คำสั่ง CISA ‘ที่ก้าวล้ำ’ เพื่อยกเครื่องกระบวนการจัดการช่องโหว่ทางไซเบอร์

คำสั่ง CISA 'ที่ก้าวล้ำ' เพื่อยกเครื่องกระบวนการจัดการช่องโหว่ทางไซเบอร์

Cybersecurity and Infrastructure Security Agency กำลังสั่งการให้หน่วยงานต่างๆ จัดการกับช่องโหว่ทางไซเบอร์ที่รู้จักหลายร้อยรายการภายในกรอบเวลาที่กำหนดภายใต้กระบวนการใหม่ที่ CISA จะอัปเดตแคตตาล็อกของช่องโหว่ที่ทราบเป็นประจำสำหรับการแพตช์ลำดับความสำคัญคำสั่งBinding Operational Directiveที่ออกในวันนี้ใช้กับ “ซอฟต์แวร์และฮาร์ดแวร์ทั้งหมดที่พบในระบบข้อมูลของรัฐบาลกลาง รวมถึงซอฟต์แวร์และฮาร์ดแวร์ที่จัดการในสถานที่ของหน่วยงานหรือ

โฮสต์โดยบุคคลที่สามในนามของหน่วยงาน” ตาม CISA 

ใช้ไม่ได้กับระบบความมั่นคงแห่งชาติที่ดำเนินการโดยหน่วยงานป้องกันและข่าวกรอง

คำสั่งดังกล่าวคือ “การก้าวล้ำในเรื่องนี้เป็นครั้งแรก นี่เป็นการให้กำหนดเวลาในการแก้ไขช่องโหว่เฉพาะที่เรารู้ว่าถูกโจมตีโดยศัตรู” ผู้อำนวยการ CISA Jen Easterly กล่าวระหว่างการพิจารณาคดีของคณะกรรมการความมั่นคงแห่งมาตุภูมิในวันนี้ “ไม่ใช่แค่ช่องโหว่ทั้งหมด แต่จุดที่เราคิดว่าอันตรายที่สุด”

นอกจากนี้ CISA ยังระบุในแถลงการณ์ว่าเป็นคำสั่งแรกของรัฐบาลในการแก้ไขช่องโหว่ “ส่งผลกระทบต่อทั้งสินทรัพย์ที่เชื่อมต่อกับอินเทอร์เน็ตและไม่ใช่อินเทอร์เน็ต”

        ข้อมูลเชิงลึกโดย Eightfold: ค้นพบว่าข้อมูล เทคโนโลยี และกลยุทธ์การสรรหาใหม่ช่วยให้ USDA, EPA, GSA, NASA และ NIH ประสบความสำเร็จในการแข่งขันหาผู้มีความสามารถได้อย่างไร โดยเฉพาะอย่างยิ่งเมื่อเป็นเรื่องของเทคโนโลยีขั้นสูง วิทยาศาสตร์ และตำแหน่งอื่น ๆ ที่ยากต่อการบรรจุ

ตัวแทน Jim Langevin (DR.I.) ประธานของ House Armed Services Cyber, Innovative Technologies and Information Systems คณะอนุกรรมการ ปรบมือให้กับคำสั่งดังกล่าวในแถลงการณ์

“นับตั้งแต่ก่อตั้ง CISA ฉันได้ทำงานเพื่อช่วยให้หน่วยงาน

รักษาความปลอดภัยทางไซเบอร์ชั้นนำของประเทศของเรามีเครื่องมือและหน่วยงานที่จำเป็นในการปกป้องชาวอเมริกันในโลกไซเบอร์” เขากล่าว “Binding Operational Directive ล่าสุดของ CISA ซึ่งกำหนดให้หน่วยงานของรัฐบาลกลางต้องแก้ไขช่องโหว่มากกว่า 250 รายการที่ศัตรูของเรากำลังถูกโจมตีในขณะนี้ จะช่วยเสริมสร้างความปลอดภัยเครือข่ายและปรับปรุงสุขอนามัยในโลกไซเบอร์ของรัฐบาลกลาง”

