DMARC e FedRAMP: Melhorar a segurança do correio eletrónico

À medida que as ciberameaças aumentam em número e intensidade e assumem uma vasta gama de novas formas, as organizações começam a prestar cada vez mais atenção à segurança do correio eletrónico. Isto é especialmente verdade para as organizações que trabalham com dados governamentais sensíveis. Um único ataque cibernético, grande ou pequeno, pode ser devastador para a reputação de um determinado governo, colocando também toda a população em risco (especialmente no caso de países e regiões em conflito).  

É por isso que o Programa Federal de Gestão de Riscos e Autorizações (FedRAMP) começou a dedicar uma atenção e esforços significativos ao estabelecimento de normas e protocolos de autenticação de correio eletrónico seguro, dando especial ênfase à Autenticação, Comunicação e Conformidade de Mensagens baseadas no Domínio (DMARC). Este artigo dir-lhe-á:

• O que é a conformidade com o FedRAMP?
• O papel do DMARC na conformidade com o FedRAMP
• Como implementar DMARC para sistemas compatíveis com FedRAMP
• Passos necessários para a implementação e conformidade
• Desafios na implementação do DMARC na estrutura do FedRAMP
  

O que é a conformidade com o FedRAMP?

O FedRAMP é uma certificação de autorização rigorosa para fornecedores de serviços em nuvem e plataformas baseadas em nuvem que fornece uma abordagem padronizada para avaliação de segurança, autorização e monitorização contínua de produtos e serviços em nuvem. O programa de conformidade do FedRAMP foi estabelecido já em 2011 para apoiar a iniciativa "Cloud First" do governo federal. O objetivo da "Cloud First" era acelerar a adoção de soluções de nuvem seguras nas agências federais.

Alguns dos principais objectivos da conformidade com o FedRAMP incluem

• Normalizar a abordagem da avaliação e autorização da segurança em todas as agências federais e conseguir a máxima coerência entre as diferentes partes interessadas
• Implementar controlos de segurança rigorosos e mecanismos de monitorização para estabelecer a confiança nas soluções de computação em nuvem entre as agências federais
• Reduzir ao mínimo a duplicação de avaliações de segurança para poupar recursos financeiros e não financeiros
• Ser flexível na resposta às ciberameaças em constante evolução e efetuar as alterações necessárias em tempo real

Simplifique o DMARC e o FedRAMP com o PowerDMARC!

Fases da conformidade com o FedRAMP

Agora que está familiarizado com os principais objectivos da conformidade com o FedRAMP, também é importante conhecer as diferentes fases da conformidade com o FedRAMP. 

1. Na primeira fase, os fornecedores de serviços de computação em nuvem (CSP) devem implementar os controlos de segurança necessários e documentar o seu sistema num Plano de Segurança do Sistema (SSP).
2.  Na segunda fase de avaliação, a Organização de Avaliação de Terceiros (3PAO) efectua uma avaliação de segurança independente. 
3. Em seguida, o Gabinete de Gestão do Programa FedRAMP (PMO) examina cuidadosamente o pacote de segurança e concede uma Autoridade para Operar (ATO). 

É importante referir que os CSP devem garantir continuamente a adesão às normas de segurança exigidas através de avaliações e ajustamentos regulares. 

O papel do DMARC na conformidade com o FedRAMP

O DMARC é um componente importante e mesmo indispensável da segurança do correio eletrónico no âmbito da estrutura do FedRAMP. O FedRAMP exige que todas as ofertas de serviços em nuvem (CSOs) que enviam e-mails em nome do Governo Federal implementem políticas DMARC aplicáveis. Este requisito é apenas um dos muitos Diretiva Operacional Vinculativa (DBO) 18-01 que foram emitidos pela Agência de Cibersegurança e Segurança das Infra-estruturas (CISA).

