- CISA vaardigt BOD 25-01 uit, de eerste bindende richtlijn van het jaar
- Het richt zich op de Microsoft 365-beveiliging, die wordt bedreigd
- Binnenkort zullen ook andere cloudproviders worden toegevoegd
De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft zijn eerste bindende operationele richtlijn voor 2025 uitgevaardigd, die een reeks regels en vereisten bevat om ervoor te zorgen dat de Microsoft 365 wolk omgevingen voldoen aan de cyberbeveiligingsnormen.
BOD 25-01 is verplicht voor alle systemen en middelen van de Federal Civilian Executive Branch (FCEB), maar CISA adviseert ook bedrijven in de particuliere sector om mee te doen.
Het draait om de implementatie van een aangepaste tool voor de beoordeling van automatiseringsconfiguraties (ScubaGear voor Microsoft 365-audits), de integratie met de continue monitoringinfrastructuur van CISA en het vervolgens oplossen van eventuele afwijkingen van de lijst met vereiste veilige configuratiebasislijnen (SCB).
Verplicht beleid
„Recente cyberveiligheidsincidenten benadrukken de aanzienlijke risico’s die voortkomen uit verkeerde configuraties en zwakke beveiligingscontroles, die aanvallers kunnen gebruiken om ongeoorloofde toegang te verkrijgen, gegevens te exfiltreren of diensten te verstoren“, aldus CISA.
“Deze richtlijn vereist dat federale civiele instanties specifieke cloudtenants identificeren, beoordelingstools implementeren en cloudomgevingen afstemmen op de veilige configuratiebasislijnen van CISA’s Secure Cloud Business Applications (SCuBA).”
Dit is wat CISA van FCEB-organisaties eist:
– Identificeer vóór 21 februari 2025 alle cloudtenants die binnen het toepassingsgebied van deze richtlijn vallen.
– Implementeer alle SCUBA-beoordelingstools voor betrokken cloudtenants uiterlijk vrijdag 25 april 2025
– Implementeer al het verplichte SCUBA-beleid dat van kracht is vanaf de publicatie van de richtlijn, uiterlijk op vrijdag 20 juni 2025
– Implementeer alle toekomstige updates van het verplichte duikbeleid
– Implementeer alle verplichte SCUBA Secure Configuration Baselines
De lijst met alle verplichte polissen kunt u vinden op de Vereiste configuratiewebsite. Op het moment van schrijven omvatte het veilige configuratiebasislijnen voor Microsoft 365, Azure Active DIrectory / Entra ID, Microsoft Defender, Exchange Online, Power Platform, SharePoint Online & OneDrive en Microsoft Teams.
Googlen en andere cloudplatforms zullen de komende maanden volgen.
CISA heeft ook een lijst met verplichte handelingen, daarover kunt u meer lezen hier.
Via BleepingComputer
