DMARC e FedRAMP: migliorare la sicurezza delle e-mail

Con l'aumento del numero e dell'intensità delle minacce informatiche, che assumono una vasta gamma di nuove forme, le organizzazioni iniziano a prestare sempre più attenzione alla sicurezza delle e-mail. Questo è particolarmente vero per le organizzazioni che lavorano con dati sensibili della pubblica amministrazione. Un singolo attacco informatico, grande o piccolo che sia, può essere devastante per la reputazione di un determinato governo e mettere a rischio l'intera popolazione (soprattutto nel caso di Paesi e regioni in conflitto).  

Per questo motivo il Federal Risk and Authorization Management Program (FedRAMP) ha iniziato a dedicare un'attenzione e un impegno significativi alla definizione di standard e protocolli di autenticazione sicura delle e-mail, con particolare attenzione al Domain-based Message Authentication, Reporting, and Conformance (DMARC). Questo articolo vi illustrerà:

• Che cos'è la conformità FedRAMP?
• Il ruolo di DMARC nella conformità FedRAMP
• Come implementare il DMARC per i sistemi conformi a FedRAMP
• Passi necessari per l'implementazione e la conformità
• Sfide nell'implementazione del DMARC nel quadro FedRAMP
  

Che cos'è la conformità FedRAMP?

FedRAMP è una rigorosa certificazione di autorizzazione per i fornitori di servizi cloud e le piattaforme basate su cloud che fornisce un approccio standardizzato alla valutazione della sicurezza, all'autorizzazione e al monitoraggio continuo dei prodotti e dei servizi cloud. Il programma di conformità FedRAMP è stato istituito già nel 2011 per sostenere l'iniziativa "Cloud First" del governo federale. L'obiettivo di "Cloud First" era quello di accelerare l'adozione di soluzioni cloud sicure nelle agenzie federali.

Alcuni obiettivi primari della conformità FedRAMP includono:

• Standardizzare l'approccio alla valutazione e all'autorizzazione della sicurezza in tutte le agenzie federali e ottenere la massima coerenza tra le diverse parti interessate.
• Implementare rigorosi controlli di sicurezza e meccanismi di monitoraggio per stabilire la fiducia nelle soluzioni cloud tra le agenzie federali.
• Ridurre al minimo le valutazioni di sicurezza duplicate per risparmiare risorse finanziarie e non finanziarie.
• Essere flessibili in risposta alle minacce informatiche in continua evoluzione e apportare le modifiche necessarie in tempo reale.

Semplificate DMARC e FedRAMP con PowerDMARC!

Fasi della conformità FedRAMP

Ora che conoscete gli obiettivi principali della conformità FedRAMP, è anche importante conoscere le diverse fasi della conformità FedRAMP. 

1. Nella prima fase, i Cloud Service Provider (CSP) sono tenuti a implementare i necessari controlli di sicurezza e a documentare il proprio sistema in un Piano di sicurezza del sistema (SSP).
2.  Nella seconda fase di valutazione, la Third-Party Assessment Organization (3PAO) conduce una valutazione di sicurezza indipendente. 
3. Quindi, il FedRAMP Program Management Office (PMO) esamina attentamente il pacchetto di sicurezza e concede l'Authority to Operate (ATO). 

È importante ricordare che i CSP devono garantire costantemente l'aderenza agli standard di sicurezza richiesti attraverso valutazioni e adeguamenti regolari. 

Il ruolo di DMARC nella conformità FedRAMP

Il DMARC è un componente importante, se non addirittura indispensabile, della sicurezza delle e-mail nell'ambito del framework FedRAMP. FedRAMP richiede a tutte le offerte di servizi cloud (CSO) che inviano e-mail per conto del governo federale di implementare politiche DMARC applicabili.. Questo requisito è solo uno dei tanti Direttiva operativa vincolante (BOD) 18-01 emesse dalla Cybersecurity and Infrastructure Security Agency (CISA).

