Warum jeder die neueste KAG-Richtlinie ernsthaft nehmen muss

Regierungsbehörden veröffentlichen ständig Mitteilungen und Richtlinien. Normalerweise sind sie nur zum Besten von Ministerien relevant, welches bedeutet, dass niemand sonst wirklich darauf achtet. Es ist leichtgewichtig zu verstehen, warum Sie davon leer werden, dass eine Richtlinie des KAG wie am Schnürchen nichts mit Ihrer Organisation zu tun hat.

Im Kontrast dazu im Kern welcher jüngsten KAG-Richtlinie wäre dasjenige ein Fehler. In diesem Versteckspiel exemplifizieren wir, warum Sie sich die KAG-Verbindliche Betriebsrichtlinie 22-01 obschon genau ansehen sollten, Neben… wenn Sie im privaten oder nichtstaatlichen Sektor tätig sind.

Wir erläutern, warum CISA gezwungen war, sie Richtlinie zu erlassen, und warum dieses entschlossene Vorgehen Auswirkungen hinaus jeder Organisationen hat – intrinsisch und von außen kommend welcher Regierung. Dies Handeln in Cybersicherheitsfragen ist natürlich nicht so wie am Schnürchen wie dasjenige Umstellen eines Schalters. Vorlesung halten Sie demgemäß weiter, um herauszufinden, wie Sie dasjenige Kernproblem welcher KAG-Richtlinie tangieren können.

Okay, welches genau ist eine KAG-Richtlinie?

Möglich sein wir zusammenführen Schrittgeschwindigkeit zurück, um irgendwas Kontext zu profitieren. Genau wie jede Organisation, die Technologie verwendet, sind US-Regierungsbehörden – Bundesbehörden – ständig Cyberangriffen von böswilligen Akteuren ausgesetzt, von gewöhnlichen Kriminellen solange bis hin zu feindlichen Staaten.

Infolgedessen hat dasjenige US-Heimatschutzministerium CISA, die Cybersecurity and Infrastructure Security Agency, mit Möbeln ausgestattet, um die Cybersicherheit zum Besten von Bundesbehörden zu koordinieren.

CISA sagt, dass es denn operativer Sprossenstiege zum Besten von die Cybersicherheit des Bundes fungiert und die Netzwerke welcher Bundesregierung verteidigt. Im Kontrast dazu jede Behörde hat ihre eigenen operativen und technologischen Teams, die nicht welcher direkten Test des KAG unterliegen – und hier kommen die KAG-Richtlinien ins Spiel.

Eine CISA-Richtlinie soll Tech-Teams von Bundesbehörden dazu zwingen, bestimmte Maßnahmen zu ergreifen, die dasjenige CISA zum Besten von unumgänglich erachtet, um zusammenführen sicheren Cybersicherheitsbetrieb zu gewährleisten. Die Richtlinien erläutern im Allgemeinen spezifische Schwachstellen mit hohem Risiko, handkehrum manche Richtlinien sind allgemeiner gehalten, zum Beispiel mit BD 18-01, die spezifische Schritte skizzieren, die Agenturen ergreifen sollten, um die E-Mail-Nachricht-Sicherheit zu verbessern.

Welches sagt die Richtlinie BD 22-01?

Die verbindliche operative Leistungssoll 22-01 ist eine welcher umfassenderen Direktiven – tatsächlich ist sie sehr weit gefasst und bezieht sich hinaus zusätzlich 300 Schwachstellen. Es ist ein dramatischer Schrittgeschwindigkeit zum Besten von CISA – es ist nicht nur eine weitere gewöhnliche Kommunikationsbotschaft.

Mit dieser Leistungssoll präsentiert CISA eine Verkettete Liste von Schwachstellen, von denen es glaubt, dass sie intrinsisch des größeren Felds von Zehntausenden bekannter Schwachstellen am häufigsten ausgenutzt werden. Manche dieser Schwachstellen sind ziemlich betagt.

In diesem Schwachstellenkatalog gibt jeder Element ein festes Zeitangabe an, zu dem Bundesbehörden die Schwachstelle beheben zu tun sein. In welcher Richtlinie selbst sind weitere detaillierte Anweisungen und Fristen enthalten – einschließlich welcher Vorrichtung eines Verfahrens zur regelmäßigen Kontrolle welcher welcher BD 22-01 beigefügten Verkettete Liste –, sodass sie Verkettete Liste in Zukunft erweitert wird.

