Strengere nog meer flexibele besturing voor authenticatie van de gebruiker zijn ingesteld voor de Australische overheid in de nieuwe van Essentieel belang Acht Maturity Model gepubliceerd door de Australische Cyber Security Centrum (ACSC).
“De ACSC is de nadruk op een aantal kwetsbare verificatie factoren binnen onze maturity model, zoals het gebruik van SMS,” een ACSC woordvoerder vertelde ZDNet.
“Een recent voorbeeld van de kwetsbare natuur van de SMS werd gemarkeerd door het compromis van Reddit accounts medio 2018, waar SMS-tokens werden opgenomen als onderdeel van de aanval.”
Het Maturity Model van maatregelen die een organisatie in overeenstemming is met de Australische Signals Directorate (ASD) van Essentieel belang Acht strategieën voor het verzachten van cyber-aanvallen. Deze nieuwe versie brengt het model in lijn met de nieuwe versie van de Australische overheid de Beveiliging van Informatie, Handleiding (ISM), die ook werd uitgebracht, de volgende grote update in December 2018.
Rijpheid van drie betekent dat de organisatie de implementatie van de Essentiële Acht in overeenstemming is met de ISM-eisen. De lagere volwassenheidsniveaus “stepping stones voor organisaties om het bereiken van een compatibele staat”.
Eerder, multi-factor authenticatie vereist het gebruik van een wachtzin plus een andere factor. Op de vervaldag niveaus één en twee, de toegestane factoren opgenomen SMS-berichten, e-mails, telefoongesprekken, of software certificaten, maar op niveau drie werden ze verbannen, en de enige aanvaardbare opties waren U2F beveiligingssleutels, fysieke one-time password (OTP tokens, biometrische, of smartcards.
Nu, die eerste vier zijn alleen toegestaan op niveau één, de meest onvolwassen uitvoering erkend niveau.
“We zijn ook de overgang van een ‘wachtwoord plus extra verificatie factor’ benadering, om het even welke twee geschikt, verschillende authenticatie factoren. Bijvoorbeeld, biometrie en een U2F beveiligingssleutel,” de ACSC zei.
“Dit past in het bredere industrie richting te gaan dan het gebruik van wachtwoorden en kijken naar andere, meer effectieve maatregelen ter bescherming zoals biometrie en U2F beveiliging toetsen.”
Verdere veranderingen zijn:
Application whitelisting is nu verplicht op de vervaldag van niveau twee en drie.Het blokkeren van risicovolle web-inhoud, zoals Flash-inhoud, Java apps, Microsoft Office-macro ‘ s en Object Linking and Embedding (OLE) pakketten en web pagina is nu verplicht op de vervaldag niveau drie, volgens de huidige versie van het van Essentieel belang Acht.Verplichte technische beveiliging controles om te voorkomen dat gebruikers van e-mails lezen en browsen op het web moet nu ook voorkomen dat het verkrijgen van bestanden via online services.Er moet een “geautomatiseerd mechanisme” te “bevestigen en record die ingezet besturingssysteem en de firmware van patches of updates zijn geïnstalleerd, met succes toegepast en blijven”.
Terwijl de ACSC niet mandaat tijdlijnen voor overheden om specifieke volwassenheidsniveaus, de Procureur-Generaal Departement schrijft de naleving van de Top 4 als onderdeel van de Beschermende Security Policy Framework (PSPF).
Terwijl maturity level 3 geeft een beeld van de naleving van de Essentiële Acht, vorige versies van het model is dat onder een vierde niveau, voor de “hogere risico-omgevingen”. Dat is al gedaald.
“Waar de ACSC gelooft dat een organisatie vereist een niveau boven die van niveau 3, de ACSC zou geven advies op maat om te voldoen aan de specifieke behoeften van de organisatie,” de ACSC zei.
“De ACSC beveelt aan dat alle organisaties implementeren van Essentieel belang Acht als een basislijn en een aanvullende strategieën van de 37 Strategieën verder dan dat, gebaseerd op de blootstelling aan risico’ s en cybersecurity bedreigingen van de belang voor hun business.”
Verwante Dekking
Australische politieke partijen ook getroffen door statelijke actor in de parlementaire netwerk aanval: PM
Minister-president Scott Morrison heeft gezegd dat een verfijnde state actor ook op de netwerken van Australië ‘ s van de politieke partijen als het aangevallen de parlementaire netwerk.
De australische overheid geeft Amazon Web Services beschermd certificering
De cloud gigantische kunt nu zeer gevoelige werkbelasting voor de Australische regering entiteiten.
ACSC dumpt jaarlijkse conferentie, partners met AISA voor cyber evenementen
Australië ‘s cybersecurity agentschap bundelt de natie piek orgaan voor de cyber-professionals te leveren ontwikkeling van programma’ s door de overheid Gezamenlijk Cyber Security Centra.
ASD Directeur-Generaal hits op encryptie Bill nep-nieuws
Beweert dat de nieuwe wetgeving rijden tech bedrijven offshore gebrekkig zijn, volgens ASD Directeur-Generaal Mike Burgess.
5G inzet kon niet worden hoger, zodat we geadviseerd Huawei ban: ASS
Hoog-risico-leveranciers kunnen eerder worden beperkt tot de rand van netwerken, maar 5G veranderingen, de Australische Signalen Directie heeft gezegd.
Verwante Onderwerpen:
Australië
Beveiliging TV
Data Management
CXO
Datacenters