software periódicamente
- Cambie a dispositivos con el hardware más reciente para aprovechar las funciones de seguridad críticas
- No utilice una red privada virtual (VPN) personal debido a “políticas de seguridad y privacidad cuestionables”
- En dispositivos iPhone, habilite el modo de bloqueo, deshabilite la opción de enviar un iMessage como mensaje de texto, proteja las consultas del sistema de nombres de dominio (DNS), active la retransmisión privada de iCloud y revise y restrinja los permisos de las aplicaciones.
- En dispositivos Android, priorice la obtención de modelos de fabricantes que tengan un historial de compromisos de seguridad, use Rich Communication Services (RCS) solo si E2EE está habilitado, configure DNS para usar un solucionador confiable, habilite la protección mejorada para una navegación segura en Google Chrome, haga asegúrese de que Google Play Protect esté habilitado y revise y restrinja los permisos de las aplicaciones
“Si bien ninguna solución única elimina todos los riesgos, la implementación de estas mejores prácticas mejora significativamente la protección de las comunicaciones confidenciales contra actores cibernéticos maliciosos y afiliados al gobierno”, dijo CISA.
