Strammere endnu mere fleksibel kontrol til brugergodkendelse, er blevet indstillet for den Australske regering agenturer i den nye Væsentlige Otte Maturity Model udgivet af den Australske Cyber Security Center (ACSC).
“ACSC er de-lægge vægt på en række sårbare godkendelse faktorer i vores modenhedsmodel, såsom brugen af SMS,” en ACSC talsmand fortalte ZDNet.
“Det seneste eksempel af den sårbare natur SMS blev fremhævet af det kompromis, der af Reddit konti i midten af 2018, hvor SMS-tokens, blev optaget som en del af angrebet.”
Løbetid Model foranstaltninger, som en organisation, der er i overensstemmelse med den Australske Signaler Direktorat (ASD) Væsentlige Otte strategier for reduktion af cyber-angreb. Denne nye version bringer modellen i overensstemmelse med den nye version af den Australske regerings informationssikkerhed-Vejledning (ISM), som også netop frigivet, efter et større opdatering i December 2018.
Modenhed tre betyder, at organisationens gennemførelse af de Væsentlige Otte er i fuld overensstemmelse med ISM-kodens krav. Den lavere modenhed “udgøre et springbræt for organisationer at nå frem til en kompatibel tilstand”.
Tidligere, multi-faktor-autentificering, der kræves anvendelse af en kode, plus en anden faktor. Ved modenhed niveau et og to, den må gerne medbringes faktorer, der indgår SMS-beskeder, e-mails, telefonopkald, eller software-certifikater, men på niveau tre, de blev forbudt, og den eneste acceptable valg var U2F sikkerhed nøgler, fysiske one-time password (OTP) tokens, biometriske, eller smartcards.
Nu, de første fire er kun tilladt på niveau et, de mest umodne gennemførelse anerkendt niveau.
“Vi er også på vej fra et ‘password plus ekstra authentication factor’ tilgang, at to egnede, forskellige godkendelse faktorer. For eksempel, biometri plus en U2F sikkerhedsnøgle,” ACSC sagde.
“Dette understøtter den bredere industri retning at bevæge sig uden brug af adgangskoder og se på andre, mere effektive beskyttelsesforanstaltninger, såsom biometri og U2F sikkerhed nøgler.”
Yderligere ændringer omfatter:
Application hvidlistning er nu obligatorisk ved modenhed to samt niveau tre.Blokering af risikofyldte web-indhold såsom Flash-indhold, Java apps, Microsoft Office-makroer og Object Linking and Embedding (OLE) pakker, og web-annoncer er nu obligatorisk løbetid på niveau tre, som pr den nuværende version af de Væsentlige Otte.Obligatoriske tekniske sikkerhedskontrol for at forhindre privilegerede brugere i at læse e-mails og surfe på internettet, skal nu også forhindre dem i at opnå filer via online-tjenester.Der skal være en “automatisk mekanisme” til “bekræft og registrere, at indsættelse af operativsystemer og firmware, patches eller opdateringer er blevet installeret, anvendt med succes og forblive på plads”.
Mens ACSC ikke mandat tidsfrister for offentlige myndigheder til at nå specifikke løbetid niveauer, justitsministeren s Department ikke ordinere overensstemmelse med den Top 4 som en del af dens Beskyttende Security Policy Framework (PSPF).
Mens løbetid niveau 3 repræsenterer overensstemmelse med de Væsentlige Otte, tidligere versioner af modellen indgår en fjerde niveau, for “højere risiko miljøer”. Det er blevet droppet.
“Hvor ACSC mener, at en organisation kræver en løbetid niveau over den, der ved modenhed på niveau 3, ACSC ville give skræddersyet rådgivning til at opfylde de specifikke behov i organisationen,” ACSC sagde.
“ACSC anbefaler, at alle organisationer, der gennemfører Væsentlige Otte som en baseline, og yderligere reduktion strategier fra 37 Strategier ud, der, baseret på risiko-eksponering, og cybersikkerhed trusler af størst betydning for deres virksomhed.”
Relaterede Dækning
Australske politiske partier også ramt af statslig aktør i parlamentariske netværk angreb: PM
Premierminister Scott Morrison har sagt, en sofistikeret statslig aktør, der også ramte netværk af Australiens politiske partier, når det angrebet den parlamentariske netværk.
Australske regering giver Amazon Web Services er beskyttet niveau certificering
Cloud gigant kan nu opbevares meget følsomme arbejdsbyrde for den Australske regering enheder.
ACSC lossepladser årlige konference, partnere med AISA for cyber begivenheder
Australiens cybersecurity agentur forbinder nation ‘ s peak krop for it-fagfolk til at levere programmer for udvikling, gennem regeringens Fælles Cyber Security Centre.
ASD generaldirektør hits ud på kryptering Bill falske nyheder
Hævder, at den nye lovgivning vil drive tech virksomheder offshore er behæftet med fejl, i henhold til ASD Director-General Mike Burgess.
5G indsatser ikke kunne være højere, så vi opmærksom på, Huawei forbud: ASD
Høj-risiko-leverandører kunne tidligere være begrænset til kanten af netværk, men 5G ændringer, at den Australske Signaler Direktoratet har sagt.
Relaterede Emner:
Australien
Sikkerhed-TV
Data Management
CXO
Datacentre