Uwaga redaktora: Od czasu do czasu program ComplexDiscovery podkreśla publicznie dostępne lub prywatne ogłoszenia, aktualizacje zawartości i badania pochodzące od dostawców cybernetycznych, danych i legalnych odkryć, organizacji badawczych i członków społeczności ComplexDiscovery. ComplexDiscovery regularnie podkreśla te informacje, ale nie ponosi żadnej odpowiedzialności za twierdzenia dotyczące treści.
Aby przesłać rekomendacje dotyczące rozważenia i włączenia ich do cybernetycznych, danych i informacji dotyczących usług, produktów lub badań naukowych firmy ComplexDiscovery, skontaktuj się z nami już dziś.
Ogłoszenie prasowe*
CISA wydaje dyrektywę w sprawie zmniejszenia znacznego ryzyka znanych luk w zabezpieczeniach
Ustanawia priorytety zarządzania lukami w zabezpieczeniach i zapewnia agencjom federalnym impuls do poprawy praktyk zarządzania lukami w zabezpieczeniach
Dzisiaj [3 listopada 2021] Agencja Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA) wydała wiążącą dyrektywę operacyjną (BOD) 22-01, Zmniejszenie znacznego ryzyka znanych wykorzystanych luk w zabezpieczeniach, aby pilnie i priorytetowo korygować luki w zabezpieczeniach, które są aktywnie wykorzystywane przez przeciwników. Dyrektywa ustanawia zarządzany przez CISA katalog znanych wykorzystywanych luk w zabezpieczeniach i wymaga, aby federalne agencje cywilne naprawiały takie luki w określonych ramach czasowych.
CISA wydała BOD 22-01, aby kierować agencje federalne do łagodzenia aktywnie wykorzystywanych luk w ich sieciach, wysyłając jasny komunikat do wszystkich organizacji w całym kraju, aby skupić się na podzestawach luk w zabezpieczeniach, które powodują szkodę teraz, i umożliwić CISA prowadzenie ciągłej priorytetyzacji luki w zabezpieczeniach oparte na naszym zrozumieniu aktywności przeciwnika. Dyrektywa ma zastosowanie do całego oprogramowania i sprzętu znajdującego się w federalnych systemach informacyjnych, w tym oprogramowania zarządzanego w siedzibie agencji lub hostowanego przez osoby trzecie w imieniu agencji. Zgodnie z niniejszą dyrektywą CISA nakłada pierwsze ogólnorządowe wymogi mające na celu naprawienie słabych punktów w zabezpieczeniach mających wpływ zarówno na aktywa internetowe, jak i nieinternetowe.
„Każdego dnia nasi przeciwnicy wykorzystują znane luki w zabezpieczeniach, by celować w agencje federalne. Jako główny kierownik w dziedzinie federalnego bezpieczeństwa cybernetycznego wykorzystujemy nasze uprawnienia do kierowania wysiłkami cyberbezpieczeństwa w celu złagodzenia tych konkretnych luk, które wiemy, że są aktywnie wykorzystywane przez złośliwe podmioty cybernetyczne”, powiedziała Dyrektor CISA Jen Easterly. „Dyrektywa ustanawia jasne wymogi dla federalnych agencji cywilnych w celu podjęcia natychmiastowych działań w celu poprawy ich praktyk zarządzania podatnością na zagrożenia i radykalnego zmniejszenia ich narażenia na ataki cybernetyczne. Chociaż niniejsza dyrektywa ma zastosowanie do federalnych agencji cywilnych, wiemy, że organizacje w całym kraju, w tym podmioty infrastruktury krytycznej, są ukierunkowane na te same luki w zabezpieczeniach. Dlatego ważne jest, aby każda organizacja przyjęła niniejszą dyrektywę i priorytetowała łagodzenie luk w zabezpieczeniach wymienionych w publicznym katalogu CISA.”
Z ponad 18 000 luk w zabezpieczeniach zidentyfikowanych w samym 2020 roku, organizacje z sektora publicznego i prywatnego uważają za trudne do priorytetowego traktowania ograniczonych zasobów w celu naprawienia luk w zabezpieczeniach, które najprawdopodobniej spowodują szkodliwe wtargnięcie. Niniejsza dyrektywa rozwiązuje to wyzwanie poprzez złagodzenie tych słabych punktów, które są aktywnie wykorzystywane w celu zagrażania agencjom federalnym i amerykańskim przedsiębiorstwom, opierając się na istniejących metodach powszechnie stosowanych w celu priorytetowego traktowania luk w zabezpieczeniach przez wiele organizacji.
Niniejsza dyrektywa ma zastosowanie do federalnych agencji cywilnych, jednak CISA zdecydowanie zaleca, aby przedsiębiorstwa prywatne oraz rządy państwowe, lokalne, plemienne i terytorialne (SLTT) określiły priorytety w łagodzeniu luk w zabezpieczeniach wymienionych w katalogu publicznym CISA i zapisywały się w celu otrzymywania powiadomień o dodaniu nowych luk w zabezpieczeniach .
Nowa dyrektywa i powiązany arkusz informacyjny można znaleźć w wiążącej dyrektywie operacyjnej (BOD) 22-01.
O CISA
Agencja Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA) jest doradcą ds. ryzyka narodu, współpracującym z partnerami w celu obrony przed dzisiejszymi zagrożeniami i współpracy na rzecz budowy bardziej bezpiecznej i odpornej infrastruktury na przyszłość.
Przeczytaj oryginalne ogłoszenie.
Kompletny arkusz informacyjny: Zmniejszenie znacznego ryzyka znanych wykorzystanych luk w zabezpieczeniach (PDF) — przewijanie wskaźnika myszy
Zmniejszenie znacznego ryzyka znanych wykorzystanych luk w zabezpieczeniach 211103
*Udostępniane za zgodą.
Dodatkowy odczyt
Ekonomiczny wpływ? Jak Cyber Insurance kształtuje reagowanie na incydent
Definiowanie Cyber Discovery? Definicja i ramy
źródło: ComplexDiscovery
