CISA-Sicherheitsanforderungen: Schutz sensibler Informationen
Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (Cybersecurity and Infrastructure Security Agency, CISA) hat kürzlich Vorschläge für Sicherheitsanforderungen bekannt gegeben, die verhindern sollen, dass feindliche Nationen Zugang zu persönlichen und regierungsbezogenen Daten der Amerikaner erhalten. Die vorgeschlagenen Richtlinien sind Teil einer umfassenderen Maßnahme im Rahmen der Executive Order 14117, die von Präsident Biden Anfang des Jahres unterzeichnet wurde, und spiegeln die wachsende Besorgnis über Datensicherheitsrisiken wider, die die nationale Sicherheit bedrohen.
Angesichts zunehmender Datenschutzverletzungen und staatlich geförderter Cyber-Aktivitäten zielen diese Sicherheitsanforderungen darauf ab, ausländische Bedrohungen abzuwehren und die Sicherheitslage von US-Einrichtungen zu stärken.
Wer ist von den CISA-Sicherheitsanforderungen betroffen?
Die neuen Sicherheitsanforderungen richten sich in erster Linie an Organisationen, die eingeschränkte Transaktionen mit großen Mengen sensibler personenbezogener Daten aus den USA oder Daten im Zusammenhang mit staatlichen Interessen durchführen. Der Schwerpunkt liegt dabei auf Unternehmen in Bereichen wie Technologie, Telekommunikation, Gesundheitswesen, Biotechnologie, Finanzen und Verteidigungsaufträge. Die Anforderungen des CISA zielen darauf ab, Risiken zu mindern, die entstehen könnten, wenn die von diesen Organisationen verwalteten Daten an "bedenkliche Länder" oder "erfasste Personen" weitergegeben werden, zu denen im Allgemeinen Nationen und Einzelpersonen gehören, die für Cyberspionage und staatlich geförderte Hacking-Kampagnen gegen US-Interessen bekannt sind.
Was sind die vorgeschlagenen Sicherheitsanforderungen?
CISA legt den Schwerpunkt auf zwei Bereiche: Sicherheit auf Organisations- und Systemebene und Sicherheitsanforderungen auf Datenebene. Im Folgenden finden Sie eine Übersicht über einige wichtige Vorschläge.
- Unternehmen sollten jeden Monat ein Bestandsverzeichnis führen und aktualisieren, einschließlich IP-Adressen und MAC-Adressen der Hardware.
- Behebung bekannter Sicherheitslücken (KEVs) innerhalb von 14 Tagen.
- Beheben Sie kritische Sicherheitslücken innerhalb von 15 Tagen (auch wenn sie nicht ausgenutzt werden) und hochgefährliche Sicherheitslücken innerhalb von 30 Tagen. TuxCare's KernelCare Enterprise kann diesen Prozess erheblich rationalisieren, indem es das Patchen von Kernel-Schwachstellen automatisiert, ohne dass ein Neustart erforderlich ist. KernelCare unterstützt alle wichtigen Linux-Distributionen für Unternehmen, darunter Ubuntu, Debian, RHEL, CentOS, Rocky Linux, AlmaLinux, CloudLinux, Oracle Linux, Amazon Linux und weitere.
- CISA schlägt vor, eine genaue Netzwerktopologie zu erhalten, um Vorfälle effektiv zu erkennen und darauf zu reagieren.
- Erzwingen Sie die Multi-Faktor-Authentifizierung (MFA) auf kritischen Systemen und setzen Sie starke Passwortrichtlinien (mindestens 16 Zeichen) ein. Entziehen Sie außerdem sofort die Zugangsdaten, wenn Personen das Unternehmen verlassen oder die Rolle wechseln.
- Implementieren Sie Richtlinien, um zu verhindern, dass nicht autorisierte Geräte wie USB-Geräte an geschützte Systeme angeschlossen werden.
- Sammeln und speichern Sie Protokolle zu zugriffs- und sicherheitsrelevanten Ereignissen mindestens 12 Monate lang (oder bis zur endgültigen Klärung einer Datenverletzung). Dazu gehören IDS/IPS-Warnungen (Intrusion Detection System/Intrusion Prevention System), Firewall-Protokolle, VPN- und Login-Ereignisse, um eine rechtzeitige Identifizierung potenzieller Sicherheitsverletzungen zu ermöglichen.
- Verweigern Sie standardmäßig alle Verbindungen, es sei denn, sie sind für bestimmte Funktionen ausdrücklich erlaubt.
- Anwendung von Strategien zur Datenminimierung und Datenmaskierung, um die Notwendigkeit der Datenerfassung oder -verschleierung zu verringern.
- Verschlüsselung von sensiblen Daten bei allen eingeschränkten Transaktionen zum Schutz vor unbefugtem Zugriff. Verschlüsseln Sie Daten bei der Übertragung und im Ruhezustand mit einer dem Industriestandard entsprechenden Verschlüsselung (z. B. TLS 1.2 oder höher). Bewahren Sie Verschlüsselungsschlüssel separat auf und verhindern Sie den Zugriff durch nicht autorisierte Personen oder Standorte.
- Verwenden Sie Techniken wie homomorphe Verschlüsselung und differentiellen Datenschutz, um die Rekonstruktion verdeckter Daten zu verhindern und sicherzustellen, dass verarbeitete Daten nicht mit sensiblen Informationen in Verbindung gebracht werden können.
Schlussfolgerung
Die CISA bittet die Öffentlichkeit um Rückmeldungen zu diesen vorgeschlagenen Sicherheitsanforderungen, bevor sie endgültig verabschiedet werden. Wenn Ihnen die Datensicherheit am Herzen liegt und Sie zu einer sichereren digitalen Zukunft beitragen möchten, können Sie Ihre Kommentare auf regulations.gov abgeben, indem Sie nach CISA-2024-0029 suchen und die Option "Comment Now!" auswählen.
Bei der Anpassung von Unternehmen an die neuen Sicherheitsanforderungen der CISA kann die Implementierung moderner Ansätze wie automatisiertes Live-Patching den Prozess zur Behebung von Schwachstellen vereinfachen und gleichzeitig die Unterbrechungen minimieren. KernelCare Enterprise ermöglicht es Unternehmen, Sicherheit und Compliance aufrechtzuerhalten, ohne die Betriebszeit oder die betriebliche Kontinuität zu beeinträchtigen.
Haben Sie Fragen zu Linux-Sicherheit, Schwachstellen-Patching oder Compliance-Standards? Wenden Sie sich noch heute an unsere Experten - wir helfen Ihnen gerne, effektive Lösungen für Ihr Unternehmen zu finden!
Quelle: KAG