Le ragioni alla base dell'integrazione del DMARC sono numerose e molteplici. In primo luogo, il DMARC è di grande aiuto nel processo di individuazione e prevenzione degli attacchi di phishing via e-mail. Verificando la legittimità dell'identità del mittente, il DMARC garantisce che i destinatari possano fidarsi dell'origine delle e-mail federali. Le informazioni fornite dai rapporti periodici sul DMARC consentono inoltre alle agenzie di identificare importanti lacune nella sicurezza e di risolverle prima che sia troppo tardi. Questo non solo aumenterà la fiducia dei destinatari, ma aumenterà anche la deliverability delle e-mail federali, garantendo che i messaggi importanti raggiungano i destinatari previsti.

Leggi anche: Modifiche al controllo della posta dell'NCSC e loro impatto sulla sicurezza delle e-mail del settore pubblico del Regno Unito

Come implementare il DMARC per i sistemi conformi a FedRAMP

Di seguito è riportata una descrizione completa dell'implementazione del DMARC per la conformità FedRAMP. Il processo prevede diverse fasi e componenti importanti. 

1. La prima fase prevede una valutazione approfondita dell'attuale infrastruttura di posta elettronica. Conducete un audit completo di tutti i domini e sottodomini utilizzati per l'invio di e-mail per conto del Governo Federale, identificando tutte le fonti di invio di e-mail (ad esempio, servizi di terze parti). Questa valutazione iniziale dovrebbe includere una panoramica dell'attuale configurazione di autenticazione delle e-mail, come ad esempio qualsiasi SPF, DKIM o altre configurazioni esistenti.
2. La fase di implementazione di SPF e DKIM dovrebbe prevedere la configurazione dei record SPF per tutti i domini interessati e l'impostazione della firma DKIM per le e-mail in uscita. Prima di passare alla fase di implementazione del DMARC, è necessario testare le configurazioni SPF e DKIM e assicurarsi che siano impostate correttamente. 
3. Passiamo ora alla fase di implementazione del DMARC. La pubblicazione di un record DMARC nel DNS deve seguire i parametri indicati di seguito:

•  p=rifiuta (cioè le email che non superano il DMARC dovrebbero essere rifiutate)
•  pct=100 (cioè il criterio deve essere applicato al 100% delle email)
• Gli indirizzi e-mail di rua devono includere mailto:[email protected]

4. Per una configurazione accurata del server di posta elettronica, assicuratevi che tutte le e-mail in uscita siano correttamente allineate con le configurazioni DMARC, SPF e DKIM e assicurate il corretto allineamento dell'indirizzo Da della busta.

5. Documentate sempre l'implementazione del DMARC nel System Security Plan (SSP) Appendice A come da FedRAMP Rev5. Assicuratevi di includere i dettagli nei controlli appropriati:

• SI-8 per linee di base alte e moderate
• SI-5 per il software a basso impatto e LiSaaS (Low Impact Software as a Service)

6. È sempre possibile utilizzare strumenti di controllo dei record DMARC per aiutarvi nel processo di corretta configurazione del DNS. Potete anche inviare e-mail di prova da diverse fonti per verificare l'applicazione del DMARC e persino creare tentativi di spoofing per garantire la sicurezza in caso di attacchi reali.

7. Esaminare attentamente l'aggregato DMARC (RUA) e forense (RUF), identificando le potenziali minacce alla sicurezza e apportando le necessarie modifiche alle vostre configurazioni.

Per ulteriori informazioni sull'implementazione del DMARC in un CSO autorizzato FedRAMP, fare clic su qui.

Sfide nell'implementazione del DMARC nel quadro FedRAMP

L'implementazione del DMARC all'interno del framework FedRAMP comporta numerosi vantaggi ma anche sfide di ampio respiro.

Un dominio e un sottodominio

Sfida: La maggior parte delle organizzazioni ha più di un dominio e sottodominio. A rendere il processo ancora più impegnativo è il fatto che ognuno di questi domini e sottodomini potrebbe utilizzare servizi di posta elettronica diversi.

Soluzione: Mappare l'intero ecosistema, con una panoramica dettagliata di tutti i domini e sottodomini, e creare un piano di implementazione graduale per raggiungere gradualmente la conformità per ciascuno di essi.

