Федеральным органам власти США было поручено пересмотреть свои методы управления уязвимостями, перейдя от жёсткого, завязанного на сроки обновления ПО к риск-ориентированному подходу. Он отдаёт приоритет наиболее распространённым угрозам, согласно новым рекомендациям Агентства по кибербезопасности и защите инфраструктуры (CISA).
Оперативная директива 26-04 от 10 июня связывает сроки с риском: если тот не очень высок, то времени на проверку и обновление выделяется больше, и наоборот. CISA рассматривает это как ответ на ситуацию, в которой ИИ помогает злоумышленникам быстрее находить и использовать уязвимости, сокращая время, отведённое защитникам после выпуска патча.
Директива также предусматривает жёсткие сроки выполнения работ и этап анализа брешей. При устранении наиболее серьёзных недостатков ведомство должно проверить, не использовали ли их уже атакующие, поскольку исправление редко приводит к исключению потенциальных вторжений.
В течение многих лет оценки серьёзности CVSS (Common Vulnerability Scoring System — это международный открытый стандарт для оценки серьёзности уязвимостей в софте) определяли приоритеты, а BOD 26-04 от них отходит. Отмена старой директивы означает, что ведомствам больше не нужно использовать CVSS для определения приоритетов, поскольку, как отмечает CISA, сама по себе метка серьёзности не указывает на то, что исправлять в первую очередь.
Вместо этого новый релиз выделяет четыре фактора:
- является ли система общедоступной;
- находится ли брешь в каталоге известных эксплуатируемых уязвимостей CISA (KEV);
- может ли злоумышленник автоматизировать каждый шаг, необходимый для его использования;
- даёт ли успешная атака частичный или полный контроль.
Исполняющий обязанности директора CISA Ник Андерсен заявил, что документ позволяет федеральным органам «сосредоточить свои усилия на областях наибольшего риска» и отложить всё остальное. Он призвал частный сектор и операторов инфраструктуры последовать этому примеру.
У ведомств есть 180 дней на подготовку, чтобы начать соблюдать сроки исправления ситуации в каждом случае. Практикующие в целом поприветствовали инициативу, но предупредили, что самое сложное — это её исполнение.
По словам гендиректора поставщика платформ агентного исправления Averlon Сунила Готтумуккала, знание того, что ошибка эксплуатируется, — это только половина дела: «Другая половина заключается в том, имеет ли это значение в вашей среде». Эксперты задаются вопросом, кто будет обеспечивать, чтобы ведомства проводили реальную оценку рисков, а не ставили галочку в поле соответствия, учитываязначительное сокращение бюджета и штатов CISA.
Усам Оздемиров
.jpg)
.jpg)