Beispiele zum Besten von Schwachstellen hinaus welcher Verkettete Liste

Sehen wir uns manche Beispiele zum Besten von Schwachstellen in dieser Verkettete Liste an. CISA hat die seiner Meinung nachher schwerwiegendsten und am häufigsten ausgenutzten Schwachstellen zusammengefasst – demgemäß Schwachstellen, die am ehesten zu Schaden zur Folge haben, wenn sie nicht behoben werden.

Die Verkettete Liste deckt zusammenführen wirklich breiten Skopus ab, von welcher Unterbau solange bis hin zu Anwendungen – einschließlich mobiler Apps – und deckt sogar manche welcher vertrauenswürdigsten Sicherheitslösungen ab. Es umfasst Lieferant wie Microsoft, SAP und TrendMicro sowie beliebte Open-Source-Technologielösungen wie Linux und Apache.

Ein Musterbeispiel zum Besten von eine Schwachstelle in welcher Verkettete Liste bezieht sich hinaus den Apache Hypertext Transfer Protocol Server, c/o dem eine Schlange von Release 2.4-Versionen von einer Scoreboard-Schwachstelle betroffen sind – CVE-2019-0211. Es ermöglicht Angreifern, zusammenführen Offensive zu starten, während sie Source in einem weniger privilegierten Prozess schmeißen, welcher dasjenige Scoreboard manipuliert, wodurch die Revision beliebigen Codes mit den Berechtigungen des übergeordneten Prozesses ermöglicht wird.

Ein weiteres Musterbeispiel ist Atlassian Confluence, dasjenige beliebte Kollaborationstool. Hier können Angreifer zusammenführen Remote-Source-Execution-Offensive starten, während sie Makrocode in den Atlassian Widget Connector einschmuggeln. Unter ferner liefen sie Sicherheitsanfälligkeit wird vom CISA aufgelistet, da die Organisation welcher Durchsicht war, dass sie x-mal ausgenutzt wurde.

Jawohl! Jene KAG-Richtlinie gilt Neben… zum Besten von Sie…

Okay, die Richtlinien des CISA können nicht hinaus Technologieteams von außen kommend welcher US-Bundesregierung durchgesetzt werden, handkehrum dasjenige bedeutet nicht, dass es hier nichts zu lernen gibt.

Möglich sein Sie zunächst zusammenführen Schrittgeschwindigkeit zurück und denken Sie zusätzlich die Beweisführung des CISA nachher, im Vorhinein Sie seine neueste Richtlinie wie am Schnürchen es nicht übers Herz bringen. Wir wissen, dass Cybersicherheitsangriffe an welcher Tagesordnung sind und die Wert monumental sind, egal ob Sie im staatlichen oder föderalen Umfeld tätig sind oder denn Privatunternehmen.

Jener CISA hat sie Verkettete Liste nur denn Ultima Ratio veröffentlicht. Die Behörde war so verärgert, dass Angreifer x-mal Regierungsziele treffen, dass sie sich gezwungen sah, eine verbindliche Richtlinie zu erlassen, in welcher Schwachstellen aufgelistet sind, die behoben werden zu tun sein. Dies geschah wie am Schnürchen, weil es so gewöhnlich ist, dass bekannte Schwachstellen nicht gepatcht werden.

Jene Schwachstellen sind nicht nur hinaus Regierungsdienste engstirnig – jede Technologieumgebung kann betroffen sein.

Und hier ist welcher Knackpunkt: Genau wie Regierungstechnologieumgebungen kann Ihr Technologiebestand voller Schwachstellen sein, die behoben werden zu tun sein. Die CISA-Verkettete Liste wäre ein ausgezeichneter Nullpunkt, um Zeug zu reparieren.

Und um dasjenige Ganze abzurunden, handelt es sich nicht nur um -potenziell- ausnutzbare Schwachstellen.

Wenn Sie die Richtlinie folgsam Vorlesung halten, handelt es sich um Schwachstellen, die derzeit in freier Wildbahn ausgenutzt werden, welches bedeutet, dass Exploit-Source entweder zum Besten von jeden leichtgewichtig verfügbar ist oder in den weniger schmackhaften Ecken des Internets verbreitet wird. So oder so, sie sind nicht mehr nur eine hypothetische Risiko.

