Nos últimos anos, vimos como os hackers atacam aqueles que são muito preguiçosos ou ignorantes para instalar os patches de segurança, que, se aplicados a tempo, teriam evitado alguns ataques cibernéticos e violações de dados devastadores ocorridos nas principais organizações.
O Departamento de Segurança Interna dos Estados Unidos (DHS, na sigla em inglês) ordenou que as agências governamentais conectem mais rapidamente as vulnerabilidades de segurança críticas encontradas em suas redes dentro de 15 dias corridos desde a detecção inicial, uma redução de 30 dias.
A CISA (Cybersecurity and Infrastructure Security Agency) do DHS divulgou esta semana uma nova Diretriz Operacional Vinculativa (BOD) 19-02, instruindo agências federais e departamentos a tratar vulnerabilidades classificadas como "críticas" dentro de 15 dias e falhas de severidade "alta" dentro de 30 dias da detecção inicial. .
A contagem regressiva para corrigir uma vulnerabilidade de segurança será iniciada quando for detectada inicialmente durante a varredura semanal de vulnerabilidades do Cyber Hygiene da CISA, em vez de ser o primeiro relatório para as agências afetadas.
O Departamento de Segurança Interna dos Estados Unidos (DHS, na sigla em inglês) ordenou que as agências governamentais conectem mais rapidamente as vulnerabilidades de segurança críticas encontradas em suas redes dentro de 15 dias corridos desde a detecção inicial, uma redução de 30 dias.
A CISA (Cybersecurity and Infrastructure Security Agency) do DHS divulgou esta semana uma nova Diretriz Operacional Vinculativa (BOD) 19-02, instruindo agências federais e departamentos a tratar vulnerabilidades classificadas como "críticas" dentro de 15 dias e falhas de severidade "alta" dentro de 30 dias da detecção inicial. .
A contagem regressiva para corrigir uma vulnerabilidade de segurança será iniciada quando for detectada inicialmente durante a varredura semanal de vulnerabilidades do Cyber Hygiene da CISA, em vez de ser o primeiro relatório para as agências afetadas.
"À medida que as agências federais continuam expandindo sua presença na Internet por meio do aumento da implantação de sistemas acessíveis pela Internet e operam sistemas interconectados e complexos, é mais importante do que nunca que as agências federais corrijam rapidamente vulnerabilidades que poderiam permitir que agentes mal-intencionados comprometam as redes federais." sistemas exploráveis, voltados para o exterior ", diz o memorando do diretor da CISA, Chris Krebs.
"Relatórios recentes do governo e de parceiros do setor indicam que o tempo médio entre a descoberta e a exploração de uma vulnerabilidade está diminuindo, pois os adversários de hoje são mais habilidosos, persistentes e capazes de explorar vulnerabilidades conhecidas."
Portanto, para minimizar o risco de acesso não autorizado a qualquer sistema interno de informações federais e reduzir a superfície geral de ataques, a CISA quer que agências governamentais analisem e corrijam vulnerabilidades críticas em sistemas voltados para a Internet antes que hackers e cibercriminosos as explorem.
A recém-criada agência CISA fornece relatórios regulares aos órgãos federais sobre os resultados da varredura e estado atual do Cyber Hygiene, informando-os sobre as vulnerabilidades detectadas, classificadas com base em sua pontuação no CVSSv2.
As agências que não concluírem a sua reparação dentro do período de tempo alocado, a CISA enviará um lembrete adicional às agências, pedindo-lhes que enviem o plano de reparação completo no prazo de três dias úteis para a CISA.
O BOD 19-02 substitui o BOD 15-01 - Requisito de Mitigação de Vulnerabilidade Crítica para Sistemas Acessíveis à Internet das Secretarias e Agentes do Executivo Federal (21 de maio de 2015) - que deu aos órgãos federais 30 dias para corrigir as vulnerabilidades críticas.
Este é o segundo BOD que a CISA lançou este ano. Após uma série deIncidentes de sequestro de DNS, a agência emitiu uma " diretiva de emergência " no início deste ano, ordenando que as agências federais auditem registros de DNS para seus respectivos domínios de sites e outros domínios gerenciados por agências dentro de 10 dias.
