CISA gibt neue Richtlinie zum Patchen bekannter ausgenutzter Schwachstellen hervor

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat eine neue Richtlinie erlassen, die Bundesbehörden nun verpflichtet, bekannte ausgenutzte Schwachstellen intrinsisch bestimmter Zeitfenster zu patchen.

Dasjenige CISA hat zusammensetzen Katalog mit ca. 290 Schwachstellen aus dem Jahr 2017 veröffentlicht, die Bedrohungsakteure derzeit umtriebig im Kontext Angriffen hinaus Bundesbehörden und andere Organisationen ausnutzen. Welcher Katalog legt harte Fristen verspannt – wenige davon schon am 17. November –, intrinsisch derer Bundesbehörden sie flicken sollen.

CISA wird den Katalog laufend mit Informationen zu neuen Schwachstellen auf den neuesten Stand bringen, die Angreifer notfalls ausnutzen und die nebensächlich zu Gunsten von Bundesbehörden bestimmte Mindestrisiken darstellen.

Die Behörde, die Teil des US-Heimatschutzministeriums ist, beschrieb ihre Binding Operational Directive (BOD) 22-01 so, dass sie Bundesbehörden dazu können soll, sich schneller mit Schwachstellen zu befassen, von denen vertraut ist, dass sie ein erhebliches Risiko darstellen. „Es ist wichtig, bekannte ausgenutzte Schwachstellen angriffslustig zu beheben, um die Informationssysteme des Bundes zu schützen und Cybervorfälle zu reduzieren“, sagte dasjenige DHS am Mittwoch in einer Stellungnahme.

Die Richtlinie des KAG gilt nur zu Gunsten von Schwachstellen in Informationssystemen ziviler Bundesbehörden, die hinaus dem Terrain dieser Behörde oder von Dritten im Auftrag dieser Behörde gehostet werden. Unternehmen des privaten Sektors können jedoch den Katalog und die Patch-Fristen nutzen, um ihr Schwachstellenmanagement zu verbessern und dasjenige Risiko von Cyberangriffen zu reduzieren.

Die neue Richtlinie spiegelt die große Unbehagen intrinsisch dieser Regierung und des privaten Sektors jenseits Angriffe wie die Angriffe hinaus die logistische Kette mit SolarWinds und Kaseya und Kampagnen wider, die im vergangenen Jahr Schwachstellen in Microsoft Exchange, Pulse VPN und anderen VPN-Produkten ausgenutzt nach sich ziehen. Die Angriffe betrafen eine Vielzahl von Unternehmen und betrafen zig-mal Schwachstellen, die Unternehmen schon vor langer Zeit hätten Kontakt haben und beheben sollen.

Jamil Jaffer, ehemaliger Associate Counsel des Weißen Hauses von Vorsitzender George Wolfram. Bush und derzeitiger Senior Vice President im Kontext IronNet, sagt, dass die Richtlinie des CISA im Zuge dieser aktuellen Bedrohungslage keine Verwunderung ist.

“Wir nach sich ziehen eine Warteschlange von weit angelegten Vorfällen erlebt, darunter den Solar Winds-Hack und die kürzlich von Microsoft festgestellten verstärkten Nobelium-Aktivitäten”, sagt er. “Wir wissen seitdem langem, dass unser privater und öffentlicher Sektor Ziel von raffinierten nationalstaatlichen Angreifern ist.” und es ist keine Verwunderung, dass die Bundesregierung versucht, ihr eigenes Haus in Ordnungsprinzip zu können.”

Basierend hinaus früheren Richtlinien
Die neueste Richtlinie von CISA baut hinaus zwei früheren Direktiven hinaus, die es zum Patchen von Schwachstellen hrsg. hat. Die erste im Mai 2015 verlangte von den Bundesbehörden, bekannte Schwachstellen mit „kritischem Risiko“ intrinsisch von 30 Tagen nachdem Veröffentlichung dieser Fehler zu beheben. Weiland beschrieb die Geschäftsstelle den Schritttempo wie besorgniserregend jenseits die Zeit, die die Behörden – manchmal sogar 300 Tage – brauchten, um kritische Sicherheitsprobleme zu beheben.