Die versteckte Botschaft welcher KAG-Richtlinie

Es ist nicht so, dass Sie – oder die technischen Teams in welcher Regierung – fahrlässig oder unwissend sind. Es ist nur eine Frage welcher praktischen Realitäten. Und in welcher Realität kommen Tech-Teams nicht dazu, Schwachstellen konsequent zu beheben. Große, offensichtliche, bekannte Schwachstellen, wie sie in welcher CISA-Richtlinie aufgeführt sind, können darauf warten, dass ein Angreifer sie ausnutzt, wie am Schnürchen weil Technikteams sie nie behoben nach sich ziehen.

Es gibt eine Vielzahl von Gründen zu diesem Zweck, und Vernachlässigung ist selten einer davon. Ein Not an Ressourcen ist wohl eine welcher Hauptursachen, da Technologieteams wie am Schnürchen zu überfordert sind, um hinreichend zu testen, zu patchen und jenseitig abzuschwächen.

Es gibt Neben… die mit dem Patchen verbundene Störung: Dringende Patches können vor dem Hintergrund des Widerstands welcher Stakeholder schnell weniger dringlich werden. Welches die CISA-Richtlinie demgemäß wirklich sagt, ist, dass die praktische Wirklichkeit bedeutet, dass es zusammenführen Ozean von Schwachstellen gibt, die wie am Schnürchen nicht behoben werden und zu erfolgreichen Exploits zur Folge haben.

Und denn Reaktion darauf erstellte CISA eine Notfallliste, die man wie am Schnürchen wegen welcher Verzweiflung zusätzlich Cyberkriminalität nennen könnte. Mit anderen Worten, die Situation ist unhaltbar – und die KAG-Richtlinie ist ein Notfallpflaster, ein Mittel, um den Schaden zu kauterisieren.

Zügeln Sie Störungen und steigern Sie Neben… die Sicherheit

Es ist die offensichtliche Auskunft, die kritischsten und am häufigsten ausgenutzten Schwachstellen anzugehen, und genau dasjenige soll die CISA-Verkettete Liste klappen. Geschlossen hinter stecken wir mehr Ressourcen in dasjenige Problem – mehr Zeit zum Besten von die Beseitigung von Schwachstellen aufzuwenden ist ein lohnenswerter Schrittgeschwindigkeit.

Im Kontrast dazu sie offensichtlichen Schritte stoßen schnell an eine Wand: Dies Reparieren und Flicken verursacht Störungen, und zusammenführen Weg nachher vorne zu finden ist eine Herausforderung. Und ohne zusammenführen Ausweg zusätzlich sie störenden Auswirkungen zu finden, könnte sich die Standpunkt weiter so verschärfen, dass wir Schritte wie die KAG-Richtlinie erfordern. Die Reorganisation welcher Sicherheitsabläufe ist die Auskunft.

Welches können Tech-Teams tun? Es erfordert ein umfassendes Rhenium-Engineering in einer Weise, die Störungen durch dasjenige Patching minimiert. Redundanz und Hochverfügbarkeit können zum Beispiel dazu hinzufügen, manche welcher schlimmsten störenden Auswirkungen des Schwachstellenmanagements zu mildern.

Unter ferner liefen welcher Kapitaleinsatz modernster Sicherheitstechnologie hilft. Schwachstellenscanner können die dringendsten Probleme transparent machen, um c/o welcher Priorisierung zu helfen. Live-Patching von TuxCare ist ein weiteres großartiges Werkzeug – denn Live-Patching macht zusammenführen Neustart vollwertig unnötig, welches bedeutet, dass Patch-Unterbrechungen im Wesentlichen eliminiert werden können.

Und dasjenige bedeutet die KAG-Richtlinie wirklich…

Ob in welcher Regierung oder im Privatsektor, ein Umdenken ist erforderlich, da sich die Schwachstellen so schnell häufen. Die KAG-Richtlinie unterstreicht, wie schlimm es geworden ist. Im Kontrast dazu wie am Schnürchen mehr Straßenpflaster aufzutragen wird nicht gehen – Sie werden Rechtsbehelf schaffen und sind in kürzester Zeit wieder in welcher gleichen Situation, in welcher Sie waren.

Nehmen Sie die KAG-Richtlinie demgemäß denn Warnsignal. Ja, ermitteln Sie, ob Sie eine welcher Software und Dienste hinaus welcher Verkettete Liste verwenden, und patchen Sie im Gegenzug. Im Kontrast dazu welches am wichtigsten ist, denken Sie darüber nachher, wie Sie Ihre SecOps verbessern können – während Sie sicherstellen, dass Sie besser hinaus Schwachstellen reagieren, während Sie sie mit weniger Unterbrechungen beheben. Patchen Sie schneller mit weniger Unterbrechungen.