Az Cybersecurity and Infrastructure Security Agency (CISA) új, rendkívül szigorú kiberbiztonsági előírást vezetett be, amely szerint az amerikai szövetségi polgári ügynökségeknek bizonyos kritikus sérülékenységeket akár 3 napon belül javítaniuk kell.
Az új szabályozás neve:
Binding Operational Directive (BOD) 26-04
A cél, hogy a kormányzati szervek gyorsabban reagáljanak azokra a sérülékenységekre, amelyeket a támadók már aktívan kihasználnak.
Miért volt szükség az új szabályozásra?
Az elmúlt években jelentősen lerövidült az az időszak, amely a sérülékenység nyilvánosságra kerülése és a tényleges támadások megjelenése között eltelik.
Korábban:
- hetek,
- esetenként hónapok
álltak rendelkezésre a javítások telepítésére.
Ma már gyakori, hogy:
- órákon belül,
- néhány napon belül
megjelennek az első automatizált támadások.
A folyamatot tovább gyorsítja:
- az automatizált sérülékenység-keresés,
- a tömeges internetes szkennelés,
- az AI-alapú felderítés,
- a nyilvánosan elérhető exploit keretrendszerek.
Mit változtat a BOD 26-04?
A korábbi szabályozások helyett a CISA most kockázatalapú megközelítést vezet be.
Nem kizárólag a CVSS pontszám számít.
Figyelembe veszik:
- internetes elérhetőséget,
- aktív kihasználtságot,
- automatizálhatóságot,
- támadási hatást,
- megszerezhető jogosultsági szintet.
Új javítási határidők
3 nap
Azonnali javítás szükséges:
- a KEV-listás sérülékenységeknél,
- internet felől elérhető rendszereken,
- bizonyítottan aktív támadások esetén.
A KEV (Known Exploited Vulnerabilities) lista a CISA által nyilvántartott, valós támadásokban használt sérülékenységeket tartalmazza.
14 nap
A magas kockázatú, de kevésbé sürgős sérülékenységeket általában:
14 napon belül
kell kezelni.
Mi az a KEV lista?
A CISA KEV katalógusa ma már az egyik legfontosabb sérülékenységi prioritási forrás.
Csak olyan hibák kerülnek rá, amelyekről bizonyított:
✅ aktív kihasználás
✅ valós támadásokban való használat
✅ jelentős kockázat
A modern sérülékenységkezelés egyre inkább erre épül, nem pusztán a CVSS pontszámokra.
Mely rendszerekre vonatkozik?
A szabályozás minden Federal Civilian Executive Branch (FCEB) szervezetre érvényes.
Ide tartoznak:
- helyszíni infrastruktúrák,
- felhőszolgáltatások,
- FedRAMP rendszerek,
- nem FedRAMP rendszerek,
- harmadik fél által üzemeltetett környezetek.
Nem vonatkozik közvetlenül:
- a Honvédelmi Minisztérium rendszereire,
- hírszerző szervezetek infrastruktúrájára.
Bevezetési ütemezés
60 napon belül
Az ügynökségeknek át kell alakítaniuk sérülékenységkezelési folyamataikat úgy, hogy a:
- CVE adatok,
- KEV lista
legyenek az elsődleges prioritási források.
180 napon belül
Teljes megfelelés szükséges:
- folyamatos monitorozással,
- pontos eszközleltárral,
- részletes jelentésekkel.
Miért fontos ez a vállalatok számára is?
Bár a BOD 26-04 jogilag csak az amerikai szövetségi szervekre kötelező, a gyakorlatban gyakran iparági szabvánnyá válik.
Korábban is előfordult, hogy a CISA irányelveit átvették:
- kritikus infrastruktúra üzemeltetők,
- egészségügyi szervezetek,
- pénzügyi intézmények,
- felhőszolgáltatók,
- nagyvállalatok.
Ezért várhatóan sok szervezet a jövőben saját sérülékenységkezelési szabályzatát is ehhez fogja igazítani.
Mit jelent ez a gyakorlatban?
A CISA most lényegében kimondta:
A kritikus sérülékenységek javítására már nem hetek vagy hónapok, hanem napok állnak rendelkezésre.
Ez különösen fontos a következő területeken:
- VPN rendszerek
- tűzfalak
- levelezőszerverek
- identitáskezelő rendszerek
- felhőszolgáltatások
- internet felől elérhető alkalmazások
A következő években várhatóan egyre több szervezet tér át olyan működésre, ahol a kritikus sérülékenységek javítása 72 órán belül kötelező belső célkitűzés lesz.
