Cybersecurity and Infrastructure Security Agency ได้เปิดตัวการกำหนดค่าความปลอดภัยขั้นต่ำสำหรับแอปพลิเคชันธุรกิจบนคลาวด์ที่ใช้กันอย่างแพร่หลาย และขณะนี้ Microsoft กำลังทำงานร่วมกับ CISA ในเครื่องมือการประเมินเพื่อช่วยวัดความก้าวหน้าของรัฐบาลกลางที่มีต่อมาตรฐานโปรแกรม Secure Cloud Business Applications (SCuBA) ของ Cybersecurity and Infrastructure Security Agency ได้เผยแพร่การกำหนดค่าที่ครอบคลุมแปดบริการใน Microsoft 365 Series ซึ่งรวมถึง Microsoft Teams, Exchange Online และ Azure Active Directory
“พื้นฐานเหล่านี้จะเริ่มต้นชุดของความพยายามนำร่อง
เพื่อพัฒนาแนวทางปฏิบัติด้านความปลอดภัยบนคลาวด์ทั่วทั้ง [สาขาผู้บริหารพลเรือนของรัฐบาลกลาง] และปกป้องข้อมูลที่ละเอียดอ่อนและบริการของรัฐได้อย่างมีประสิทธิภาพยิ่งขึ้น” Michael Duffy ผู้อำนวยการร่วมของ CISA เขียนในบล็อกโพสต์เมื่อวันที่ 20 ตุลาคม .CISA เริ่มทำงานในโครงการ SCuBAเมื่อปีที่แล้วโดยได้รับทุนสนับสนุนจาก American Rescue Plan เป้าหมายคือการตั้งค่าความปลอดภัยมาตรฐานสำหรับแอปพลิเคชันทางธุรกิจที่ใช้กันอย่างแพร่หลายในหน่วยงานราชการ ซึ่งเป็นช่องว่างที่เปิดเผยในการแฮ็ก SolarWinds
ข้อมูลเชิงลึกโดย DocuSign: แบบสำรวจใหม่ของ Federal News Network แสดงให้เห็นว่าพนักงานฝ่ายทรัพยากรบุคคลของรัฐบาลทราบดีว่าหน่วยงานต่างๆ จะต้องเร่งความเร็วและปรับปรุงกระบวนการสรรหา การจ้างงาน และการรักษาพนักงาน ดาวน์โหลดรายงานการสำรวจของเราตอนนี้เพื่อเรียนรู้เพิ่มเติม
ขณะนี้ CISA กำลังขอความคิดเห็นสาธารณะเกี่ยวกับเอกสารพื้นฐานด้านความปลอดภัยจนถึงวันที่ 24 พฤศจิกายน
“บรรทัดฐานเหล่านี้ได้รับการพัฒนาโดยคำนึงถึงความยืดหยุ่นเพื่อ
ให้ทันกับเทคโนโลยีและความสามารถที่พัฒนาไปพร้อมกับปกป้ององค์กรของรัฐบาลกลางในปัจจุบัน” ดัฟฟี่เขียน “แม้ว่าเอกสารเหล่านี้มีจุดประสงค์หลักเพื่อใช้โดยหน่วยงานของรัฐบาลกลาง แต่ CISA ขอแนะนำให้ทุกองค์กรที่ใช้บริการคลาวด์ทบทวนพื้นฐานและดำเนินการตามแนวทางปฏิบัติตามความเหมาะสม”
Steve Faehl หัวหน้าเจ้าหน้าที่เทคโนโลยีด้านความปลอดภัยของ Microsoft Federal กล่าวว่าบริษัทกำลังร่วมมือกับ CISA เพื่อพัฒนา “เครื่องมือประเมินพื้นฐานด้านความปลอดภัย” เพื่อช่วยวัดความคืบหน้าของหน่วยงานด้วยการกำหนดค่าความปลอดภัย
Faehl กล่าวในการให้สัมภาษณ์กับ Federal News Network ว่า “นั่นนำมาซึ่งความสามารถในการประเมินการนำการกำหนดค่าเหล่านั้นมาใช้ ทำได้ในปริมาณมาก และทำอย่างต่อเนื่อง” “และในโครงการเหล่านี้ สิ่งที่สำคัญที่สุดอย่างหนึ่งคือการแจกแจงและวัดความก้าวหน้า นั่นคือส่วนที่เราคิดว่าเราสามารถช่วยได้จริงๆ ไม่ใช่แค่การให้คำแนะนำที่ช่วยสนับสนุนการกำหนดค่าแนวปฏิบัติที่ดีที่สุดเท่านั้น แต่ยังช่วยให้ CISA บรรลุลายน้ำในระดับนั้นด้วย”
การกำหนดค่าที่เผยแพร่โดย CISA เป็นการยกระดับ “ค่อนข้างต่ำ” สำหรับหน่วยงานที่จะนำไปใช้ Faehl กล่าว และสถานการณ์จะแตกต่างกันไปตามสภาพแวดล้อมและภารกิจของหน่วยงาน แต่พวกเขาวาด “เส้นบนผืนทราย” ที่สำคัญเมื่อพูดถึงความคาดหวังขั้นต่ำ
“เนื่องจากมีการร้องขอความคิดเห็นเกี่ยวกับเส้นฐานเหล่านี้ จึงน่าจะเป็นที่ที่ความคิดเห็นจำนวนมากจะเข้ามา บรรทัดนั้นมีลักษณะอย่างไร และคำนึงถึงกรณีขอบที่หน่วยงานของฉันต้องจัดการด้วยหรือไม่” เฟห์ลกล่าว
พื้นฐานการรักษาความปลอดภัยถูกขับเคลื่อนโดยกลุ่มภายใต้สภาเจ้าหน้าที่สารสนเทศของรัฐบาลกลางที่เรียกว่า “ทีม Cyber Innovation Tiger” ตามรายงานของ CISAMike Witt หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูล องค์การบริหารการบินและอวกาศแห่งชาติ
James Saunders, CISO, สำนักงานบริหารงานบุคคล
Beau Houser, CISO, สำนักสำรวจสำมะโนประชากร
Andrew Havely, CTO, กระทรวงมหาดไทยของสหรัฐอเมริกา
Han Wei Lin, Sandia National Laboratories
Sanjay Gupta หัวหน้าเจ้าหน้าที่สารสนเทศ สำนักงานตรวจคนเข้าเมือง กระทรวงยุติธรรม
Faehl กล่าวว่าทีมนำมุมมองและภูมิหลังที่หลากหลายมาสู่งานกำหนดการกำหนดค่ามาตรฐานทั่วทั้งรัฐบาล
“การมีส่วนร่วมของผู้เชี่ยวชาญในระดับนั้นและการให้ความรู้ของเราแก่พวกเขาเป็นวิธีที่ยอดเยี่ยมในการขยายความรู้นั้นทั่วทั้งสาขาพลเรือนของรัฐบาลกลาง” เขากล่าว
ในขณะเดียวกัน CISA จะเผยแพร่พื้นฐานการกำหนดค่าที่คล้ายกันสำหรับแอปพลิเคชัน Google Workspace “ในอีกไม่กี่เดือนข้างหน้า” ตามข้อมูลของ Duffy
Credit : เว็บสล็อตแท้ / สล็อตเว็บตรงไม่ผ่านเอเย่นต์