CISA hat im vierter Monat des Jahres 2019 eine zweite BOD hrsg., die den Zeitrahmen zu Gunsten von die Beseitigung kritischer Probleme hinaus 15 Tage verkürzte. Die Richtlinie sieht nebensächlich eine Frist von 30 Tagen vor, um weniger schwerwiegende, demgegenüber immer noch “hohe Risiko”-Schwachstellen zu beheben. Die CISA-Richtlinie von 2019 wurde durch die Unbehagen jenseits die zunehmende Tempo, mit dieser Angreifer neu aufgedeckte Schwachstellen ausnutzen, und durch eine massive Zunahme dieser Offenlegung kritischer und hochriskanter Schwachstellen beflügelt.

Die neueste Richtlinie führt die Vulnerability-Management-Strategie von CISA in eine neue Richtung: Anstatt sich nur hinaus Schwachstellen mit hohem Schweregrad hinaus dieser CVSS-Skala zu unterordnen, legt die neue Richtlinie zu Gunsten von jede Schwachstelle – kritische, hohe, mittlere oder niedrige Schwere – spezifische Fristen zu Gunsten von dasjenige Patchen verspannt, die wird umtriebig im Kontext Angriffen ausgenutzt.

CISA sagte, dass seine Spiel hinaus dieser Tatsache beruht, dass die Ergebnisse des Common Vulnerability Scoring System (CVSS) ausschließlich kein Zeiger hinaus die Risiko sind, die ein bestimmter Fehler zu Gunsten von Unternehmen darstellen könnte. Laut CISA nach sich ziehen Angreifer zunehmend begonnen, Fehler unterschiedlicher Schwere in ihren Angriffen zu verketten.

Zum Musterbeispiel wies die Geschäftsstelle hinaus den sogenannten ProxyLogon-Sprung von vier Fehlern in Microsoft Exchange Server hin, den die russische Nobelium-Menschenschar und andere Herkunft des Jahres in einer Angriffswelle ausgenutzt nach sich ziehen. Zusammen mit diesen Angriffen nutzten Bedrohungsakteure relativ geringe Schwachstellen, um in einem Zielnetzwerk Standvorrichtung zu fassen, und erhöhten dann schrittweise ihre Berechtigungen, während sie zusätzliche Schwachstellen missbrauchten.

“meine Wenigkeit gehe davon aus, dass dies eine von vielen Maßnahmen ist, die wir in den kommenden Monaten sehen werden, um die Sicherheitslage ziviler Bundesbehörden zu verbessern”, sagt Allie Mellen, Analystin im Kontext Forrester Research.

Herkunft dieses Jahres erließ Vorsitzender Biden eine Durchführungsverordnung, die unter anderem neue Anforderungen an die Bedrohungsüberwachung zu Gunsten von Bundesbehörden auferlegte. Die Richtlinie des KAG konzentriert sich hinaus eine verbesserte Cyber-Hygiene, zusammensetzen weiteren wesentlichen Modul dieser Bedrohungsabwehr. “[The directive] spricht hierfür, wie wichtig es ist, die Grundlagen zuerst und kontinuierlich richtig zu zeugen. Wir sprechen viel jenseits die Einfluss des Patchens – und jetzt nach sich ziehen wir die Richtlinie, um mit deren Erfolg zu beginnen“, bemerkt Mellen.

