Die Regierung von Biden verlangt von zivilen Bundesbehörden, Hunderte von Cybersicherheitsfehlern zu beheben, wie das Wall Street Journal zuvor berichtete. Wie das WSJ feststellt, deckt die Richtlinie BOD 22-01 der Cybersecurity and Infrastructure Security Agency (CISA) rund 200 bekannte Bedrohungen ab, die Cybersicherheitsexperten zwischen 2017 und 2020 entdeckt haben, sowie 90 weitere Fehler, die 2021 entdeckt wurden sechs Monate, um ältere Bedrohungen zu patchen, und nur zwei Wochen, um diejenigen zu beheben, die im letzten Jahr entdeckt wurden.
Der WSJ-Bericht weist darauf hin, dass Bundesbehörden in Sachen Sicherheit in der Regel sich selbst überlassen sind, was manchmal zu einem schlechten Sicherheitsmanagement führt. Das Ziel besteht darin, Bundesbehörden zu zwingen, alle potenziellen Bedrohungen zu beheben, egal ob sie schwerwiegend sind oder nicht, und eine grundlegende Liste zu erstellen, die andere private und öffentliche Organisationen befolgen können. Während Zero-Day-Schwachstellen, die bisher unbekannte Öffnungen ausnutzen, für Schlagzeilen sorgen, kann die Behebung der „Untergruppe der Schwachstellen, die jetzt Schaden anrichten“ vielen Vorfällen zuvorkommen.
Bundesbehörden haben sechs Monate Zeit, um ältere Bedrohungen zu patchen
Zuvor gaben die Bundesbehörden in einer Anordnung aus dem Jahr 2015 einen Monat Zeit, um Bedrohungen zu beheben, die als „kritisches Risiko“ eingestuft wurden. Dies wurde 2019 geändert, um Bedrohungen einzubeziehen, die als „hohes Risiko“ eingestuft werden, wie vom WSJ hervorgehoben. Das neue Mandat distanziert sich von der Priorisierung bestimmter Bedrohungsstufen und erkennt stattdessen an, dass kleine Löcher schnell größere Probleme verursachen können, wenn Hacker einen Weg finden, sie auszunutzen.
„Die Richtlinie legt klare Anforderungen für zivile Bundesbehörden fest, sofortige Maßnahmen zu ergreifen, um ihre Praktiken zum Schwachstellenmanagement zu verbessern und ihre Gefährdung durch Cyberangriffe drastisch zu reduzieren“, sagt CISA-Direktorin Jen Easterly. „Obwohl diese Richtlinie für zivile Bundesbehörden gilt, wissen wir, dass Organisationen im ganzen Land, einschließlich Einrichtungen kritischer Infrastrukturen, mit denselben Schwachstellen angegriffen werden. Es ist daher von entscheidender Bedeutung, dass jede Organisation diese Richtlinie annimmt und der Verringerung der im öffentlichen Katalog des CISA aufgeführten Schwachstellen Priorität einräumt.“
Die neu veröffentlichte Liste bekannter Schwachstellen von CISA enthält insbesondere den Fehler von Microsoft Exchange Server. Im März wurden E-Mails von über 30.000 US-Regierungs- und Handelsorganisationen von einer chinesischen Gruppe gehackt, dank vier bekannter Sicherheitslücken, die, wenn sie gepatcht worden wären, die Angriffe verhindert hätten. Die Liste von CISA erfordert das Patchen der „Microsoft Exchange Remote Code Execution Vulnerability“ und fordert die Bundesbehörden auf, bis Mai 2022 verfügbare SolarWinds-Patches zu installieren.
Die Solarwinds Orion Platform steht ebenfalls auf der Liste. die Ende 2020 Opfer eines großen Hacks wurde, der US-Regierungsbehörden kompromittiert hat. Der CISA stellt fest, dass die „SolarWinds Orion API anfällig für eine Authentifizierungsumgehung ist, die es einem entfernten Angreifer ermöglichen könnte, API-Befehle auszuführen.“
Cybersicherheit hat für Präsident Biden seit seinem Amtsantritt Priorität gehabt Büro. Im Mai unterzeichnete er eine Durchführungsverordnung, um zukünftige Cybersicherheitskatastrophen zu verhindern. Die Verordnung schreibt unter anderem eine Zwei-Faktor-Authentifizierung in der gesamten Bundesregierung vor, erstellt ein Protokoll für die Reaktion auf Cyberangriffe und bildet unter anderem ein Cybersecurity Safety Review Board.