Toimittajan huomautus: Ajoittain ComplexDiscovery korostaa julkisesti saatavilla tai yksityisesti ostettavissa olevia ilmoituksia, sisältöpäivityksiä ja tutkimusta kyber-, data-ja laillisten etsintäpalvelujen tarjoajilta, tutkimusorganisaatioilta ja ComplexDiscovery-yhteisön jäseniltä. Vaikka ComplexDiscovery korostaa säännöllisesti näitä tietoja, se ei ota mitään vastuuta sisältöväitteistä.
Jos haluat antaa suosituksia harkittavaksi ja sisällyttämiseksi ComplexDiscoveryn kyber-, data-ja oikeudellisten löytökeskeisten palvelu-, tuote- tai tutkimusilmoituksiin, ota meihin yhteyttä tänään.
Lehdistöilmoitus*
CISA julkaisee direktiivin tunnettujen hyödynnettyjen haavoittuvuuksien merkittävän riskin vähentämisestä
Määritetään haavoittuvuuksien hallinnan prioriteetit ja antaa virikkeitä liittovaltion virastoille heikkouden hallintakäytäntöjen parantamiseksi
Tänään [3. marraskuuta 2021] CyberSecurity and Infrastructure Security Agency (CISA) antoi sitovan operatiivisen direktiivin (BOD) 22—01, jolla vähennetään tunnettujen hyödynnettyjen haavoittuvuuksien merkittävää riskiä, jotta voidaan edistää kiireellistä ja priorisoitua korjaamista haavoittuvuuksista, joita vastustajat käyttävät aktiivisesti hyväkseen. Direktiivillä perustetaan CISA:n hallinnoima luettelo tunnetuista hyödynnetyistä haavoittuvuuksista ja edellytetään, että liittovaltion siviilivirastot korjaavat tällaiset haavoittuvuudet määrätyissä määräajoissa.
CISA antoi BOD 22-01 ajaa liittovaltion virastot lieventämään aktiivisesti hyväksikäytettyjä haavoittuvuuksia verkoissaan. Tämä lähettää selkeän viestin kaikille organisaatioille eri puolilla maata keskittyäkseen paikkaamaan haavoittuvuuksien osajoukkoon, jotka aiheuttavat haittaa nyt, ja jotta CISA voi ajaa jatkuvaa priorisointia haavoittuvuudet, jotka perustuvat käsitykseemme vastustajan toiminnasta. Direktiiviä sovelletaan kaikkiin liittovaltion tietojärjestelmissä oleviin ohjelmistoihin ja laitteistoihin, mukaan lukien ne, joita hallinnoidaan viraston tiloissa tai joita kolmannet osapuolet isännöivät viraston puolesta. Tällä direktiivillä CISA asettaa ensimmäiset hallituksen laajuiset vaatimukset haavoittuvuuksien korjaamiseksi, jotka vaikuttavat sekä internetin käyttöön että muuhun kuin internetiin kohdistuvaan omaisuuteen.
”Joka päivä vastustajamme käyttävät tunnettuja haavoittuvuuksia kohteenaan liittovaltion virastot. Liittovaltion kyberturvallisuuden operatiivisena johtohenkilönä käytämme direktiiviviranomaista kyberturvallisuuspyrkimysten ajamiseen niiden erityisten haavoittuvuuksien lieventämiseksi, joita tiedämme olevan aktiivisesti haitallisten kybertoimijoiden käytössä, CISA:n johtaja Jen Easterly sanoi. ”Direktiivissä asetetaan selkeät vaatimukset, joiden mukaan liittovaltion siviilivirastot voivat ryhtyä välittömästi toimiin haavoittuvuuden hallintakäytäntöjen parantamiseksi ja niiden altistumisen vähentämiseksi verkkohyökkäyksille dramaattisesti. Vaikka tätä direktiiviä sovelletaan liittovaltion siviilivirastoihin, tiedämme, että organisaatiot eri puolilla maata, myös kriittisiä infrastruktuureja, ovat kohdennettuja käyttäen näitä samoja haavoittuvuuksia. Siksi on erittäin tärkeää, että jokainen organisaatio hyväksyy tämän direktiivin ja priorisoida CISA:n julkisessa luettelossa lueteltujen haavoittuvuuksien lieventämistä.”
Pelkästään vuonna 2020 on tunnistettu yli 18 000 haavoittuvuutta, joten julkisen ja yksityisen sektorin organisaatioiden mielestä on haastavaa priorisoida rajalliset resurssit niiden haavoittuvuuksien korjaamiseksi, jotka todennäköisimmin aiheuttavat vahingollisen tunkeutumisen. Tällä direktiivillä puututaan tähän haasteeseen edistämällä niiden haavoittuvuuksien lieventämistä, joita käytetään aktiivisesti hyväksi liittovaltion virastojen ja amerikkalaisten yritysten vaarantamiseksi. Tämä perustuu olemassa oleviin menetelmiin, joita monet organisaatiot käyttävät nykyään laajalti haavoittuvuuksien priorisoimiseen.
Tätä direktiiviä sovelletaan liittovaltion siviilivirastoihin, mutta CISA suosittelee voimakkaasti, että yksityiset yritykset ja valtion, paikallisten, heimojen ja alueellisten (SLTT) hallitukset priorisoivat CISA:n julkisessa luettelossa lueteltujen haavoittuvuuksien lieventämistä ja rekisteröityvät vastaanottamaan ilmoituksia, kun uusia haavoittuvuuksia lisätään .
Uusi direktiivi ja siihen liittyvä tietolomake löytyvät osoitteesta sitova operatiivinen direktiivi (BOD) 22-01.
Tietoja CISA
Kyberturvallisuus- ja infrastruktuuriturvallisuusvirasto (CISA) on kansakunnan riskineuvoja, joka työskentelee kumppaneiden kanssa puolustaakseen nykypäivän uhkia vastaan ja tekee yhteistyötä turvallisemman ja kestävämmän infrastruktuurin rakentamiseksi tulevaisuutta varten.
Lue alkuperäinen ilmoitus.
Täydellinen Fact Sheet: Tunnetun hyödynnetyn haavoittuvuuden (PDF) merkittävän riskin vähentäminen - Mouseover vierittämiseen
Tunnettujen hyödynnettyjen haavoittuvuuksien merkittävän riskin vähentäminen 211103
*Jaettuna luvalla.
Lisä lukeminen
Taloudellinen vaikutus? Miten Cyber Vakuutus muodot tapaus Response
Kyberlöydön määritteleminen? Määritelmä ja kehys
Lähde: Complex Discover