คำสั่งดังกล่าวให้เวลาสองสัปดาห์แก่หน่วยงานต่างๆ ในการแก้ไขช่องโหว่ 90 รายการที่ระบุในปี 2021 และอีก 6 เดือนเพื่อจัดการกับช่องโหว่ประมาณ 200 รายการที่ระบุระหว่างปี 2017 ถึง 2020 ข้อบกพร่องด้านความปลอดภัยทางไซเบอร์มีรายชื่ออยู่ในแค็ตตาล็อกที่จัดการโดย CISA ฉบับใหม่ ซึ่งระบุถึง “ช่องโหว่ที่ถูกโจมตีซึ่งเป็นที่รู้จักซึ่งมีความเสี่ยงสูงต่อ องค์กรของรัฐบาลกลาง”

หน่วยงานยังมีเวลาสองเดือนในการตรวจสอบและอัปเดตขั้นตอนการจัดการช่องโหว่ภายในตามคำสั่งใหม่ CISA บอกให้หน่วยงานต่างๆ “ดำเนินการแลกเปลี่ยนข้อมูลโดยอัตโนมัติและรายงานสถานะการดำเนินการตามคำสั่งของตน” ผ่านแดชบอร์ดของสหพันธ์การวินิจฉัยและบรรเทาผลกระทบอย่างต่อเนื่อง

อาณัติดังกล่าวแสดงถึงการเปลี่ยนแปลงกลยุทธ์ที่ห่างไกลจาก CISA ที่ออกคำสั่งฉุกเฉินแบบใช้ครั้งเดียวโดยเน้นไปที่ช่องโหว่และความเสี่ยงทั่วไป (CVEs) ที่มีคะแนน “วิกฤต” หรือ “สูง” ภายใต้ระบบการให้คะแนนช่องโหว่ทั่วไป ตัวอย่างเช่น ในเดือนธันวาคม 2020 CISA ได้ออกคำสั่งฉุกเฉินให้หน่วยงานต่างๆ ดำเนินการเกี่ยวกับการประนีประนอม SolarWinds Orion ที่ถูกหน่วยข่าวกรองของรัสเซียใช้ประโยชน์ในการสอดแนมหน่วยงานของรัฐบาลกลางหลายแห่ง

ในเอกสารข้อเท็จจริง CISA กล่าวว่าคะแนน “ไม่ได้แสดงถึงอันตรายหรืออันตรายจริงที่ CVE นำเสนออย่างถูกต้องเสมอไป”

“ผู้โจมตีไม่ได้อาศัยเพียงช่องโหว่ที่ “ร้ายแรง” เพื่อให้บรรลุเป้าหมาย การโจมตีที่ทำลายล้างและแพร่หลายมากที่สุดบางรายการได้รวมช่องโหว่หลายรายการที่จัดอยู่ในประเภท “สูง” “ปานกลาง” หรือแม้แต่ “ต่ำ” ตามเอกสารข้อมูลระบุ

CISA ยังกังวลเกี่ยวกับ “การผูกมัด” ซึ่งมีการใช้ช่องโหว่หลายรายการร่วมกันเพื่อดึงการโจมตีออกมา “CISA วิเคราะห์ CVE เมื่อมีการเปิดเผยเพื่อระบุช่องโหว่ที่อาจเชื่อมโยงได้ และจะผลักดันให้มีการแก้ไขในเชิงรุก เข้ายึดครองการโจมตีเหล่านี้บางส่วนอย่างมีประสิทธิภาพก่อนที่จะเริ่มดำเนินการ” เอกสารข้อเท็จจริงยังคงดำเนินต่อไป

เว็บสล็อตแท้ / สล็อตเว็บตรงไม่ผ่านเอเย่นต์