По мере роста числа и интенсивности киберугроз, принимающих все новые формы, организации начинают уделять все больше внимания безопасности электронной почты. Это особенно актуально для организаций, работающих с конфиденциальными правительственными данными. Одна кибератака, большая или маленькая, может оказаться разрушительной для репутации правительства, а также подвергнуть риску все население (особенно в случае стран и регионов, охваченных конфликтами).
Именно поэтому Федеральная программа управления рисками и авторизацией (FedRAMP) начала уделять значительное внимание и усилиям по созданию стандартов и протоколов безопасной аутентификации электронной почты, уделяя особое внимание аутентификации, отчетности и соответствию сообщений на основе домена (DMARC). В этой статье мы расскажем вам:
- Что такое соответствие требованиям FedRAMP?
- Роль DMARC в обеспечении соответствия требованиям FedRAMP
- Как внедрить DMARC для систем, соответствующих требованиям FedRAMP
- Необходимые шаги для внедрения и соблюдения требований
- Проблемы при внедрении DMARC в рамках FedRAMP
Что такое соответствие требованиям FedRAMP?
FedRAMP - это строгая сертификация поставщиков облачных услуг и облачных платформ, которая обеспечивает стандартизированный подход к оценке безопасности, авторизации и постоянному мониторингу облачных продуктов и услуг. Программа соответствия FedRAMP была создана еще в 2011 году для поддержки инициативы федерального правительства "Cloud First". Цель инициативы "Cloud First" заключалась в ускорении внедрения безопасных облачных решений в федеральных агентствах.
К основным целям соответствия требованиям FedRAMP относятся:
- Стандартизировать подход к оценке и авторизации безопасности во всех федеральных агентствах и добиться максимальной согласованности между различными заинтересованными сторонами
- Внедрить строгие средства контроля безопасности и механизмы мониторинга для обеспечения доверия к облачным решениям среди федеральных агентств
- Сведите к минимуму дублирование оценок безопасности, чтобы сэкономить финансовые и нефинансовые ресурсы
- Гибко реагируйте на постоянно возникающие киберугрозы и вносите необходимые изменения в режиме реального времени
Этапы обеспечения соответствия требованиям FedRAMP
Теперь, когда вы знакомы с ключевыми целями соответствия требованиям FedRAMP, важно также узнать о различных этапах соответствия требованиям FedRAMP.
- На первом этапе поставщики облачных услуг (CSP) должны внедрить необходимые средства контроля безопасности и задокументировать свою систему в план безопасности системы (SSP).
- На втором, оценочном этапе, независимая организация по оценке безопасности Third-Party Assessment Organization (3PAO) проводит независимую оценку безопасности.
- Затем офис управления программами FedRAMP (PMO) тщательно изучает пакет безопасности и выдает разрешение на эксплуатацию (ATO).
Важно отметить, что CSP должны постоянно обеспечивать соблюдение требуемых стандартов безопасности путем регулярных оценок и корректировок.
Роль DMARC в обеспечении соответствия требованиям FedRAMP
DMARC является важным и даже незаменимым компонентом защиты электронной почты в рамках системы FedRAMP. FedRAMP требует, чтобы все предложения облачных сервисов (CSO), отправляющие электронную почту от имени федерального правительства, применяли обязательные политики DMARC. Это требование - лишь одно из многих. обязательных операционных директив (BOD) 18-01 которые были выпущены Агентством по кибербезопасности и защите инфраструктуры (CISA).
Причины интеграции DMARC многочисленны и многообразны. Во-первых, DMARC оказывает существенную помощь в процессе обнаружения и предотвращения фишинговых атак на электронную почту. Проверяя легитимность личности отправителя, DMARC гарантирует, что получатели могут доверять происхождению федеральных писем. Данные, предоставляемые регулярными отчетами DMARC, также позволяют агентствам выявлять важные пробелы в системе безопасности и устранять их, пока не стало слишком поздно. Это не только повысит доверие получателей, но и улучшит доставляемость федеральной электронной почты, гарантируя, что важные сообщения дойдут до целевой аудитории.
Читайте также: Изменения в проверке почты NCSC и их влияние на безопасность электронной почты в государственном секторе Великобритании
Как внедрить DMARC для систем, соответствующих требованиям FedRAMP
Ниже приведен полный обзор процесса внедрения DMARC для соответствия требованиям FedRAMP. Этот процесс включает в себя несколько важных этапов и компонентов.
- Первый шаг включает в себя тщательную оценку текущей инфраструктуры электронной почты. Проведите комплексный аудит всех доменов и поддоменов, которые используются для отправки электронной почты от имени федерального правительства, выявив все источники отправки электронной почты (например, сторонние службы). Эта первоначальная оценка должна включать в себя описание текущих настроек аутентификации электронной почты, таких как существующие конфигурации SPF, DKIM или другие.
- На этапе внедрения SPF и DKIM необходимо настроить SPF-записи для всех соответствующих доменов и установить DKIM-подписи для исходящих писем. Прежде чем переходить к этапу внедрения DMARC, необходимо протестировать конфигурации SPF и DKIM и убедиться, что они настроены правильно.
