Toimetaja märkus: Aeg-ajalt toob ComplexDiscovery esile avalikult kättesaadavaid või privaatselt ostetavaid teadaandeid, sisuvärskendusi ja uuringuid küber-, andme- ja juriidilise avastuse pakkujate, teadusasutuste ja ComplexDiscovery kogukonna liikmete kaudu. Kuigi ComplexDiscovery rõhutab seda teavet regulaarselt, ei võta see vastutust sisuväidete eest.
Kui soovite esitada soovitusi ComplexDiscovery küber-, andme- ja juriidiliste avastuste-kesksete teenuste, toodete või teadusuuringute teadaannete läbivaatamiseks ja kaasamiseks, võtke meiega ühendust täna.
Pressiteadaande*
CISA väljaannete direktiiv teadaolevate turvaaukude märkimisväärse ohu vähendamise kohta
Luuakse haavatavuse haldamise prioriteedid ja annab tõuke föderaalagentuuridele haavatavuse haldamise tavade parandamiseks
Täna [3. november 2021] andis küberjulgeoleku ja Infrastruktuuri Turvaagentuur (CISA) välja siduva operatiivdirektiivi (BHT) 22-01, mis vähendab teadaolevate turvaaukude olulist ohtu, et juhtida vastaste poolt aktiivselt ära kasutatavate haavatavuste kiiret ja prioriteetset parandamist. Direktiiviga kehtestatakse teadaolevate ärakasutatavate haavatavuste CISA hallatav kataloog ja nõutakse, et föderaalsed tsiviilasutused parandaksid sellised haavatavused konkreetsete ajavahemike jooksul
CISA väljastas BHD 22-01, et juhtida föderaalagentuure, et leevendada oma võrkudes aktiivselt ära kasutatavaid nõrkusi, saates selge sõnumi kõigile organisatsioonidele üle kogu riigi, et keskenduda lappimine haavatavuste alamhulgale, mis kahjustavad praegu, ja võimaldada CISA-l juhtida pidevat prioriteetimist haavatavused, mis põhinevad meie arusaamal vastase tegevuse kohta. Direktiivi kohaldatakse kogu föderaalsetes infosüsteemides leiduva tarkvara ja riistvara suhtes, sealhulgas seltsi ruumides hallatavate või asutuse nimel kolmandate isikute poolt majutatud tarkvara ja riistvara suhtes. Käesoleva direktiiviga kehtestab CISA esimesed valitsused hõlmavad nõuded, et kõrvaldada haavatavused, mis mõjutavad nii Interneti-suunalist kui ka mitte-Internetiga seotud varasid.
„Iga päev kasutavad meie vastased teadaolevaid haavatavusi föderaalagentuuride sihtimiseks. Föderaalse küberturvalisuse operatiivse juhina kasutame me oma direktiivivolitusi, et juhtida küberjulgeoleku jõupingutusi nende konkreetsete haavatavuste leevendamiseks, mida teame, et pahatahtlikud küberosalejad aktiivselt kasutavad,” ütles CISA direktor Jen Easterly. „Direktiiviga kehtestatakse selged nõuded föderaalsetele tsiviilaasutustele, et nad võtaksid viivitamatult meetmeid, et parandada nende haavatavuse juhtimise tavasid ja vähendada oluliselt nende kokkupuudet küberrünnakutega Kuigi käesolevat direktiivi kohaldatakse föderaalsete tsiviilasutuste suhtes, teame, et organisatsioonid üle kogu riigi, sealhulgas kriitilise infrastruktuuri üksused, on suunatud nende samade haavatavuste kasutamisele. Seetõttu on oluline, et iga organisatsioon võtaks vastu käesoleva direktiivi ja seaks prioriteediks CISA avalikus kataloogis loetletud haavatavuste leevendamine.”
Ainult 2020. aastal tuvastatud enam kui 18 000 haavatavust, on avaliku ja erasektori organisatsioonidel keeruline seada prioriteediks piiratud ressursse nende haavatavuste kõrvaldamiseks, mis tõenäoliselt põhjustavad kahjulikku sissetungi. Käesolev direktiiv käsitleb seda probleemi, leevendades haavatavusi, mida aktiivselt kasutatakse selleks, et ohustada föderaalagentuure ja Ameerika ettevõtteid, tuginedes olemasolevatele meetoditele, mida paljud organisatsioonid tänapäeval laialdaselt kasutavad haavatavuste prioriteediks.
Käesolevat direktiivi kohaldatakse föderaalsete tsiviilasutuste suhtes, kuid CISA soovitab tungivalt, et eraettevõtted ja riiklikud, kohalikud, tribal ja territoriaalsed (SLTT) valitsused seaksid CISA avalikus kataloogis loetletud haavatavuste leevendamise prioriteediks ja registreeruksid teadete saamiseks, kui lisatakse uued nõrkused .
Uus direktiiv ja sellega seotud teabeleht on siduv operatiivdirektiiv 22-01.
CISA kohta
Küberjulgeoleku ja infrastruktuuri turvaagentuur (CISA) on Nation riskinõustaja, kes teeb koostööd partneritega tänaste ohtude eest kaitsmiseks ning teeb koostööd selle nimel, et luua tulevikuks turvalisem ja vastupidavam infrastruktuur.
Lugege esialgset teadaannet.
Täielik teabeleht: teadaolevate kasutatavate nõrkuste (PDF) olulise ohu vähendamine - hiire kerimiseks
Teadaolevate ärakasutatavate haavatavuste märkimisväärse ohu vähendamine 211103
* Jagatud loal.
Täiendav lugemine
Ökonoomne mõju? Kuidas küberkindlustus kujundab intsidendi vastus
Küberavastamise määratlemine? Määratlus ja raamistik
Allikas: ComplexDiscovery
