L'Agenzia per la Sicurezza delle Infrastrutture e della Cybersecurity degli Stati Uniti (CISA) ha emesso una nuova direttiva operativa vincolante, la BOD 25-01, che impone alle agenzie civili federali di mettere in sicurezza i loro ambienti cloud. Questo richiede l'adozione delle configurazioni sicure delle applicazioni aziendali cloud (SCuBA). La direttiva è stata emessa in risposta a recenti incidenti di cybersecurity, che hanno evidenziato i rischi significativi causati da configurazioni errate e controlli di sicurezza deboli. Tali vulnerabilità possono essere sfruttate dagli attaccanti per ottenere accessi non autorizzati, esfiltrare dati o interrompere servizi.

Le agenzie sono anche invitate a implementare strumenti di valutazione della configurazione automatizzata sviluppati da CISA, per misurare la conformità con le configurazioni di sicurezza di base e per integrare con l'infrastruttura di monitoraggio continuo dell'agenzia. Attualmente, le configurazioni di base sono limitate ai prodotti Microsoft 365, ma CISA prevede di estenderle ad altri prodotti cloud.

La direttiva obbliga le agenzie a soddisfare una serie di scadenze nel 2025: identificare tutti i tenant cloud entro il 21 febbraio, distribuire gli strumenti di valutazione SCuBA entro il 25 aprile, implementare tutte le politiche obbligatorie SCuBA entro il 20 giugno e monitorare continuamente i nuovi tenant cloud prima di concedere un'Autorizzazione ad Operare (ATO).

CISA raccomanda vivamente a tutte le organizzazioni di adottare queste politiche per ridurre i rischi e migliorare la resilienza complessiva. Mantenere configurazioni sicure è essenziale in un panorama di cybersecurity in continua evoluzione, dove le modifiche dei fornitori, gli aggiornamenti software e le pratiche di sicurezza in evoluzione modellano l'ambiente delle minacce.

Nuove linee guida CISA

In parallelo, CISA ha rilasciato nuove linee guida sulle migliori pratiche di comunicazione mobile in risposta a campagne di spionaggio informatico orchestrate da attori legati alla Cina, come Salt Typhoon, che prendono di mira le aziende di telecomunicazioni statunitensi. Viene consigliato a individui in posizioni governative o politiche senior di utilizzare applicazioni di messaggistica crittografata end-to-end (E2EE) come Signal, abilitare l'autenticazione a più fattori resistente al phishing, evitare l'uso di SMS come secondo fattore di autenticazione e utilizzare un gestore di password.

CISA sottolinea che, sebbene nessuna soluzione singola possa eliminare tutti i rischi, l'implementazione di queste migliori pratiche migliora significativamente la protezione delle comunicazioni sensibili contro attori cyber malintenzionati affiliati ai governi.