- Теперь перейдем к этапу реализации DMARC. Публикация записи DMARC в вашем DNS должна соответствовать приведенным ниже параметрам:
- p=reject (т.е. письма, не прошедшие DMARC, должны быть отклонены)
- pct=100 (т.е. политика должна применяться к 100% писем)
- Адреса электронной почты rua должны содержать mailto:[email protected]
- Для точной настройки почтового сервера убедитесь, что все исходящие письма правильно согласованы с конфигурациями DMARC, SPF и DKIM, а также обеспечьте правильное согласование адреса From конверта.
- Всегда документируйте реализацию DMARC в Приложении A к Плану безопасности системы (SSP) в соответствии с FedRAMP Rev5. Убедитесь, что вы включили подробности в соответствующие элементы управления:
- SI-8 для высокого и умеренного исходных уровней
- SI-5 для низкого и LiSaaS (программное обеспечение как услуга с низким воздействием)
- Вы всегда можете воспользоваться инструменты для проверки DMARC-записей чтобы помочь вам в процессе правильной настройки DNS. Вы также можете отправлять тестовые письма из разных источников, чтобы проверить соблюдение DMARC и даже самостоятельно сфабриковать попытки подмены, чтобы обеспечить безопасность при реальных атаках.
- Внимательно изучите совокупность DMARC (RUA) и криминалистические (RUF) отчеты, выявляя потенциальные угрозы безопасности и внося необходимые изменения в свои конфигурации.
Для получения дополнительной информации о внедрении DMARC в авторизованном в рамках FedRAMP CSO, нажмите здесь.
Проблемы при внедрении DMARC в рамках FedRAMP
Внедрение DMARC в рамках FedRAMP дает множество преимуществ, но также сопряжено с широким спектром проблем.
Наличие одного домена и поддомена
Задача: Большинство организаций имеют более одного домена и поддомена. Процесс усложняется тем, что каждый из этих доменов и поддоменов может использовать различные почтовые службы.
Решение: Составьте карту всей вашей экосистемы с подробным обзором всех доменов и поддоменов и создайте поэтапный план внедрения, чтобы постепенно добиться соответствия для каждого из них.
Использование услуг третьих лиц
Задача: Компании CSP часто используют сторонние сервисы для различных целей обмена электронной почтой.
Решение: Сотрудничайте только с надежными сторонними провайдерами и просите их внедрить DKIM-подпись и надлежащее согласование конверта с адресом From.
Старые системы электронной почты
Вызов: Некоторые организации могут использовать почтовые системы, которые настолько устарели, что не поддерживают DKIM и современные протоколы аутентификации.
Решение: Поскольку обновление или полное изменение существующей инфраструктуры почтовой системы может оказаться очень дорогостоящим, можно попробовать использовать почтовые шлюзы для добавления заголовков аутентификации в исходящие сообщения из старых почтовых систем.
Непрерывный мониторинг
Задача: Поскольку согласно требованиям FedRAMP вы должны постоянно контролировать свои политики DMARC, вам придется постоянно обрабатывать и анализировать большие объемы отчетов DMARC. Это может отнимать много времени, финансовых ресурсов и человеческого труда, а также время, которое вы могли бы потратить на другие важные задачи.
Решение: Чтобы сократить время и ресурсы, затрачиваемые на обработку и анализ отчетов DMARC, вы можете использовать такие инструменты, как бесплатный анализатор отчетов DMARC от PowerDMARC которые сделают этот процесс более быстрым и эффективным.
Создание необходимых протоколов и механизмов
Задача: Установить и настроить все необходимые протоколы и механизмы для аутентификации электронной почты и соответствия требованиям FedRAMP может быть очень сложно, особенно на начальном этапе внедрения.
Решение: Вы можете сотрудничать с известными и надежными платформами безопасности аутентификации электронной почты, такими как PowerDMARC. Такие платформы часто предлагают решения "все в одном" и имеют собственные профессиональные команды ИТ-экспертов, которые могут взять на себя все процессы установки и настройки, чтобы вы могли быть спокойны за соблюдение нормативных требований.
Подведение итогов
Несмотря на то что внедрение DMARC в рамках FedRAMP сопряжено с рядом потенциальных проблем и трудностей, важно отметить, что большинство из них, если не все, можно легко преодолеть, если вы сотрудничаете с надежными профессионалами. Более того, как только вы успешно внедрите DMARC и другие протоколы, вы вскоре поймете, что преимущества точной аутентификации электронной почты намного перевешивают любые проблемы, затраты или технологические барьеры.
Повышение безопасности электронной почты для поставщиков облачных услуг не только поможет обеспечить соответствие требованиям FedRAMP, но и добавит важный уровень безопасности в правительственные коммуникации, улучшит вашу репутацию и повысит чувство защищенности и безопасности среди населения. Демонстрация приверженности безопасной работе с электронной почтой на правительственном уровне - это важный шаг к улучшению и оздоровлению цифровых экосистем и снижению вероятности успешных кибератак.
Свяжитесь с нами сегодня если вы хотите узнать больше о правильном внедрении DMARC для вашей организации, будь то в рамках FedRAMP или за его пределами, и мы поможем вам обеспечить наилучшие результаты в кратчайшие сроки!
- Yahoo Japan рекомендует пользователям внедрить DMARC в 2025 году - 17 января 2025 г.
- Ботнет MikroTik использует неправильную конфигурацию SPF для распространения вредоносного ПО - 17 января 2025 г.
- Неаутентифицированная почта DMARC запрещена [Решено] - 14 января 2025 г.