Americká agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA) zverejnila katalóg zraniteľností vrátane z Apple, Cisco, Microsoft a Google, ktoré poznajú exploity a sú aktívne využívané zákernými kybernetickými aktérmi, okrem toho, že od federálnych agentúr vyžaduje, aby uprednostňovali aplikovanie opráv pre tieto bezpečnostné chyby v „agresívnych“ časových rámcoch.
“Tieto zraniteľnosti predstavujú značné riziko pre agentúry a federálny podnik,” uviedla agentúra v záväznej operačnej smernici (BOD) vydanej v stredu. “Je nevyhnutné agresívne napraviť známe zneužité zraniteľnosti, aby sme ochránili federálne informačné systémy a znížili kybernetické incidenty.”
Približne 176 zraniteľností identifikovaných medzi rokmi 2017 a 2020 a 100 nedostatkov z roku 2021 sa dostalo do pôvodného zoznamu, ktorý by mal byť aktualizovaný o ďalšie aktívne využívané zraniteľnosti, keď budú známe, za predpokladu, že im boli priradené spoločné zraniteľnosti a vystavenia ( CVE) a majú jasné opatrenia na nápravu.
Záväzná smernica nariaďuje, aby sa bezpečnostné chyby objavené v roku 2021 – tie, ktoré boli sledované ako CVE-2021-XXXXX – riešili do 17. novembra 2021, pričom sa stanovuje konečný termín opravy na máj. 3, 2022 pre zostávajúce staršie zraniteľnosti. Hoci BOD je primárne zameraný na federálne civilné agentúry, CISA odporúča súkromným podnikom a štátnym subjektom, aby prehodnotili katalóg a napravili slabé miesta, aby posilnili svoju pozíciu v oblasti bezpečnosti a odolnosti.
V novej stratégii sa agentúra tiež odkláňa od nápravy zraniteľnosti založenej na závažnosti k tým, ktoré predstavujú značné riziko a sú zneužívané na prieniky v reálnom svete, vzhľadom na skutočnosť, že protivníci sa nemusia vždy spoliehať len na „kritické“ slabé stránky, aby dosiahli ich ciele, pričom niektoré z najrozšírenejších a najničivejších útokov spájajú viaceré zraniteľnosti s hodnotením „vysoké“, „stredné“ alebo dokonca „nízke“.
“Táto smernica robí dve veci. Po prvé, stanovuje dohodnutý zoznam zraniteľností, ktoré sa aktívne využívajú,” povedal Tim Erlin, viceprezident pre stratégiu Tripwire. “Po druhé, poskytuje termíny na nápravu týchto slabých miest. Poskytnutím spoločného zoznamu zraniteľností, na ktoré sa treba zamerať pri náprave, CISA efektívne vyrovnáva podmienky pre agentúry, pokiaľ ide o stanovenie priorít. Už nie je na každej jednotlivej agentúre, aby rozhodla o tom, ktoré zraniteľnosti sú najvyššou prioritou opravy.”