CISA utfärdade ett nytt direktiv på onsdagen som tvingar federala civila myndigheter att åtgärda minst 306 sårbarheter som vanligtvis utnyttjas under attacker. CISA-tjänstemän betonade att katalogen var fokuserad på sårbarheter som de sa “orsakar skada nu”, men att den också skulle användas som en löpande lista över prioriterade sårbarheter baserat på deras utvecklande förståelse för motståndarens aktivitet.
Var och en av sårbarheterna. har ett annat förfallodatum kopplat till sig, med vissa som ska minskas senast den 17 november och andra till den 3 maj 2022.
Bindande operativa direktiv (BOD) 22-01 – med titeln “Reducing the Significant Risk of Known Exploited Vulnerabilities” – gäller för all mjukvara och hårdvara som finns på federala informationssystem, enligt releasen. Det inkluderar sårbarheter som påverkar tillgångar som är vända mot både internet och icke-internet samt de som hanteras i en byrås lokaler eller är värd för tredje part på en byrås vägnar.
De uppmanade privata företag och statliga, lokala, stam- och territoriella regeringar specifikt att ta itu med sårbarheterna i listan och registrera sig för att få meddelanden när nya sårbarheter läggs till.
CISA-direktören Jen Easterly sa att även om direktivet endast gäller för federala civila myndigheter, bör alla organisationer “prioritera att mildra sårbarheter listade i vår offentliga katalog, som används aktivt för att utnyttja offentliga och privata organisationer.”< /p>
“Varje dag använder våra motståndare kända sårbarheter för att rikta in sig på federala myndigheter. Som operativ ledare för federal cybersäkerhet använder vi vår direktivbefogenhet för att driva cybersäkerhetsinsatser för att lindra de specifika sårbarheter som vi vet används aktivt av illvilliga cyberaktörer “, sa Easterly.
“Direktivet ställer upp tydliga krav för federala civila myndigheter att vidta omedelbara åtgärder för att förbättra sina rutiner för sårbarhetshantering och dramatiskt minska deras exponering för cyberattacker. Även om detta direktiv gäller för federala civila myndigheter vet vi att organisationer över hela landet, inklusive kritisk infrastruktur enheter, är inriktade på att använda samma sårbarheter.”
CISA noterade att översvämningen av tillgängliga sårbarheter som upptäcktes enbart under 2020 var över 18 000, vilket gör det nästan omöjligt för organisationer att hänga med. Problemet förvärras av det faktum att de flesta organisationer har små IT-team som är dåligt utrustade för att hantera attacker utförda av erfarna cyberbrottslingar eller nationalstater.
Listan innehåller sårbarheter från dussintals av de största teknikföretagen, allt från IBM, Oracle och Cisco till Apple, Microsoft, Adobe och Google.
Rep. Jim Langevin, medordförande för House Cybersecurity Caucus, sa att direktivet skulle “gå långt mot att stärka nätverkssäkerheten och förbättra vår federala cyberhygien.”
Han noterade att president Bidens verkställande cybersäkerhetsorder “inkluderar viktiga element på Zero Trust, och CISA:s BOD är i linje med den filosofin att inte bara titta på perimeterförsvar.”
Ray Kelly, huvudsäkerhetsingenjör på NTT Application Security, sa att katalogen var idealisk eftersom den kunde omvandlas till en handlingsbar lista med uppgifter som kan spåras och verifieras av olika avdelningar.
“När man tittar på den tillhandahållna sårbarhetskatalogen verkar det som en bra blandning av kritiska sårbarheter som täcker mjukvara, firmware och mobila enheter,” sa Kelly. “Men även om det finns god täckning av sårbarheter med stor påverkan som åtgärdas, är det viktigt att notera att detta inte betyder att kontinuerliga bedömningar och sårbarhetsanalyser bör stoppas. Skadliga aktörer kommer alltid att försöka dra nytta av nästa säkerhetslucka i alla fall. organisation.”
Medan experter lovordade ansträngningarna bakom direktivet, sa vissa att det fanns komplexa skäl till varför vissa saker inte alltid är korrigerade.
Chris Grove, chefssäkerhetsstrateg på Nozomi Networks, arbetar på arenan för kritisk infrastruktur och sa att även om direktivet visade ett “progressivt tillvägagångssätt för att säkra federala myndigheter under de närmaste månaderna”, kunde det inte tillämpas på kritiska infrastruktursystem.
“Det finns ofta legitima anledningar till att saker och ting inte korrigeras i många kritiska infrastrukturmiljöer. Framförallt är det många nyckelfärdiga leverantörer av ICS-utrustning som bäddar in teknologier i sin produkt, som om de tvingas implementera en korrigering kan bryta utrustningen.” sa Grove.
“I vissa av dessa fall kan en uppdatering eller patch ogiltigförklara garantin och bryta mot tillverkarens villkor. Dessutom kräver vissa uppdateringar underhållsfönster och planerade avbrott. Många ICS-enheter schemalägger bara driftstopp vart 3-4 år. Det är omöjligt för dem att hålla jämna steg med patchning.”
Critical Insight CISO Mike Hamilton sa till ZDNet att det som stack ut mest för honom var sårbarheterna som inte verkade vara av hög allvar.
Direktivet gör det klart att sårbarheter som är klassade medelhöga och låga kan “kedjas” och att låg svårighetsgrad problem inte kan ignoreras, förklarade Hamilton.
“Genom att sätta detta exempel för federala myndigheter och göra katalogen allmänt tillgänglig borde det finnas en avsmittande effekt i den privata sektorn – både med att ta emot meddelandet att svagheter med låg allvarlighetsgrad måste hanteras, och genom att tillhandahålla en explicit lista över de kända för att vara användbar i exploateringskedjan,” sa Hamilton.
“Ett logiskt nästa steg kan vara aktiv sökning efter sårbara system i den privata sektorn – med början med leverantörer av kritiska infrastrukturer – och tillhandahålla aviseringar för sårbara exponeringar. “
Säkerhet
Signal avslöjar hur långt amerikansk brottsbekämpning kommer att gå för att få folks information Microsoft: MacOS-fel kunde ha låtit angripare installera oupptäckbar skadlig programvara Google fixar två noll- Dagsbrister i Chrome Polisen riktar sig mot misstänkta bakom 1 800 attacker som “anledde förödelse över hela världen” Detta monster av en nätfiskekampanj är ute efter dina lösenord Cybersäkerhet 101: Skydda din integritet från hackare, spioner, regeringen S säkerhet | CXO | Innovation | Smarta städer