https://www.informationsecurity.com.tw/seminar/2025_TPinfosecurity365/
https://www.informationsecurity.com.tw/seminar/2025_TPinfosecurity365/

新聞

美國CISA下達強制命令:聯邦機構須加強微軟雲端系統安全防護

2024 / 12 / 24
編輯部
美國CISA下達強制命令:聯邦機構須加強微軟雲端系統安全防護
美國聯邦民用機構近期遭遇多起網路攻擊事件後,被要求加強其微軟雲端系統的安全防護。

美國網路安全暨基礎設施安全局(CISA)發布強制性指令,要求聯邦機構須在特定期限內完成雲端系統盤點、部署評估工具,並遵循該局制定的安全雲端商業應用程式(SCuBA)安全配置基準

自2022年4月以來,CISA 透過 SCuBA 專案提供指引與功能,確保聯邦機構的雲端商業應用環境安全,並保護其中建立、存取、共享和儲存的聯邦資訊。此次將 SCuBA 轉為強制性規定,標誌著一項重要的政策轉變。CISA 警告,近期事件顯示,攻擊者正利用系統配置錯誤和安全控制漏洞,進行資料竊取和服務干擾。

雖然該局並未提供細節,但在 2023 年和 2024 年間,已發生至少兩起重大聯邦政府資安事件,分別是來自俄羅斯和中國的駭客利用微軟雲端產品進行的入侵。

針對為何此時發布指令以及是否與特定事件相關的提問,CISA 網路安全副執行助理主任 Matt Hartman 回應指出,近期發生了「多起網路安全事件」,而雲端環境中的安全控制配置不當不僅帶來重大風險,更已造成實際的資安危害

Hartman 並未透露近期事件或入侵的具體細節,僅以 2020 年 SolarWinds 供應鏈攻擊事件為例。他向記者表示,這次的指令是 SolarWinds 事件後,為建立聯邦雲端環境統一安全防護方法的具體成果。他強調,這項強制性作業指令中的安全配置並非針對特定威脅者或事件,而是因應那些常被資源充沛的進階持續性威脅(APT)組織和一般網路犯罪者採用的入侵手法。

延伸閱讀:美國國土安全部通令,所有政府單位應立即停用遭駭之 SolarWinds Orion 產品

CISA 局長 Jen Easterly 在聲明中呼應這些觀點,強調惡意行為者正日益鎖定雲端環境為攻擊目標,且持續改進其入侵手法。她指出,該指令是「降低聯邦民用機構資安風險的重要一步」,並表示雖然指令僅適用於聯邦民用機構,但建議所有組織都應採納這些安全指引

在此之前,SCuBA 一直是自願性質的框架。據一位 CISA 官員表示,過去一年的試點計畫中有 13 個機構採用了該框架,CISA 也依據各機構的回饋持續優化。

目前 CISA 僅發布了 Microsoft Office 365 的 SCuBA 基準,預計於 2025 年第二季前完成 Google Workspace 的相關基準。

聯邦民用機構須於2025 年2月21日前完成雲端系統清查,並在每年第一季更新清單。所有 SCuBA 評估工具須於2025年4月25日前完成部署,同時各機構必須向 CISA 提交定期合規報告。此外,各機構須於2025年6月20日前,完成此強制性指令的所有要求。

本文轉載自 TheRecord。