Herausfordernde Lehrstoff
Viele dieser bekannten ausgenutzten Schwachstellen im neuen CISA-Katalog nach sich ziehen Patch-Deadlines solange bis zum 3. Mai 2022. Dagegen viele andere nach sich ziehen eine Deadline vom 17. November, welches bedeutet, dass Bundesbehörden nur 14 Tage Zeit nach sich ziehen, um die Fehler zu beheben. Selbige Frist könnte zu Gunsten von die Behörden im Zuge des wahrscheinlich erforderlichen Arbeitsaufwands eine Herausforderung sein, sagten Sicherheitsexperten.

“Die CISA-Fristen sind irgendetwas willkürlich, demgegenüber sie sind ein gutes Musterbeispiel hierfür, welches jedes Cybersicherheitsteam selbst tun sollte”, sagt Yaniv Spelunke-Dayan, Geschäftsführer und Mitbegründer von Vulcan Cyber.

Die Bemühungen sollten darin existieren, Cyberrisiken zu identifizieren und zu vorziehen und dann zusammensetzen erreichbaren Plan zur Minderung dieser Schwachstellen zu implementieren, die dasjenige größte Risiko zu Gunsten von dasjenige Unternehmen darstellen. “Zweifellos ist die Beseitigung von Schwachstellen eine schwierige, schmutzige Arbeit. Wenn dies nicht dieser Kernpunkt wäre und unsrige Cyber-Hygiene perfekt wäre, würde uns CISA nicht mit einer verkettete Liste bekannter Schwachstellen wie dieser belästigen”, sagt er.

Bud Broomhead, Geschäftsführer im Kontext Viakoo, sagt, dass Bundesbehörden wahrscheinlich in IoT- und OT-Umgebungen vor dieser größten Herausforderung stillstehen werden, in denen die Beseitigung solange bis vor kurzem noch weitgehend manuell durchgeführt wurde. “Agenturen werden neue Technologien importieren sollen, um mit dem Umfang und dieser Kompliziertheit fertig zu werden”, prognostiziert er. “Mit manuellen Methoden zum Patchen von Systemen wird es praktisch unmöglich sein, welche Fristen einzuhalten.”

Jaffer von IronNet sagt, dass die Richtlinie des CISA offensichtlich macht, dass dies eine Initiative ist, die die Regierung von den Bundesbehörden zeitkritisch machen und zumachen möchte. Dagegen dieser kurze Zeitrahmen zu Gunsten von die Beseitigung einiger Mängel wird die Einhaltung dieser Vorschriften zu Gunsten von die Behörden wahrscheinlich zu einer Herausforderung zeugen – wenige mehr wie andere.

„Zu Gunsten von Betriebsanweisungen hat CISA zusammensetzen Prozess, im Kontext dem Abteilungen und Behörden gesetzlich verpflichtet sind, zusammensetzen Plan zu gedeihen, um verbindliche Betriebsanweisungen einzuhalten – und letztendlich einzuhalten“, sagt Jaffer. Zu Gunsten von den Kernpunkt, dass eine Behörde die Fristen nicht einhält, besteht ein Eskalationsprozess zur Priorisierung des Problems. Dasjenige DHS/CISA wird hierfür zuständig sein, diesen Prozess zu nutzen, um Pressung hinaus die Behördenleiter auszuüben, um sicherzustellen, dass die Richtlinien eingehalten werden.

„Darüber hinaus könnte dieser Kongress Pressung machen, während er Briefings und Berichte darüber anfordert, wie die Behörden im Kontext dieser Erfüllung dieser Richtlinienanforderungen vorgehen, einschließlich durch dasjenige Government Accountability Office“, bemerkt er.

Mellen von Forrester sagt, dass dasjenige CISA wahrscheinlich den Status dieser Anforderungen an den Heimatschutzminister, den Rektor des Amtes zu Gunsten von Management und Haushalt und den Nationalen Cyber-Rektor melden wird.

“Dies ist ein weiterer Schritttempo, um CISA wie natürlich federführend im Staatsgut Sicherheit in dieser Bundesregierung zu etablieren”, fügt Mellen hinzu, “insbesondere im Hinblick hinaus zivile Behörden.d”