CISA mengeluarkan arahan yang memaksa badan-badan sipil federal untuk memperbaiki 306 kerentanan
Home & Office

CISA mengeluarkan arahan yang memaksa badan-badan sipil federal untuk memperbaiki 306 kerentanan

CISA mengeluarkan arahan baru pada hari Rabu yang memaksa badan-badan sipil federal untuk memulihkan setidaknya 306 kerentanan yang biasa dieksploitasi selama serangan. Pejabat CISA menekankan bahwa katalog difokuskan pada kerentanan yang mereka katakan “menyebabkan kerusakan sekarang” tetapi juga akan digunakan sebagai daftar kerentanan yang diprioritaskan berdasarkan pemahaman mereka yang berkembang tentang aktivitas musuh.

Masing-masing kerentanan memiliki tanggal jatuh tempo yang berbeda, dengan beberapa akan dikurangi pada 17 November dan yang lainnya ditetapkan pada 3 Mei 2022.

Binding Operational Directive (BOD) 22-01 – berjudul “Mengurangi Risiko Signifikan dari Kerentanan Tereksploitasi yang Diketahui” – berlaku untuk semua perangkat lunak dan perangkat keras yang ditemukan pada sistem informasi federal, menurut rilis tersebut. Itu termasuk kerentanan yang memengaruhi aset yang terhubung ke internet dan yang tidak terhubung ke internet serta yang dikelola di tempat agensi atau dihosting oleh pihak ketiga atas nama agensi.

Mereka mendesak bisnis swasta dan pemerintah negara bagian, lokal, suku dan teritorial secara khusus untuk mengatasi kerentanan dalam daftar dan mendaftar untuk mendapatkan pemberitahuan ketika kerentanan baru ditambahkan.

Direktur CISA Jen Easterly dikatakan bahwa sementara arahan hanya berlaku untuk badan-badan sipil federal, semua organisasi harus “memprioritaskan mitigasi kerentanan yang tercantum di katalog publik kami, yang secara aktif digunakan untuk mengeksploitasi organisasi publik dan swasta.”

“Setiap hari, musuh kami menggunakan kerentanan yang diketahui untuk menargetkan agen federal. Sebagai pemimpin operasional untuk keamanan siber federal, kami menggunakan otoritas direktif kami untuk mendorong upaya keamanan siber menuju mitigasi kerentanan khusus yang kami tahu digunakan secara aktif oleh pelaku siber jahat. ,” kata Easterly.

“Petunjuk ini menjabarkan persyaratan yang jelas bagi badan-badan sipil federal untuk mengambil tindakan segera guna meningkatkan praktik manajemen kerentanan mereka dan secara dramatis mengurangi keterpaparan mereka terhadap serangan siber. Sementara Petunjuk ini berlaku untuk badan-badan sipil federal, kami tahu bahwa organisasi-organisasi di seluruh negeri, termasuk infrastruktur penting entitas, ditargetkan menggunakan kerentanan yang sama ini.”

CISA mencatat bahwa banjir kerentanan yang tersedia yang ditemukan pada tahun 2020 saja sudah lebih dari 18.000, sehingga hampir mustahil bagi organisasi untuk mengikutinya. Masalahnya diperburuk oleh fakta bahwa sebagian besar organisasi memiliki tim TI kecil yang tidak dilengkapi dengan baik untuk menangani serangan yang dilakukan oleh penjahat cyber veteran atau negara-bangsa.

Daftar tersebut menampilkan kerentanan dari lusinan perusahaan teknologi terbesar, mulai dari IBM, Oracle dan Cisco hingga Apple, Microsoft, Adobe, dan Google.

Rep. Jim Langevin, ketua bersama dari House Cybersecurity Caucus, dikatakan arahan itu akan “sangat membantu memperkuat keamanan jaringan dan meningkatkan kebersihan dunia maya federal kami.”

Dia mencatat bahwa Perintah Eksekutif Keamanan Siber Presiden Biden “mencakup elemen penting pada Zero Trust, dan BOD CISA sejalan dengan filosofi tidak hanya melihat pertahanan perimeter.”

Ray Kelly, insinyur keamanan utama di NTT Application Security, mengatakan katalog itu ideal karena dapat diubah menjadi daftar tugas yang dapat ditindaklanjuti dan dapat dilacak dan diverifikasi oleh departemen yang berbeda.

“Melihat katalog kerentanan yang disediakan, sepertinya perpaduan yang baik dari kerentanan kritis yang mencakup perangkat lunak, firmware, dan perangkat seluler,” kata Kelly. “Namun, sementara ada cakupan yang baik dari kerentanan berdampak tinggi yang ditangani, penting untuk dicatat bahwa ini tidak berarti penilaian berkelanjutan dan analisis kerentanan harus dihentikan. Pelaku jahat akan selalu mencari untuk mengambil keuntungan dari celah keamanan berikutnya di setiap organisasi.”

Sementara para ahli memuji upaya di balik arahan tersebut, beberapa mengatakan ada alasan kompleks mengapa beberapa hal tidak selalu ditambal.

Chris Grove, kepala strategi keamanan di Nozomi Networks, bekerja di arena infrastruktur kritis dan mengatakan bahwa sementara arahan itu menunjukkan “pendekatan progresif untuk mengamankan agen federal dalam beberapa bulan ke depan,” itu tidak dapat diterapkan pada sistem infrastruktur penting.

“Sering ada alasan yang sah mengapa hal-hal tidak ditambal dalam banyak lingkungan infrastruktur kritis. Terutama banyak vendor peralatan ICS turnkey menanamkan teknologi dalam produk mereka, yang jika dipaksa untuk menerapkan tambalan dapat merusak peralatan,” kata Grove.

“Dalam beberapa kasus ini, pembaruan atau tambalan dapat membatalkan garansi dan melanggar syarat dan ketentuan pabrikan. Juga, beberapa pembaruan memerlukan jendela pemeliharaan dan pemadaman terencana. Banyak entitas ICS hanya menjadwalkan waktu henti setiap 3-4 tahun. Tidak mungkin bagi mereka. untuk mengikuti patch.”

Critical Insight CISO Mike Hamilton mengatakan kepada ZDNet bahwa yang paling menonjol baginya adalah kerentanan yang tampaknya tidak terlalu parah.

Arahan tersebut memperjelas bahwa kerentanan yang dinilai sedang dan rendah dapat “dirantai”, dan bahwa masalah dengan tingkat keparahan rendah tidak dapat diabaikan, Hamilton menjelaskan.

“Dengan menetapkan contoh ini untuk agen federal dan membuat katalog tersedia secara luas, harus ada efek knock-on di sektor swasta – baik dengan menerima pesan bahwa kerentanan tingkat rendah harus dikelola, dan dengan memberikan daftar eksplisit dari yang diketahui. berguna dalam mengeksploitasi chaining,” kata Hamilton.

“Langkah logis berikutnya mungkin pemindaian aktif untuk sistem yang rentan di sektor swasta – dimulai dengan penyedia infrastruktur penting – dan memberikan pemberitahuan untuk eksposur yang rentan.”


Posted By : result hk