SÅRBARHETER

USA beordrer sivile etater til å fjerne hundrevis av sårbarheter

Samtlige utnyttes i angrep.

Amerikanske CISA anbefaler alle å fjerne de mer enn 300 sårbarhetene i den nye katalogen over sårbarheter som det er kjent at utnyttes i angrep.
Amerikanske CISA anbefaler alle å fjerne de mer enn 300 sårbarhetene i den nye katalogen over sårbarheter som det er kjent at utnyttes i angrep. Illustrasjonsfoto: Colourbox, CISA. Montasje: Digi.no

Amerikanske Cybersecurity and Infrastructure Security Agency (CISA), som har et ansvar for å gjøre den amerikanske infrastrukturen sikrere mer motstandsdyktig, kom onsdag med et bindende direktiv som beordrer sivile, føderale etater i USA til å fjerne et stort utvalg av digitale sårbarheter som faktisk blir utnyttet i angrep. Dette må de gjøre innen en viss tidsfrist. 

CISA har utgitt en katalog som foreløpig inneholder mer enn 300 forskjellige sårbarheter som man vet blir utnyttet i angrep. Produktene som er berørt inkluderer alt fra Android og IOS til utviklerverktøy og sikkerhetsprogramvare.

Etatene ble gitt en frist på 14 dager på å fjerne mange av sårbarhetene. De resterende må fjernes innen et halv år. 

Les også

Blir ikke prioritert

Bakgrunnen for direktivet er at mange cyberangrep gjøres mulig ved hjelp av gamle og velkjente sårbarheter som har blitt utnyttet i lang tid. I en del tilfeller har etatene ikke fjernet sårbarhetene fordi hver risikoen knyttet til hver enkelt sårbarhet ikke anses som spesielt høy. Men det er ikke uvanlig at angripere utnytter kjeder av slike mindre alvorlige sårbarheter, som til sammen kan gi like stor tilgang som en kritisk sårbarhet. 

Samtidig er det ifølge CISA slik at bare rundt 4 prosent av alle kjente sårbarheter blir utnyttet i kjente angrep. Til gjengjeld har disse sårbarhetene ofte blitt utnyttet svært raskt. 42 prosent av sårbarhetene var allerede benyttet den dagen de ble offentlig kjent, 50 prosent innen to dager og 75 prosent innen 28 dager. Noen av disse sårbarhetene har i forkant blitt ansett for bare å utgjøre en middels eller lav sikkerhetsrisiko.

Noe av hensikten med katalogen er derfor å hjelpe IT-avdelingene i de sivile, føderale etatene med i prioritere hvilke sårbarheter de i alle fall bør prioritere å fjerne. 

Ikke bare for etatene

Dette betyr ikke at katalogen kun er ment for disse etatene. Som CISA-direktør Jen Easterly skriver i tvitringen nedenfor, bør alle virksomheter prioritere å fjerne sårbarhetene i katalogen.

Det er uklart i hvilken grad de sivile, føderale etatene i USA faktisk følger opp direktivene fra CISA. Byrået har tidligere kommet med direktiver som gir de berørte etatene konkrete tidsfrister på å installere sikkerhetsfikser for sårbarheter som utgjør høy eller kritisk sikkerhetsrisiko, henholdsvis 30 og 15 dager. 

CISA erkjenner samtidig at cyberkriminelle og andre ondsinnede aktører på langt kortere tid enn dette kan både skanne internett etter sårbare systemer og utføre angrep mot disse.

I noen tilfeller har CISA derfor kommet med nøddirektiver for å få fortgang på lappingen av store og nyoppdagede sikkerhetshull. Ferske eksempler på dette er kompromitteringen av kildekoden til Solarwinds Orion, samt de aktive angrepene mot Microsoft Exchange og visse Ivanti Pulse Connect Secure-produkter.

Les også

Kommentarer:

Vi har byttet system for artikkelkommentarer. For å opprette brukerkonto, registrerer du deg med BankID.