CISA utstedte onsdag et nytt direktiv som tvinger føderale sivile byråer til å utbedre minst 306 sårbarheter som ofte blir utnyttet under angrep. CISA-tjenestemenn understreket at katalogen var fokusert på sårbarheter som de sa «forårsaker skade nå», men at den også vil bli brukt som en løpende liste over prioriterte sårbarheter basert på deres utviklende forståelse av motstanders aktivitet.
Hver av sårbarhetene. har en annen forfallsdato knyttet til seg, med noen som skal reduseres innen 17. november og andre satt til 3. mai 2022.
Bindende operasjonelle direktiv (BOD) 22-01 – med tittelen “Reducing the Significant Risk of Known Exploited Vulnerabilities” – gjelder for all programvare og maskinvare som finnes på føderale informasjonssystemer, ifølge utgivelsen. Dette inkluderer sårbarheter som påvirker både internettvendte og ikke-internettvendte eiendeler, så vel som de som administreres på et byrås lokaler eller er vert for tredjeparter på et byrås vegne.
De oppfordret private virksomheter og statlige, lokale, stamme- og territorielle myndigheter spesifikt til å adressere sårbarhetene i listen og registrere seg for å få varsler når nye sårbarheter legges til.
CISA-direktør Jen Easterly sa at selv om direktivet kun gjelder føderale sivile byråer, bør alle organisasjoner “prioritere å redusere sårbarheter som er oppført på vår offentlige katalog, som brukes aktivt til å utnytte offentlige og private organisasjoner.”< /p>
“Hver dag bruker motstanderne våre kjente sårbarheter for å målrette føderale byråer. Som operativ leder for føderal cybersikkerhet, bruker vi vår direktivmyndighet til å drive cybersikkerhetsinnsats mot å redusere de spesifikke sårbarhetene som vi vet brukes aktivt av ondsinnede cyberaktører “, sa Easterly.
“Direktivet fastsetter klare krav til føderale sivile byråer om å iverksette umiddelbare tiltak for å forbedre deres sårbarhetshåndteringspraksis og dramatisk redusere deres eksponering for cyberangrep. Selv om dette direktivet gjelder føderale sivile byråer, vet vi at organisasjoner over hele landet, inkludert kritisk infrastruktur enheter, er målrettet ved å bruke de samme sårbarhetene.”
CISA bemerket at syndfloden av tilgjengelige sårbarheter som ble oppdaget i 2020 alene var over 18 000, noe som gjorde det nesten umulig for organisasjoner å følge med. Problemet forsterkes av det faktum at de fleste organisasjoner har små IT-team som er dårlig rustet til å håndtere angrep utført av veteraner fra nettkriminelle eller nasjonalstater.
Listen inneholder sårbarheter fra dusinvis av de største teknologiselskapene, alt fra IBM, Oracle og Cisco til Apple, Microsoft, Adobe og Google.
Rep. Jim Langevin, medformann for House Cybersecurity Caucus, sa at direktivet ville “gå langt i retning av å styrke nettverkssikkerheten og forbedre vår føderale cyberhygiene.”
Han bemerket at president Bidens Executive Order for Cybersecurity “inkluderer viktige elementer om Zero Trust, og CISAs BOD er i tråd med den filosofien om ikke bare å se på perimeterforsvar.”
Ray Kelly, hovedsikkerhetsingeniør ved NTT Application Sikkerhet, sa at katalogen var ideell fordi den kunne gjøres om til en handlingsliste over oppgaver som kan spores og verifiseres av forskjellige avdelinger.
“Når vi ser på den medfølgende sårbarhetskatalogen, ser det ut som en god blanding av kritiske sårbarheter som dekker programvare, fastvare og mobile enheter,” sa Kelly. “Men selv om det er god dekning av sårbarheter med høy effekt som håndteres, er det viktig å merke seg at dette ikke betyr at kontinuerlige vurderinger og sårbarhetsanalyser bør stoppes. Ondsinnede aktører vil alltid være ute etter å dra nytte av det neste sikkerhetshullet i enhver organisasjon.”
Mens eksperter roste innsatsen bak direktivet, sa noen at det var komplekse årsaker til at noen ting ikke alltid er korrigert.
Chris Grove, sjefssikkerhetsstrateg i Nozomi Networks, jobber på arenaen for kritisk infrastruktur og sa at selv om direktivet viste en «progressiv tilnærming til å sikre føderale byråer i løpet av de neste månedene», kunne det ikke brukes på kritiske infrastruktursystemer.
“Det er ofte legitime grunner til at ting ikke lappes i mange kritiske infrastrukturmiljøer. Det er spesielt mange nøkkelferdige leverandører av ICS-utstyr som bygger inn teknologier i produktet deres, som hvis de blir tvunget til å implementere en oppdatering kan ødelegge utstyret.” sa Grove.
“I noen av disse tilfellene kan en oppdatering eller oppdatering gjøre garantien ugyldig og bryte produsentens vilkår og betingelser. Noen oppdateringer krever også vedlikeholdsvinduer og planlagte avbrudd. Mange ICS-enheter planlegger bare nedetid hvert 3.-4. år. Det er umulig for dem for å holde tritt med oppdateringen.”
Kritisk innsikt CISO Mike Hamilton sa til ZDNet at det som skilte seg mest ut for ham var sårbarhetene som ikke så ut til å være av høy alvorlighetsgrad.
Direktivet gjør det klart at sårbarheter som er vurdert til middels og lav kan “lenkes”, og at problemer med lav alvorlighetsgrad ikke kan ignoreres, forklarte Hamilton.
“Ved å sette dette eksempelet for føderale byråer og gjøre katalogen allment tilgjengelig, bør det være en avsmittende effekt i privat sektor – både ved å motta beskjeden om at svakheter med lav alvorlighetsgrad må håndteres, og ved å å gi en eksplisitt liste over de som er kjent for å være nyttige i utnyttelseskjeding,” sa Hamilton.
“Et logisk neste trinn kan være aktiv skanning etter sårbare systemer i privat sektor – og starter med leverandører av kritisk infrastruktur – og gi varsler for sårbare eksponeringer.”
Sikkerhet
Det beste phishing-målet? Smarttelefonen din Hvorfor trenger du denne sikkerhetsnøkkelen til $29 FBI: Ransomware grupperer som knytter angrep til “betydelige økonomiske hendelser” Signal avslører hvor langt amerikansk rettshåndhevelse vil gå for å få folks informasjon De 10 verste maskinvaresikkerhetsfeilene i 2021 Cybersecurity 101: Beskytt personvernet ditt mot hackere , spioner, regjeringen Sikkerhet | CXO | Innovasjon | Smarte byer