ゼファーネットのロゴ

CISAの「パッチが必要」リストは、脆弱性管理プロセスにスポットライトを当てます

日付:

米国サイバーセキュリティおよびインフラストラクチャセキュリティエージェンシーの既知の悪用された脆弱性のカタログは、組織がシステム内のリスクの高い脆弱性にパッチを適用するのに役立つだけでなく、脆弱性管理プロセスを構築または改善するのにも役立ちます。

CISAが発表したとき 既知の悪用された脆弱性カタログ 300月には、約50のセキュリティホールがリストされました。 さらにXNUMXの脆弱性があります リストに追加されました その発売以来。

CISAは SecurityWeek そのすべて カタログに含まれる脆弱性 悪意のある悪用の公的な報告がないように見える場合でも、実際の攻撃で悪用されています。

リストの立ち上げには、Binding Operational Directive(BOD)22-01が伴いました。これにより、連邦民間機関は、定義された期間内に既知の悪用された脆弱性を特定して対処する必要があります。新しい欠陥にはXNUMX週間以内にパッチを適用し、古い問題はXNUMX週間以内に修正する必要があります。六ヶ月。

CISAの既知の悪用された脆弱性カタログ取締役会 22-01 また、機関はリポジトリにリストされている脆弱性のステータスについて報告する必要があります。

CISAは言った SecurityWeek その正式な報告は数週間以内に開始されますが、サイバーセキュリティ機関は期限に間に合わなかった人は罰せられないことを明らかにしました。

「CISAは継続的に政府機関と協力して、サイバー指令の要件を理解し、設定されたタイムラインに基づいて政府機関が進歩していることを確認し、直面する可能性のある潜在的な課題を特定して解決するのを支援します」とCISAの広報担当者は説明しました。

「政府機関は、連邦法によりCISA指令に準拠することが義務付けられています」と彼らは付け加えました。 「エージェンシーが必要な時間枠内に完全に準拠していない場合、CISAは上級エージェンシーのリーダーシップと緊密に連携して、制約に対処し、迅速な遵守を確保します。」

モバイルセキュリティ会社Lookoutのセキュリティソリューションのシニアマネージャーであるハンクシュレス氏は、BODに違反すると、「組織、その顧客またはユーザー、および国家安全保障に悪影響を与える可能性がある」と述べました。

一方、Schless氏は、次のように述べています。 特定のグループがインフラストラクチャ内のこれらの脆弱性のすべてを管理できないという正当な理由がある場合は、それらを切り刻むブロックに置くよりも、解決するのを支援する方がよいでしょう。 このタイプのコラボレーションにより、すべての人がより安全になり、サイバーセキュリティ業界全体でこのタイプのコラボレーション作業により、公的部門と民間部門の両方の組織がより安全になることが証明されています。」

CISAによると、政府機関は指令への準拠を確実にするための措置を講じており、多くの機関が悪用された脆弱性にパッチを適用するだけでなく、新しい脆弱性管理プロセスを構築していると指摘しました。

「これらの既知の悪用された脆弱性を修正するためのアクションは、連邦政府による長年の多大な作業に基づいており、連邦政府機関、ならびに公的および民間部門の組織が脆弱性管理慣行を改善し、サイバー攻撃」とCISAは語った SecurityWeek.

Morrison&Foersterのグローバルリスクおよび危機管理グループの共同議長であるAlex Iftimieは、次のように考えています。新たに開示された脆弱性のトップ、および合意された時間枠内のパッチの脆弱性。」

クロールのサイバーリスクプラクティスのシニアマネージングディレクターであるアランブリル氏は、組織にとって効果的な戦略は、脆弱性管理、脅威インテリジェンス、および検出と対応の機能への投資のバランスを取ることであると述べました。

「[組織]は、自身のデジタルフットプリントに基づいて重大な脆弱性を検出、特定、優先順位付けし、自信を持って対応できる必要があります。 このバランスをとることで、攻撃者がどのように侵入したかに関係なく、攻撃者による潜在的な被害を最小限に抑えることができます」とBrill氏は説明します。

自動化されたIoTサイバー衛生のプロバイダーであるViakooのCEOであるBudBroomheadによると、代理店が新しい脆弱性管理プロセスの構築に取り組んでいるという事実は、「まさに正しい焦点」です。

「長期的には、脆弱性の修復に関する自動化とプロセスを強化することで、将来のサイバー脅威に対する保護と回復力が向上します」とBroomhead氏は述べています。 SecurityWeek。 「この強調により、CISA BODの要件を満たすことは「XNUMXつで完了」ではなく、すべてのサイバー脆弱性を修正するためのより効率的で継続的なサイバー保護につながります。」

サイバーリスク管理会社VulcanCyber​​の共同創設者兼CPOであるTalMorgensternは、公的機関と民間組織の両方が「リスク軽減の成果を促進する目的で、脆弱性管理プログラムの成熟度を向上させるために、今すぐCISAの主導に従い、有意義なリソースを投入する必要がある」と考えています。

プロジェクト管理ソリューションプロバイダーであるDeltekの連邦市場アナリストであるJohnSlyeは、CISAの既知の悪用された脆弱性のカタログは、政府の請負業者に運用上および財務上の両方の影響を与える可能性があると述べました。

一方では、これらの請負業者は、BODの要件が満たされていることを確認するために、代理店やサプライチェーンベンダーと協力する必要があります。また、契約やサービスレベル契約を変更する必要があり、コンプライアンスの運用コストが必要になる場合があります。請負業者によって吸収されます。

一方、Slye氏は、次のように指摘しています。「政府機関が内部の脆弱性管理手順と修復プロセスを確認および改善することを要求するCISAの指令の要素は、これらの分野を専門とする請負業者にいくつかの新しいビジネスチャンスをもたらす可能性があります。 エージェンシーは、これらの企業にゲームの向上に役立つことを期待しており、これらの機会は、発行されるサイバーセキュリティ指令の数と範囲と並行して増加する可能性があります。」

関連する リスクベースの脆弱性管理はセキュリティとコンプライアンスの必須事項です

関連する CISAがZoho、Qualcomm、Mikrotikの欠陥を「Must-Patch」リストに追加

カウンターを見る

Eduard Kovacs(@EduardKovacs)はSecurityWeekの寄稿編集者です。 彼は高校のIT教師としてXNUMX年間働いた後、Softpediaのセキュリティニュースレポーターとしてジャーナリズムのキャリアを開始しました。 Eduardは、産業情報学の学士号と、電気工学に適用されるコンピューター技術の修士号を取得しています。

Eduard Kovacsによる前のコラム:
タグ:

スポット画像

キャプチャ

キャプチャ

最新のインテリジェンス

スポット画像