Più rigorose di sicurezza, più controlli flessibili per l’autenticazione dell’utente sono stati fissati per il governo Australiano agenzie Essenziale Otto Modello di Maturità pubblicato dalla Australian Cyber Security Center (ACSC).
“Il ACSC è de-enfatizzare un certo numero di fattori di autenticazione vulnerabili all’interno del nostro modello di maturità, come l’uso di SMS,” un ACSC portavoce ha detto a ZDNet.
“Un esempio recente della vulnerabili natura di SMS è stato evidenziato dal compromesso di Reddit i conti a metà del 2018, in cui SMS i token sono stati acquisiti come parte dell’attacco.”
Il Modello di Maturità le misure di conformità dell’organizzazione Australiana Segnali di Direzione (ASD) Essenziale Otto strategie per mitigare gli attacchi informatici. Questa nuova versione porta il modello in linea con la nuova versione del governo Australiano Informazioni Manuale di Sicurezza (ISM), che è stato anche appena rilasciato, a seguito di forti aggiornamento a dicembre 2018.
Livello di maturità di tre significa che l’organizzazione per l’attuazione dell’Essenziale Otto è in piena conformità con ISM requisiti. Il basso i livelli di maturità “fornire un trampolino di lancio per le organizzazioni a raggiungere una conformi stato”.
In precedenza, l’autenticazione multi-factor ha richiesto l’utilizzo di una passphrase, più un altro fattore. Alla scadenza livelli uno e due, il permesso fattori di messaggi SMS, email, chiamate vocali, o certificati software, ma a livello tre sono stati banditi, e l’unica accettabile opzioni erano U2F chiavi di sicurezza, fisica one-time password (OTP) i gettoni, biometrici o smartcard.
Ora, i primi quattro sono consentiti solo al livello uno, il più immaturo a livello di attuazione riconosciuto.
“Ci stiamo spostando da una password, più ulteriore fattore di autenticazione’ approccio, ad uno dei due idonei, diversi fattori di autenticazione. Per esempio, la biometria più un U2F chiave di sicurezza,” il ACSC, ha detto.
“Questo supporta la più ampia industria direzione, di andare oltre l’utilizzo di password e guardare altri e più efficaci misure di protezione, quali la biometria e U2F chiavi di sicurezza.”
Ulteriori modifiche sono:
Applicazione di whitelisting è ora obbligatorio a livello di maturità dei due, così come il livello di tre.Il blocco dei contenuti web pericolosi come i contenuti Flash, Java apps, le macro di Microsoft Office e Object Linking and Embedding (OLE) i pacchetti, e la pubblicità sul web è ormai obbligatorio a livello di maturità di tre, come per la versione corrente della condizione Essenziale di Otto.Tecniche obbligatorie controlli di sicurezza per evitare che gli utenti con privilegi di lettura e-mail e la navigazione web, ora, deve anche impedire loro di ottenere dei file tramite i servizi online.Ci deve essere un “meccanismo automatico” a “confermare e registrare la distribuzione del sistema operativo e il firmware patch o aggiornamenti sono stati installati, applicato con successo e rimanere al loro posto”.
Mentre il ACSC non mandato scadenze per enti pubblici, per raggiungere determinati livelli di maturità, il Procuratore Generale del Dipartimento non prescrivere la conformità con i primi 4 come parte di una Protezione di Sicurezza Policy Framework (PSPF).
Mentre il livello di maturità 3 rappresenta la conformità ai requisiti Essenziali di Otto, le precedenti versioni del modello, incluso un quarto livello “più alto rischio di ambienti”. Che è stato eliminato.
“Dove il ACSC crede di un’organizzazione richiede un livello di maturità al di sopra di quello fornito dal livello di maturità 3, ACSC sarebbe fornire una consulenza personalizzata per soddisfare le esigenze specifiche dell’organizzazione,” il ACSC, ha detto.
“Il ACSC raccomanda che tutte le organizzazioni di implementare l’Essenziale Otto come una linea di base, e di ulteriori strategie di mitigazione da 37 Strategie di là che, sulla base dell’esposizione ai rischi e le minacce sicurezza informatica di maggiore preoccupazione per il loro business.”
Relativi Copertura
Australiano partiti politici anche colpito da stato attore in rete parlamentare attacco: PM
Il primo Ministro Scott Morrison ha detto un sofisticato stato attore ha colpito anche le reti, in Australia, i partiti politici, quando ha attaccato la rete parlamentare.
Il governo australiano offre Amazon Web Services protetto certificazione di livello
La nube gigante ora possibile memorizzare altamente sensibili carichi di lavoro per il governo Australiano entità.
ACSC discariche conferenza annuale, partner con l’AISA per eventi informatici
Australia cybersecurity agenzia unisce la nazione picco del corpo per i cyber professionisti per realizzare i programmi di sviluppo da parte del governo del Comune di Cyber Security Center.
ASD Direttore Generale colpisce presso la crittografia Bill notizie false
Sostiene che la nuova legge drive tech società offshore sono viziata, secondo ASD Direttore Generale Mike Burgess.
5G posta in gioco non potrebbe essere più alto, così abbiamo consigliato Huawei ban: ASD
Ad alto rischio di fornitori precedentemente potevano essere confinati a bordo di reti, ma 5G modifiche, l’Australiano Segnali di Direzione, ha detto.
Argomenti Correlati:
Australia
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati