L’Australia invita le aziende ad applicare patch di sicurezza critiche più velocemente
L'Australia incoraggia le aziende a implementare le patch di sicurezza critiche in modo più tempestivo
L’Australia ha aggiornato le sue linee guida per la mitigazione dei rischi informatici per le organizzazioni, apportando modifiche che includono una scadenza per l’applicazione di patch critiche e limiti ai privilegi amministrativi.
Le modifiche fanno parte di un aggiornamento annuale del Modello di Maturità Essential Eight della nazione, introdotto per la prima volta nel giugno 2017 per guidare le imprese nella protezione delle loro reti IT collegate a Internet contro le comuni minacce informatiche, secondo la Australian Signals Directorate (ASD). Gli aggiornamenti si basano su informazioni di intelligence sulle minacce e test di penetrazione, valutazione delle implementazioni Essential Eight e feedback dai settori pubblico e privato, sia localmente che a livello globale.
Inoltre: 6 semplici regole di sicurezza informatica che puoi applicare ora
La più recente revisione include anche l’adozione dell’autenticazione multifattore “resistente alle phishing”, la gestione dei servizi cloud e la rilevazione e risposta agli incidenti per l’infrastruttura a fronte di Internet, ha dichiarato la ASD. L’agenzia di intelligence fa parte del Dipartimento della Difesa del governo federale, dove sovrintende alla sicurezza delle informazioni e all’intelligence delle comunicazioni legate alle reti di telecomunicazioni, dati e comunicazione del paese.
Il Modello di Maturità Essential Eight fornisce una base progettata per rendere più difficile per gli avversari compromettere i sistemi. Il modello copre otto aree chiave, come il controllo delle applicazioni, le restrizioni dei macro Microsoft Office e l’indurimento delle applicazioni utente.
- Questo pannello solare EcoFlow 160W impermeabile è scontato da $1,1...
- Questo televisore Hisense da 65 pollici è scontato di $300 nel Cybe...
- Questa soundbar JBL ha uno sconto di $300 per il Cyber Monday
Con l’ultimo aggiornamento, è stata posta una maggiore attenzione alle istanze di patching di priorità superiore, ha affermato la ASD, aggiungendo che ciò è stato implementato sulla base della valutazione del tempo medio che gli attori malintenzionati impiegano per sfruttare le vulnerabilità.
Quando i fornitori valutano una vulnerabilità come di natura critica, ad esempio per la sua capacità di aggirare l’autenticazione per l’accesso privilegiato o facilitare l’esecuzione del codice remoto senza interazione dell’utente, le organizzazioni dovrebbero applicare una patch o mitigare la vulnerabilità entro 48 ore. Questo cambiamento si applica ai livelli di maturità da uno a tre, ha osservato la ASD.
Nel modello Essential Eight, il livello di maturità uno è di solito applicato alle piccole e medie imprese, mentre il livello due è adatto alle grandi imprese. Il livello di maturità tre è per i fornitori di infrastrutture critiche e le organizzazioni che operano in ambienti a rischio elevato.
“Fornendo indicazioni per il patching prioritario, è stata posta maggiore enfasi sul patching delle applicazioni che interagiscono abitualmente con contenuti non attendibili provenienti da Internet, come suite per la produttività di ufficio, browser web, client di posta elettronica, software PDF e software di sicurezza”, ha spiegato la ASD.
Ciò ha determinato la necessità di un periodo di patching più breve per tali applicazioni, da un mese a due settimane. Le attività di scansione delle vulnerabilità sono state anche aggiornate da almeno quindicinale a almeno settimanale per queste applicazioni, ha affermato l’agenzia governativa. Questo cambiamento colpisce le aziende con livello di maturità uno.
Per aiutare le aziende ad affrontare questi cambiamenti, i tempi di patching per i sistemi operativi per dispositivi meno importanti, come workstation e server non connessi a Internet, sono stati estesi da due settimane a un mese. Le attività di scansione delle vulnerabilità per tali dispositivi sono state anche riviste da almeno settimanale a almeno quindicinale. Questo cambiamento influenzerà le aziende nei livelli di maturità due e tre.
Inoltre, sono state applicate varie richieste per affrontare l’assenza di processi di governo relativi all’assegnazione e al controllo dell’accesso privilegiato ai repository dati.
Inoltre: Sicurezza informatica 101: Tutto su come proteggere la tua privacy e rimanere al sicuro online
“I requisiti che impediscono l’accesso a Internet agli account privilegiati sono stati modificati in modo misurato per supportare la gestione dei servizi cloud”, ha dichiarato ASD. “Tali account dovranno essere esplicitamente identificati e strettamente limitati agli accessi e ai compiti necessari.”
Questa modifica incide sulle aziende con livelli di maturità compresi tra uno e tre.
Ad esempio, sotto le restrizioni ai privilegi amministrativi, le aziende con un livello di maturità due dovrebbero aggiungere un requisito per convalidare le richieste di accesso privilegiato ai repository di dati al primo utilizzo. Inoltre, dovrebbero disabilitare l’accesso privilegiato ai repository di dati dopo 12 mesi, a meno che non venga riconvalidato.”