Utilizzo di servizi di terze parti

Sfida: I CSP utilizzano spesso servizi di terze parti per vari scopi di comunicazione via e-mail.

Soluzione: Collaborare solo con fornitori di terze parti affidabili e chiedere loro di implementare la firma DKIM e il corretto allineamento dell'indirizzo della busta Da.

Vecchi sistemi di posta elettronica

Sfida: Alcune entità potrebbero utilizzare sistemi di posta elettronica talmente vecchi da non poter supportare DKIM e i moderni protocolli di autenticazione.

Soluzione: Poiché può essere molto costoso aggiornare o cambiare completamente l'infrastruttura del sistema di posta elettronica esistente, si può provare a implementare i gateway di posta elettronica per aggiungere intestazioni di autenticazione alle e-mail in uscita dai vecchi sistemi di posta elettronica.

Monitoraggio continuo

Sfida: Poiché FedRAMP richiede un monitoraggio continuo delle politiche DMARC, dovrete elaborare e analizzare costantemente grandi volumi di rapporti DMARC. Questo può consumare molto tempo, risorse finanziarie e manodopera, sottraendo tempo da dedicare ad altre attività importanti.

Soluzione: Per ridurre il tempo e le risorse dedicate all'elaborazione e all'analisi dei rapporti DMARC, è possibile utilizzare strumenti come l'analizzatore gratuito di rapporti DMARC di PowerDMARC che renderanno il processo più rapido ed efficiente.

Istituire i protocolli e i meccanismi necessari

Sfida: Potrebbe essere molto difficile, soprattutto nella fase iniziale di implementazione, impostare e configurare tutti i protocolli e i meccanismi necessari per l'autenticazione delle e-mail e la conformità FedRAMP.

Soluzione: Potete scegliere di collaborare con piattaforme di sicurezza per l'autenticazione delle e-mail consolidate e affidabili, come PowerDMARC. Queste piattaforme offrono spesso soluzioni all-in-one e dispongono di team professionali di esperti IT che si occupano di tutti i processi di impostazione e configurazione, in modo da garantire la massima tranquillità e la conformità.

Riassumendo

Anche se l'implementazione del DMARC all'interno del framework FedRAMP comporta diverse sfide e difficoltà potenziali, è importante notare che la maggior parte, se non tutte, possono essere facilmente superate se si collabora con professionisti affidabili. Inoltre, una volta implementati con successo il DMARC e gli altri protocolli, vi renderete presto conto che i vantaggi di un'autenticazione accurata delle e-mail superano di gran lunga le sfide, i costi o le barriere tecnologiche. 

Migliorare la sicurezza della posta elettronica per i fornitori di servizi cloud non solo aiuterà a garantire la conformità e l'aderenza a FedRAMP, ma aggiungerà anche un importante livello di sicurezza alle vostre comunicazioni governative, migliorando la vostra reputazione e aumentando il senso di sicurezza e protezione tra la vostra popolazione. Dimostrare l'impegno verso pratiche di posta elettronica sicura a livello governativo è un passo importante verso ecosistemi digitali migliori e più sani e una minore probabilità di attacchi informatici di successo. 

Contattateci oggi stesso se desiderate saperne di più sulla corretta implementazione del DMARC per la vostra organizzazione, sia nell'ambito di FedRAMP che oltre, e vi aiuteremo a garantire i migliori risultati nel minor tempo possibile!

• Informazioni su
• Ultimi messaggi

Yunes Tarada

Esperto di sicurezza dei domini e delle e-mail presso PowerDMARC

Yunes è un Operations Team Lead di PowerDMARC, esperto di autenticazione e sicurezza delle e-mail. Yunes è un Azure Administrator Associate certificato da Microsoft con certificazioni in CompTIA A+ e molte altre.

Ultimi messaggi di Yunes Tarada (vedi tutti)

• Regole per i mittenti di e-mail di massa per Google, Yahoo, Microsoft e Apple iCloud Mail - 14 aprile 2025
• Attacchi di salting via e-mail: Come il testo nascosto aggira la sicurezza - 26 febbraio 2025
• Appiattimento della SPF: Cos'è e perché ne avete bisogno? - 26 febbraio 2025