As razões subjacentes à integração do DMARC são numerosas e multifacetadas. Em primeiro lugar, o DMARC é de grande ajuda no processo de deteção e prevenção de ataques de phishing por correio eletrónico. Ao verificar a legitimidade da identidade do remetente, o DMARC garante que os destinatários podem confiar na origem das mensagens de correio eletrónico federais. As informações fornecidas pelos relatórios DMARC regulares também permitem que as agências identifiquem lacunas de segurança importantes e as resolvam antes que seja tarde demais. Isto não só aumentará a confiança entre os destinatários, como também aumentará a capacidade de entrega das mensagens de correio eletrónico federais, garantindo que as mensagens importantes chegam ao público-alvo pretendido.

Ler relacionado: Alterações à verificação de correio eletrónico do NCSC e o seu impacto na segurança do correio eletrónico do sector público do Reino Unido

Como implementar DMARC para sistemas compatíveis com FedRAMP

Abaixo está uma análise abrangente da implementação do DMARC para conformidade com o FedRAMP. O processo envolve várias etapas e componentes importantes. 

1. O primeiro passo envolve uma avaliação exaustiva da atual infraestrutura de correio eletrónico. Realizar uma auditoria exaustiva de todos os domínios e subdomínios utilizados para o envio de correio eletrónico em nome do Governo Federal, identificando todas as fontes de envio de correio eletrónico (por exemplo, serviços de terceiros). Esta avaliação inicial deve incluir um esboço da atual configuração de autenticação de correio eletrónico, como quaisquer SPF, DKIM ou outras configurações existentes.
2. A fase de implementação SPF e DKIM deve envolver a configuração de registos SPF para todos os domínios relevantes e a configuração da assinatura DKIM para os e-mails enviados. Antes de passar à fase de implementação do DMARC, deve testar as configurações SPF e DKIM e certificar-se de que estão corretamente definidas. 
3. Agora, vamos passar à fase de implementação do DMARC. A publicação de um registo DMARC no seu DNS deve seguir os parâmetros abaixo:

•  p=rejeitar (ou seja, as mensagens de correio eletrónico que não cumpram a norma DMARC devem ser rejeitadas)
•  pct=100 (ou seja, a política deve ser aplicada a 100% das mensagens de correio eletrónico)
• Os endereços de correio eletrónico da rua devem incluir mailto:[email protected]

4. Para obter configurações precisas do servidor de correio eletrónico, certifique-se de que todas as mensagens de correio eletrónico enviadas estão corretamente alinhadas com as configurações DMARC, SPF e DKIM e assegure o alinhamento correto do endereço De do envelope.

5. Documente sempre a implementação do DMARC no Apêndice A do Plano de Segurança do Sistema (SSP), de acordo com o FedRAMP Rev5. Certifique-se de que inclui detalhes sob os controlos adequados:

• SI-8 para linhas de base elevadas e moderadas
• SI-5 para Software como Serviço de Baixo Impacto e LiSaaS (Low Impact Software as a Service)

6. Pode sempre recorrer a ferramentas de verificação de registos DMARC para o ajudar no processo de configuração correta do DNS. Também pode enviar mensagens de correio eletrónico de teste de diferentes fontes para verificar a aplicação do DMARC e até fabricar tentativas de falsificação para garantir a segurança quando ocorrerem ataques reais.

7. Examine cuidadosamente o agregado DMARC (RUA) e forense (RUF), identificando potenciais ameaças à segurança e efectuando os ajustes necessários às suas configurações.

Para obter mais informações sobre a implementação do DMARC num CSO autorizado pelo FedRAMP, clique aqui.

Desafios na implementação do DMARC na estrutura do FedRAMP

A implementação do DMARC no âmbito da estrutura FedRAMP apresenta inúmeras vantagens, mas também grandes desafios.

Ter um domínio e um subdomínio

Desafio: A maioria das organizações tem mais do que um domínio e subdomínio. O que torna o processo ainda mais difícil é que cada um destes domínios e subdomínios pode estar a utilizar diferentes serviços de correio eletrónico.

Solução: Mapeie todo o seu ecossistema, com uma visão geral detalhada de todos os domínios e subdomínios, e crie um plano de implementação faseado para obter gradualmente a conformidade de cada um.

Utilização de serviços de terceiros

Desafio: Os CSP utilizam frequentemente serviços de terceiros para vários fins de comunicação por correio eletrónico.

