CISA udsendte onsdag et nyt direktiv, der tvinger føderale civile agenturer til at afhjælpe mindst 306 sårbarheder, der almindeligvis udnyttes under angreb. CISA embedsmænd understregede, at kataloget var fokuseret på sårbarheder, som de sagde, “forvolder skade nu”, men også ville blive brugt som en kørende liste over prioriterede sårbarheder baseret på deres udviklende forståelse af modstandernes aktivitet.
Hver af sårbarhederne. har en anden forfaldsdato knyttet til sig, hvor nogle skal afhjælpes den 17. november og andre til den 3. maj 2022.
Bindende operationelle direktiv (BOD) 22-01 – med titlen “Reducering af den betydelige risiko for kendte, udnyttede sårbarheder” – gælder for al software og hardware, der findes på føderale informationssystemer, ifølge udgivelsen. Det omfatter sårbarheder, der påvirker både internet-vendte og ikke-internet-vendte aktiver samt dem, der administreres på et bureaus lokaler eller hostes af tredjeparter på et bureaus vegne.
De opfordrede private virksomheder og statslige, lokale, stamme- og territoriale regeringer til specifikt at adressere sårbarhederne på listen og tilmelde dig for at få meddelelser, når nye sårbarheder tilføjes.
CISA-direktør Jen Easterly sagde, at selvom direktivet kun gælder for føderale civile agenturer, bør alle organisationer “prioritere at afbøde sårbarheder, der er opført på vores offentlige katalog, og som bliver brugt aktivt til at udnytte offentlige og private organisationer.”< /p>
“Hver dag bruger vores modstandere kendte sårbarheder til at målrette mod føderale agenturer. Som den operationelle leder for føderal cybersikkerhed bruger vi vores direktivbeføjelser til at drive cybersikkerhedsbestræbelser mod afbødning af de specifikke sårbarheder, som vi ved bliver brugt aktivt af ondsindede cyberaktører ” sagde Easterly.
“Direktivet opstiller klare krav til føderale civile agenturer om at træffe øjeblikkelige foranstaltninger for at forbedre deres sårbarhedshåndteringspraksis og dramatisk reducere deres eksponering for cyberangreb. Selvom dette direktiv gælder for føderale civile agenturer, ved vi, at organisationer over hele landet, herunder kritisk infrastruktur enheder, er målrettet ved at bruge de samme sårbarheder.”
CISA bemærkede, at syndfloden af tilgængelige sårbarheder, der blev opdaget alene i 2020, var over 18.000, hvilket gør det næsten umuligt for organisationer at følge med. Problemet forværres af det faktum, at de fleste organisationer har små it-teams, der er dårligt rustet til at håndtere angreb begået af veteran-cyberkriminelle eller nationalstater.
Listen indeholder sårbarheder fra snesevis af de største teknologivirksomheder, lige fra IBM, Oracle og Cisco til Apple, Microsoft, Adobe og Google.
Rep. Jim Langevin, medformand for House Cybersecurity Caucus, sagde, at direktivet ville “gå langt hen imod at styrke netværkssikkerheden og forbedre vores føderale cyberhygiejne.”
Han bemærkede, at præsident Bidens cybersikkerhedsbekendtgørelse “inkluderer vigtige elementer på Zero Trust, og CISA's BOD er i tråd med den filosofi om ikke kun at se på perimeterforsvaret.”
Ray Kelly, hovedsikkerhedsingeniør hos NTT Application Security, sagde, at kataloget var ideelt, fordi det kunne omdannes til en handlingsliste over opgaver, der kan spores og verificeres af forskellige afdelinger.
“Når man ser på det leverede sårbarhedskatalog, ser det ud som en god blanding af kritiske sårbarheder, der dækker software, firmware og mobile enheder,” sagde Kelly. “Men selv om der er god dækning af sårbarheder med høj effekt, der behandles, er det vigtigt at bemærke, at dette ikke betyder, at løbende vurderinger og sårbarhedsanalyser skal stoppes. Ondsindede aktører vil altid søge at drage fordel af det næste sikkerhedshul i ethvert organisation.”
Mens eksperter roste indsatsen bag direktivet, sagde nogle, at der var komplekse grunde til, at nogle ting ikke altid er rettet.
Chris Grove, chefsikkerhedsstrateg hos Nozomi Networks, arbejder i den kritiske infrastruktur-arena og sagde, at selvom direktivet viste en “progressiv tilgang til sikring af føderale agenturer i de næste par måneder”, kunne det ikke anvendes på kritiske infrastruktursystemer.
“Der er ofte legitime grunde til, at tingene ikke bliver lappet i mange kritiske infrastrukturmiljøer. Det er især mange nøglefærdige leverandører af ICS-udstyr, der integrerer teknologier i deres produkt, som, hvis de bliver tvunget til at implementere en patch, kan ødelægge udstyret,” sagde Grove.
“I nogle af disse tilfælde kan en opdatering eller patch annullere garantien og overtræde producentens vilkår og betingelser. Nogle opdateringer kræver desuden vedligeholdelsesvinduer og planlagte udfald. Mange ICS-enheder planlægger kun nedetid hvert 3.-4. år. Det er umuligt for dem at holde trit med patching.”
Kritisk indsigt CISO Mike Hamilton fortalte ZDNet, at det, der skilte sig mest ud for ham, var de sårbarheder, der ikke så ud til at være af høj alvorlighed.
Direktivet gør det klart, at sårbarheder, der er vurderet mellem og lav, kan “kædes”, og at problemer med lav sværhedsgrad ikke kan ignoreres, forklarede Hamilton.
“Ved at sætte dette eksempel for føderale agenturer og gøre kataloget bredt tilgængeligt, burde der være en afsmittende effekt i den private sektor – både med at modtage beskeden om, at svagheder med lav sværhedsgrad skal håndteres, og ved at give en eksplicit liste over de kendte at være nyttig i udnyttelseskæder,” sagde Hamilton.
“Et logisk næste skridt kan være aktiv scanning efter sårbare systemer i den private sektor – begyndende med udbydere af kritiske infrastrukturer – og give notifikationer for sårbare eksponeringer. “
Sikkerhed
Signal afslører, hvor langt amerikansk retshåndhævelse vil gå for at få folks oplysninger Microsoft: MacOS-fejl kunne have ladet angribere installere uopdagelig malware. Google løser to nul- Dagsfejl i Chrome Politiet er rettet mod mistænkte bag 1.800 angreb, der 'ødelagde ravage over hele verden' Dette monster af en phishing-kampagne er ude efter dine adgangskoder Cybersikkerhed 101: Beskyt dit privatliv mod hackere, spioner, regeringen S sikkerhed | CXO | Innovation | Smarte byer