Governo dos EUA ordena que agências federais corrijam centenas de vulnerabilidades

A Agência de Segurança Cibernética e Infraestrutura está mantendo um banco de dados de falhas de segurança conhecidas com detalhes sobre como e quando as agências e departamentos federais devem corrigi-las.

No mais recente esforço para combater o cibercrime e o ransomware, as agências federais foram instruídas a corrigir centenas de vulnerabilidades de segurança conhecidas com datas de vencimento que variam de novembro de 2021 a maio de 2022. Em uma diretiva emitida na quarta-feira, a Agência de Segurança Cibernética e Infraestrutura (CISA) ordenou todos os departamentos e agências federais e executivos para corrigir uma série de vulnerabilidades exploradas conhecidas, conforme catalogadas em um site público gerenciado pela CISA.

CONSULTE: Política de gerenciamento de patches (TechRepublic )

A diretiva se aplica a todos os softwares e hardwares localizados nas instalações de agências federais ou hospedados por terceiros em nome de uma agência. Os únicos produtos que parecem estar isentos são aqueles definidos como sistemas de segurança nacional, bem como certos sistemas operados pelo Departamento de Defesa ou pela Comunidade de Inteligência.

Todas as agências estão sendo solicitadas a trabalhar com o catálogo da CISA, que atualmente lista quase 300 vulnerabilidades de segurança conhecidas com links para informações sobre como corrigi-las e datas de vencimento em que devem ser corrigidas.

O catálogo contém um registro para cada vulnerabilidade com um número CVE, fornecedor, nome do produto, nome da vulnerabilidade, data adicionada, descrição, ação, data de vencimento e notas. O número CVE está vinculado ao banco de dados de vulnerabilidades do NIST, que contém mais detalhes, bem como as etapas sobre como corrigir a falha.

O catálogo contém especificamente vulnerabilidades exploradas que a CISA acredita que representam riscos de segurança para o governo federal. As datas de vencimento para correção variam, com a maioria delas com vencimento em 17 de novembro de 2021 ou 3 de maio de 2022. Vulnerabilidades com CVEs atribuídas antes de 2021 listam a data de vencimento de 3 de maio, enquanto as atribuídas este ano levam a data de 17 de novembro. Além de consultar manualmente o catálogo, as agências podem se inscrever para uma atualização por e-mail alertando-as sobre novas vulnerabilidades.

O gerenciamento de patches é uma das tarefas de segurança mais desafiadoras para qualquer organização. Tentar acompanhar todas as vulnerabilidades descobertas a cada dia e determinar quais precisam ser corrigidas e como é uma grande parte do desafio.

Com seu próprio catálogo, a CISA está tentando remover parte da complexidade das agências governamentais listando quais vulnerabilidades são consideradas críticas e estão sendo exploradas ativamente, juntamente com como elas podem ser corrigidas e quando. Como o catálogo é ível publicamente na web, o setor privado também pode consultá-lo para obter ajuda na correção de vulnerabilidades críticas.

“Ao fornecer uma lista comum de vulnerabilidades a serem corrigidas, a CISA está efetivamente nivelando o campo de atuação das agências em termos de priorização”, disse Tim Erlin, vice-presidente de estratégia do provedor de segurança Tripwire. “Não cabe mais às agências individuais decidir quais vulnerabilidades são a maior prioridade para corrigir. O resultado positivo esperado aqui é que as agências abordarão essas vulnerabilidades de forma mais eficaz com esta orientação. Também existe o risco de que essa abordagem não leve em conta as nuances de como o risco é avaliado para cada agência, mas há muitas evidências de que essas nuances também não estão sendo consideradas agora.”

VEJO: Como se tornar um profissional de segurança cibernética: uma folha de dicas (TechRepublic)

É claro que o trabalho real e a responsabilidade ainda estão dentro de cada departamento. Para esse fim, a CISA está exigindo certos prazos e entregas.

Dentro de 60 dias, as agências devem revisar e atualizar suas políticas e procedimentos de gerenciamento de vulnerabilidades e fornecer cópias deles, se solicitado. As agências devem estabelecer um processo pelo qual possam corrigir as falhas de segurança identificadas pela CISA, o que significa atribuir funções e responsabilidades, estabelecer rastreamento e relatórios internos e validar quando as vulnerabilidades foram corrigidas.

No entanto, o gerenciamento de patches ainda pode ser um processo complicado, exigindo tempo e pessoas adequadas para testar e implantar cada patch. Para ajudar nessa área, o governo federal precisa fornecer mais orientações além da nova diretiva.

“Esta diretiva se concentra em sistemas de patches para atender às atualizações fornecidas pelos fornecedores e, embora isso possa parecer uma tarefa simples, muitas organizações governamentais lutam para desenvolver os programas de gerenciamento de patches necessários que manterão seu software e infraestrutura totalmente ados e corrigidos em um processo contínuo. base”, disse Nabil Hannan, diretor istrativo da empresa de gerenciamento de vulnerabilidades NetSPI.

“Para remediar isso, o governo Biden deve desenvolver diretrizes específicas sobre como construir e gerenciar esses sistemas, bem como diretrizes sobre como testar adequadamente os problemas de segurança continuamente”, acrescentou Hannan. “Esse e adicional criará uma postura de segurança mais forte nas redes governamentais que protegerá contra ameaças adversárias em evolução, em vez de apenas fornecer uma solução imediata e temporária para o problema em questão.”