CISA dala saveznim agencijama tri dana za zakrpe kritičnih propusta koji se aktivno iskorištavaju

Američka Agencija za kibernetičku sigurnost i sigurnost infrastrukture (CISA) objavila je novu Binding Operational Directive 26-04 kojom daje prioritet sigurnosnim ažuriranjima za agencije Federal Civilian Executive Branch (FCEB). Prema objavi, cilj je smanjiti rizik od kibernetičkih napada na javni sektor tako što će se visokorizične ranjivosti otklanjati u ubrzanim rokovima, a u nekim slučajevima i u samo tri dana.

CISA navodi da nova direktiva „supersedes and revokes” starije BOD 19-02 i BOD 22-01, uvedene 2019. i 2021. godine. Prioriteti se, kako stoji u priopćenju, određuju prema četiri ključna čimbenika, a ovisno o njima agencije dobivaju rokove za sanaciju sigurnosnih propusta. Najkraći rok je tri dana, dok je za manje hitne situacije, kada automatizirano iskorištavanje nije moguće ili daje samo djelomičnu kontrolu, predviđen rok od dva tjedna.

Direktiva se odnosi na američke savezno-civilne izvršne agencije i informacijske sustave kojima upravljaju. To uključuje državne agencije i odjele, ali ne obuhvaća određene vojne sustave kojima upravlja U.S. Department of War, privatne tvrtke, sustave Intelligence Communityja ni ugovorne izvođače. Obuhvaćeni su on-premise federalni sustavi, sustavi hostani kod trećih strana te cloud okruženja s FedRAMP i bez FedRAMP certifikacije.

Agencije koje potpadaju pod BOD 26-04 trebale bi odmah prilagoditi politike upravljanja ranjivostima, ažurirati popise imovine i automatizirati izvještavanje o statusu KEV-a. CISA navodi i da se procesi upravljanja ranjivostima trebaju u roku od 60 dana prilagoditi tako da se CVE i KEV podaci koriste kao osnova za odluke o sanaciji. U roku od 180 dana sve će agencije trebati slijediti nove rokove sanacije te kontinuirano pratiti i prijavljivati detaljne metapodatke o imovini.

U istom okviru CISA povezuje prioritetno zakrpavanje s ranjivostima koje se aktivno iskorištavaju, a u posljednje vrijeme agencijama je više puta određivala vrlo kratke rokove za otklanjanje pojedinih propusta. Među takvim slučajevima bili su Ivanti EPMM propust, novi SD-WAN propust i cPanel plugin propust, za koje je naloženo hitno zakrpavanje. Nova direktiva sada taj pristup širi na širi skup rizika i uvodi preciznije rokove za federalne sustave.