دستور آژانس امنیت سایبری و زیرساخت آمریکا برای ایمن‌سازی سیستم‌های ابری مایکروسافت

به گزارش کارگروه بین الملل خبرگزاری سایبربان، آژانس امنیت سایبری و امنیت زیرساخت‌های ایالات متحده (CISA) روز سه‌شنبه یک دستورالعمل الزام‌آور صادر کرد که به سازمان‌های فدرال مهلتی برای شناسایی سیستم‌های ابری، اجرای ابزارهای ارزیابی و رعایت استانداردهای ایمن‌سازی برنامه‌های کسب‌وکار ابری (SCuBA) این آژانس ارائه می‌دهد.

از آوریل ۲۰۲۲، آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده پروژه ایمن‌سازی برنامه‌های کسب‌وکار ابری را برای ارائه راهنمایی و توانایی‌های لازم جهت ایمن‌سازی محیط‌های برنامه‌های کسب‌وکار ابری سازمان‌های فدرال و حفاظت از اطلاعات فدرال ایجادشده، قابل دسترسی، به اشتراک گذاشته‌شده و ذخیره‌شده در این محیط‌ها آغاز کرده است.

تلاش برای الزامی کردن این اقدامات جدید است و آژانس امنیت سایبری و امنیت زیرساخت آمریکا هشدار داده است که حوادث اخیر نشان داده‌اند مهاجمان می‌توانند از طریق پیکربندی‌های نادرست و کنترل‌های امنیتی ضعیف داده‌ها را سرقت کرده و خدمات را مختل کنند.

اگرچه این آژانس جزئیات زیادی ارائه نداد، اما در سال‌های ۲۰۲۳ و ۲۰۲۴ حداقل دو نفوذ بزرگ به سیستم‌های دولتی فدرال توسط هکرهای روسی و چینی از طریق محصولات ابری مایکروسافت انجام شده است.

زمانی که از مت هارتمن، معاون مدیر اجرایی آژانس امنیت سایبری و امنیت زیرساخت‌های ایالات متحده در امور امنیت سایبری، پرسیده شد که چرا این دستورالعمل اکنون صادر شده یا آیا با حادثه خاصی مرتبط است، او بیان کرد:

اخیرا تعداد زیادی از حوادث امنیت سایبری رخ داده که در آن‌ها پیکربندی نامناسب کنترل‌های امنیتی در محیط‌های ابری خطرات زیادی ایجاد کرده و منجر به سرقت‌های واقعی شده است.

هارتمن جزئیات بیشتری درباره این حوادث یا نفوذها ارائه نداد و تنها به کمپین سولار ویندز (SolarWinds) در سال ۲۰۲۰ به‌عنوان یک مثال اشاره کرد.

او در جمع خبرنگاران اظهار کرد:

این نتیجه کارهایی است که پس از کمپین سولار ویندز آغاز کردیم تا رویکردی متمرکز و یکپارچه برای ایمن‌سازی محیط ابری فدرال ایجاد کنیم. پیکربندی‌هایی که این دستورالعمل عملیاتی الزام‌آور نیاز دارد، مختص هیچ تهدید یا حادثه خاصی نیستند. این تنظیمات به طور مداوم توسط تهدیدهای پیچیده و تأمین مالی‌شده و همچنین مجرمان سایبری معمولی استفاده می‌شوند.

جِن ایسترلی، مدیر آژانس امنیت سایبری و امنیت زیرساخت‌های ایالات متحده، در بیانیه‌ای با تأیید این اظهارات نوشت که عوامل مخرب به‌طور فزاینده‌ای محیط‌های ابری را هدف قرار داده و تاکتیک‌های خود را برای دسترسی اولیه به فضای ابری تکامل می‌بخشند. این دستورالعمل گامی مهم در جهت کاهش خطر برای سازمان‌های غیرنظامی فدرال است. اگرچه این دستورالعمل تنها برای سازمان‌های غیرنظامی فدرال الزامی است، اما هر سازمانی باید این راهنما را بپذیرد.

تا امروز، هیچ الزامی برای پیروی از ایمن‌سازی برنامه‌های کسب‌وکار ابری وجود نداشت.

یکی از مقامات آژانس امنیت سایبری و امنیت زیرساخت آمریکا عنوان کرد که در سال گذشته یک برنامه آزمایشی اجرا شد که طی آن ۱۳ سازمان این چارچوب را پذیرفتند و آژانس بر اساس پاسخ‌های این سازمان‌ها بهبودهایی در آن اعمال کرد.

آژانس امنیت سایبری و امنیت زیرساخت تاکنون استانداردهای ایمن‌سازی برنامه‌های کسب‌وکار ابری را فقط برای مایکروسافت آفیس 365 (Microsoft Office 365) منتشر کرده است و برنامه‌ریزی کرده که تا سه‌ماهه دوم سال ۲۰۲۵ یک نسخه برای گوگل وورک اسپیس (Google Workspace) ارائه دهد.

سازمان‌های غیرنظامی فدرال تا ۲۱ فوریه ۲۰۲۵ فرصت دارند فهرستی از تمام سیستم‌های ابری تحت نظارت خود ایجاد کنند و باید این فهرست را در سه‌ماهه اول هر سال به‌روزرسانی کنند.

تمام ابزارهای ارزیابی ایمن‌سازی برنامه‌های کسب‌وکار ابری باید تا ۲۵ آوریل ۲۰۲۵ پیاده‌سازی شوند و سازمان‌ها باید گزارش‌دهی مستمر الزامات را به آژانس امنیت سایبری و امنیت زیرساخت‌های ایالات متحده آغاز کنند.

تا ۲۰ ژوئن ۲۰۲۵، سازمان‌ها باید بقیه الزامات دستورالعمل الزام‌آور صادرشده در روز سه‌شنبه را اجرا کنند.