編集者注:ComplexDiscoveryでは、サイバー、データ、法的証拠開示プロバイダー、調査機関、ComplexDiscoveryコミュニティメンバーによる公的に入手可能な発表、コンテンツの更新、調査を随時取り上げています。ComplexDiscovery はこの情報を定期的に強調しますが、コンテンツアサーションについて一切の責任を負いません。
ComplexDiscoveryのサイバー、データ、法的証拠開示中心のサービス、製品、またはリサーチに関する発表への検討と掲載に関する推奨事項を提出するには、今すぐお問い合わせください。
プレスアナウンス*
CISA、悪用された既知の脆弱性の重大なリスクの低減に関する指令を発表
脆弱性管理の優先順位を確立し、連邦政府機関が脆弱性管理プラクティスを改善するための推進力を提供
本日 [2021年11月3日] サイバーセキュリティおよびインフラストラクチャセキュリティ庁 (CISA) は、攻撃者が積極的に悪用している脆弱性の緊急かつ優先的な修復を推進するために、既知の悪用された脆弱性の重大なリスクを低減する、拘束力のある運用指令 (BOD) 22-01 を発行しました。この指令は、CISA が管理する悪用された既知の脆弱性のカタログを作成し、連邦民間機関に対し、特定の期間内にそのような脆弱性を修復することを義務付けています。
CISAはBOD 22-01を発行し、連邦政府機関がネットワーク上で積極的に悪用されている脆弱性を軽減し、全国のすべての組織に明確なメッセージを送信して、現在危害を引き起こしている脆弱性のサブセットにパッチを適用し、CISAが継続的な優先順位付けを推進できるようにしました敵対行為の理解に基づく脆弱性。この指令は、政府機関の敷地内で管理されているものや、政府機関に代わって第三者によってホストされているものを含む、連邦政府の情報システム上にあるすべてのソフトウェアおよびハードウェアに適用されます。この指令により、CISAは、インターネット向け資産と非インターネット向け資産の両方に影響を及ぼす脆弱性を修復するために、政府全体で最初の要件を課しています。
「敵対者は毎日、既知の脆弱性を利用して連邦政府機関を標的にしています。連邦政府のサイバーセキュリティの運用リーダーとして、悪意のあるサイバー攻撃者が積極的に使用していることがわかっている特定の脆弱性の軽減に向けて、サイバーセキュリティの取り組みを推進するために、当社の指令機関を利用しています」と、CISA ディレクター Jen Easterly 氏は述べています。「この指令は、連邦民間機関が脆弱性管理慣行を改善し、サイバー攻撃にさらされる危険性を劇的に減らすために、直ちに行動を起こすことに対する明確な要件を定めています。この指令は連邦の民間機関に適用されますが、重要なインフラストラクチャエンティティを含む全国の組織が、これらと同じ脆弱性を使用して標的にされていることはわかっています。したがって、すべての組織がこの指令を採用し、CISA の公開カタログに記載されている脆弱性の軽減を優先することが重要です。」
2020 年だけでも 18,000 を超える脆弱性が特定されたため、公共部門と民間部門の組織は、損害を与える侵入につながる可能性が最も高い脆弱性の修復に向けて、限られたリソースを優先することが難しいと感じています。この指令は、今日の多くの組織で脆弱性の優先順位付けに広く使用されている既存の手法を踏まえ、連邦政府機関や米国企業を侵害するために積極的に悪用されている脆弱性の緩和を推進することで、この課題に対処します。
この指令は連邦民間機関に適用されますが、CISAは、民間企業および州、地方、部族、地域(SLTT)政府が、CISAの公開カタログに記載されている脆弱性の軽減を優先し、新しい脆弱性が追加されたときに通知を受け取るようにサインアップすることを強く推奨します。。
新しい指令と関連するファクトシートは、拘束力のある運用指令 (BOD) 22-01 にあります。
CISAについて
サイバーセキュリティ・インフラストラクチャ・セキュリティ・エージェンシー(CISA)は、パートナーと協力して今日の脅威を防御し、将来に向けてより安全で回復力のあるインフラストラクチャを構築するために協力する、国家のリスクアドバイザーです。
オリジナルのアナウンスを読んでください。
完全なファクトシート:既知の悪用された脆弱性の重大なリスクの軽減 (PDF)-マウスオーバーしてスクロール
悪用された既知の脆弱性の重大なリスクの軽減 211103
*許可を得て共有。
追加読書
経済的なインパクト?サイバー保険がインシデント対応をどのように形作るか
サイバーディスカバリーの定義は?定義とフレームワーク
ソース:コンプレックスディスカバリー