Solução: Colabore apenas com fornecedores terceiros de confiança e peça-lhes que implementem a assinatura DKIM e o alinhamento correto do envelope De endereço.

Sistemas de correio eletrónico antigos

Desafio: Algumas entidades podem estar a utilizar sistemas de correio eletrónico tão antigos que não suportam o DKIM e os protocolos de autenticação modernos.

Solução: Uma vez que pode ser muito dispendioso atualizar ou alterar completamente a infraestrutura do sistema de correio eletrónico existente, pode tentar implementar gateways de correio eletrónico para adicionar cabeçalhos de autenticação às mensagens de correio eletrónico enviadas a partir dos seus antigos sistemas de correio eletrónico.

Monitorização contínua

Desafio: Como o FedRAMP exige que monitorize continuamente as suas políticas DMARC, terá de processar e analisar constantemente grandes volumes de relatórios DMARC. Isso pode consumir muito tempo, recursos financeiros e mão de obra humana, além de tirar o tempo que poderia ser gasto em outras tarefas importantes.

Solução: Para reduzir o tempo e os recursos gastos no processamento e análise de relatórios DMARC, pode utilizar ferramentas como o analisador de relatórios DMARC gratuito do PowerDMARC do PowerDMARC, que tornarão o processo mais rápido e eficiente.

Estabelecer os protocolos e mecanismos necessários

Desafio: Pode ser muito difícil, especialmente na fase inicial de implementação, definir e configurar todos os protocolos e mecanismos necessários para a autenticação de correio eletrónico e a conformidade com o FedRAMP.

Solução: Pode optar por colaborar com plataformas de segurança de autenticação de correio eletrónico estabelecidas e fiáveis, como a PowerDMARC. Essas plataformas oferecem frequentemente soluções tudo-em-um e têm as suas próprias equipas profissionais de especialistas em TI que podem tratar de todos os processos de instalação e configuração, para que possa desfrutar de paz de espírito e garantir a conformidade.

Resumindo

Embora a implementação do DMARC no âmbito da estrutura FedRAMP apresente vários desafios e dificuldades potenciais, é importante notar que a maioria, se não todos, desses desafios pode ser facilmente ultrapassada se colaborar com profissionais fiáveis. Além disso, depois de implementar com êxito o DMARC e os outros protocolos, depressa se aperceberá de que as vantagens de uma autenticação de correio eletrónico precisa ultrapassam em muito quaisquer desafios, custos ou barreiras tecnológicas. 

Melhorar a segurança do correio eletrónico para os fornecedores de serviços na nuvem não só ajudará a garantir a conformidade e a adesão ao FedRAMP, como também acrescentará uma camada importante de segurança às suas comunicações governamentais, melhorando a sua reputação e aumentando a sensação de segurança entre a sua população. Mostrar o compromisso com práticas de segurança de correio eletrónico a nível governamental é um passo importante para ecossistemas digitais melhores e mais saudáveis e uma menor probabilidade de ataques informáticos bem sucedidos. 

Contacte-nos hoje se pretender saber mais sobre a implementação correta do DMARC para a sua organização, seja no âmbito do FedRAMP ou para além dele, e ajudá-lo-emos a garantir os melhores resultados no mais curto espaço de tempo possível!

• Sobre
• Últimos Posts

Yunes Tarada

Especialista em segurança de domínios e e-mails da PowerDMARC

Yunes é um Operations Team Lead na PowerDMARC com conhecimentos especializados em autenticação e segurança de correio eletrónico. Yunes é um Microsoft-certified Azure Administrator Associate com certificações em CompTIA A+ e muito mais.

Últimas mensagens de Yunes Tarada (ver todas)

• Ataques de salting de correio eletrónico: Como o texto oculto contorna a segurança - 26 de fevereiro de 2025
• Alisamento do SPF: O que é e porque é que precisa dele? - 26 de fevereiro de 2025
• DMARC vs DKIM: Principais diferenças e como funcionam em conjunto - 16 de fevereiro de 2025