Amerikanske Cybersecurity and Infrastructure Security Agency (CISA), som har et ansvar for å gjøre den amerikanske infrastrukturen sikrere mer motstandsdyktig, kom onsdag med et bindende direktiv som beordrer sivile, føderale etater i USA til å fjerne et stort utvalg av digitale sårbarheter som faktisk blir utnyttet i angrep. Dette må de gjøre innen en viss tidsfrist.
CISA har utgitt en katalog som foreløpig inneholder mer enn 300 forskjellige sårbarheter som man vet blir utnyttet i angrep. Produktene som er berørt inkluderer alt fra Android og IOS til utviklerverktøy og sikkerhetsprogramvare.
Etatene ble gitt en frist på 14 dager på å fjerne mange av sårbarhetene. De resterende må fjernes innen et halv år.
To år gammel sårbarhet er blant dem som utnyttes aller mest i cyberangrep
Blir ikke prioritert
Bakgrunnen for direktivet er at mange cyberangrep gjøres mulig ved hjelp av gamle og velkjente sårbarheter som har blitt utnyttet i lang tid. I en del tilfeller har etatene ikke fjernet sårbarhetene fordi hver risikoen knyttet til hver enkelt sårbarhet ikke anses som spesielt høy. Men det er ikke uvanlig at angripere utnytter kjeder av slike mindre alvorlige sårbarheter, som til sammen kan gi like stor tilgang som en kritisk sårbarhet.
Samtidig er det ifølge CISA slik at bare rundt 4 prosent av alle kjente sårbarheter blir utnyttet i kjente angrep. Til gjengjeld har disse sårbarhetene ofte blitt utnyttet svært raskt. 42 prosent av sårbarhetene var allerede benyttet den dagen de ble offentlig kjent, 50 prosent innen to dager og 75 prosent innen 28 dager. Noen av disse sårbarhetene har i forkant blitt ansett for bare å utgjøre en middels eller lav sikkerhetsrisiko.
Noe av hensikten med katalogen er derfor å hjelpe IT-avdelingene i de sivile, føderale etatene med i prioritere hvilke sårbarheter de i alle fall bør prioritere å fjerne.
Ikke bare for etatene
Dette betyr ikke at katalogen kun er ment for disse etatene. Som CISA-direktør Jen Easterly skriver i tvitringen nedenfor, bør alle virksomheter prioritere å fjerne sårbarhetene i katalogen.
Det er uklart i hvilken grad de sivile, føderale etatene i USA faktisk følger opp direktivene fra CISA. Byrået har tidligere kommet med direktiver som gir de berørte etatene konkrete tidsfrister på å installere sikkerhetsfikser for sårbarheter som utgjør høy eller kritisk sikkerhetsrisiko, henholdsvis 30 og 15 dager.
The BOD applies to federal civilian agencies; however, ALL organizations should adopt this Directive and prioritize mitigating vulnerabilities listed on our public catalog, which are being actively used to exploit public and private organizations: https://t.co/Urafj9lYmh
— Jen Easterly (@CISAJen) November 3, 2021
CISA erkjenner samtidig at cyberkriminelle og andre ondsinnede aktører på langt kortere tid enn dette kan både skanne internett etter sårbare systemer og utføre angrep mot disse.
I noen tilfeller har CISA derfor kommet med nøddirektiver for å få fortgang på lappingen av store og nyoppdagede sikkerhetshull. Ferske eksempler på dette er kompromitteringen av kildekoden til Solarwinds Orion, samt de aktive angrepene mot Microsoft Exchange og visse Ivanti Pulse Connect Secure-produkter.
Hackere slettet russisk base fra nettet – de tapte dataene kan være verdt minst 100 millioner
