Hårdare ännu mer flexibla kontroller för autentisering av användare har ställts in för Australiska myndigheter i den nya Väsentliga Åtta Maturity Model som publiceras av den Australiska Cyber Security Centre (ACSC).
“ACSC är de-betona ett antal utsatta autentisering faktorer inom vår maturity model, såsom användning av SMS,” en ACSC talesperson berättade ZDNet.
“Ett aktuellt exempel på hur sårbara arten av SMS, lyftes fram av den kompromiss som på Reddit konton i mitten av 2018, där SMS polletter var fångad som en del av attacken.”
Löptid Modellen åtgärder som en organisation som är i överensstämmelse med den Australiska Signaler Direktoratet (ASD) Väsentliga Åtta strategier för att minska it-attacker. Denna nya version tar modellen i linje med den nya versionen av den Australiska regeringens Information Security Manual (ISM), som var också precis släppt, efter stora uppdateringen i December 2018.
Löptid nivå tre innebär att organisationens tillämpning av de Grundläggande Åtta är helt i enlighet med ISM-krav. Den lägre mognad nivåer “fungera som en språngbräda för organisationer att nå fram till en kompatibel staten”.
Tidigare, multi-faktor autentisering krävs användning av ett lösenord plus en annan faktor. Vid förfall nivå ett och två, får de faktorer som ingår SMS-meddelanden, e-post, telefonsamtal eller programvara certifikat, men på nivå tre och de var förbjudna, och de enda godtagbara alternativen var U2F nycklar säkerhet, fysiska one-time password (OTP) tokens, biometriska, eller smartcards.
Nu, de första fyra är endast tillåtna på nivå ett, den mest omogna genomförandet redovisas.
“Vi är också på väg från ett “lösenord plus en ytterligare faktor autentisering’, till någon två lämpliga, olika autentisering faktorer. Till exempel, biometri plus en U2F säkerhetsnyckel,” ACSC sagt.
“Detta är ett stöd för den bredare industri riktning för att flytta bortom användning av lösenord och titta på andra, mer effektiva skyddsåtgärder såsom biometri och U2F nycklar säkerhet.”
Ytterligare förändringar inkluderar:
Ansökan vitlistor är nu obligatoriskt vid förfall nivå två och nivå tre.Blockering av riskfyllda webbinnehåll som till exempel Flash-innehåll, Java-program, Microsoft Office-makron och objektlänkning och Inbäddning (OLE) paket, och webb-annonser är nu obligatoriskt vid förfall nivå tre, som per den nuvarande versionen av Väsentliga Åtta.Obligatoriska tekniska säkerhetsåtgärder för att förhindra privilegierade användare från att läsa e-post och surfa på webben måste nu också hindra dem att få filer via online-tjänster.Det måste finnas en “automatisk mekanism” för att “bekräfta och registrera distribuerat operativsystem och firmware-uppdateringar eller uppdateringar som har installerats, används framgångsrikt och stanna kvar på platsen”.
Medan ACSC inte mandat tidslinjer för myndigheter att nå en viss mognad nivåer, riksåklagarens Avdelning inte förskriva överensstämmelse med de bästa 4 som en del av sin Skyddande Säkerhet Policy Framework (PSPF).
Medan löptid nivå 3 innebär överensstämmelse med de Väsentliga Åtta, tidigare versioner av modellen ingår en fjärde nivå, för “högre risk miljöer”. Det är tappats.
“Där ACSC anser att en organisation kräver en mognad som mognadsgrad 3, ACSC skulle ge skräddarsydda råd för att uppfylla de särskilda behoven i organisationen,” ACSC sagt.
“ACSC rekommenderar att alla organisationer för att genomföra de Nödvändiga Åtta som en baslinje, och ytterligare riskreducerande strategier från 37 Strategier utöver det, som baseras på riskexponering och cybersäkerhet hot av störst intresse för deras verksamhet.”
Relaterade Täckning
Australiska politiska partier också drabbats av statlig aktör i parlamentariska nätverk attack: PM
Premiärminister Scott Morrison har sagt en sofistikerad statlig aktör även hit nätverk av Australiens politiska partier när det angrep den parlamentariska nätverk.
Australiska regeringen ger Amazon Web Services skyddade nivå certifiering
Molnet jätte kan nu lagra mycket känsliga arbetsbelastning för Australiska myndigheter.
ACSC tippar årliga konferens, som partner med AISA för it-händelserna
Australien är cybersäkerhet myndigheten ansluter sig till landets topp organ för it-proffs för att leverera utvecklingsprogram genom regeringens Gemensamma It-Säkerhet Centrum.
ASD generaldirektör slår ut på kryptering Bill falska nyheter
Hävdar att den nya lagstiftningen kommer att driva tech-företag offshore är bristfällig, enligt ASD generaldirektör Mike Burgess.
5G insatser kunde inte vara högre så att vi rekommenderas Huawei förbud: ASD
Hög risk leverantörer tidigare kunde begränsas till kanten av nätverk, men 5G förändringar som den Australiska Signaler Direktoratet har sagt.
Relaterade Ämnen:
Australien
Säkerhet-TV
Hantering Av Data
CXO
Datacenter