0
0
Uma nova diretiva emitida pela Agência de Segurança Cibernética e Infraestrutura (CISA) está ordenando que as agências civis federais dos EUA realizem descoberta regular de ativos e enumeração de vulnerabilidades, para melhor contabilizar e proteger os dispositivos que residem em suas redes.
Sobre a Diretiva
“Nos últimos anos, a CISA vem trabalhando urgentemente para obter maior visibilidade dos riscos enfrentados pelas redes civis federais, uma lacuna evidenciada pela campanha de intrusão direcionada aos dispositivos SolarWinds”, explicou a agência o ímpeto da Diretiva Operacional Vinculante 23-01 .
“Embora os requisitos desta Diretiva não sejam suficientes para operações abrangentes e modernas de defesa cibernética, eles são um passo importante para enfrentar os atuais desafios de visibilidade no nível de componente, agência e empresa do FCEB.”
A Diretiva diz às agências que, daqui a seis meses (ou seja, até 3 de abril de 2023), elas devem:
- Realize a descoberta automatizada de ativos a cada 7 dias (a descoberta deve cobrir todo o espaço IPv4 usado pela agência)
- Iniciar a enumeração de vulnerabilidades em todos os ativos descobertos, incluindo dispositivos “roaming”, a cada 14 dias
- Inicie a ingestão automatizada de vulnerabilidades detectadas no Painel de Diagnóstico e Mitigação Contínuo (CDM) da CISA em 72 horas
- Desenvolver e manter a capacidade de iniciar a descoberta de ativos sob demanda e a enumeração de vulnerabilidades para identificar ativos específicos ou subconjuntos de vulnerabilidades, quando solicitado pela CISA.
Um passo na direção certa
Embora a Diretiva exija que as agências atinjam esses objetivos, ela não lhes diz como fazê-lo.
“A descoberta de ativos e vulnerabilidades pode ser alcançada por meio de vários meios, incluindo varredura ativa, monitoramento de fluxo passivo, logs de consulta ou, no caso de infraestrutura definida por software, consulta de API. As implementações existentes de Diagnóstico e Mitigação Contínua (CDM) de muitas agências aproveitam esses meios para progredir em direção aos níveis pretendidos de visibilidade”, acrescentou a CISA.
“A visibilidade de ativos não é um fim em si mesma, mas é necessária para atualizações, gerenciamento de configuração e outras atividades de gerenciamento de segurança e ciclo de vida que reduzem significativamente o risco de segurança cibernética, juntamente com atividades exigentes, como remediação de vulnerabilidades.”
A diretora da CISA, Jen Easterly, também acrescentou que, embora esta Diretiva se aplique a agências civis federais, todas as organizações devem pensar em construir suas próprias capacidades de descoberta de ativos e enumeração de vulnerabilidades (se ainda não o fizeram). “Todos nós temos um papel a desempenhar na construção de uma nação cibernética mais resiliente”, observouela .
ATUALIZAÇÃO (6 de outubro de 2022, 06:45 ET):
Danielle Jablanski, estrategista de segurança cibernética OT da Nozomi Networks, diz que a diretiva é crucial por dois motivos.
“Primeiro, se a atividade da rede não for monitorada em tempo real, o status dos ativos é amplamente desconhecido e, se eles têm vulnerabilidades ou não, esses ativos não podem ser protegidos sem a visibilidade necessária de sua funcionalidade diária. Em segundo lugar, as vulnerabilidades não são todas iguais, o grau em que as vulnerabilidades afetam a integridade e a disponibilidade dos sistemas varia de acordo com a tecnologia, implantação, configuração e ambiente”, comentou ela.
“As metas de desempenho cibernético (CPGs) intersetoriais altamente antecipadas da CISA são mais um passo na direção certa, para ajudar os proprietários e operadores de infraestrutura crítica a priorizar e implementar a estrutura de segurança cibernética do NIST. Também fornecerá uma referência ou ponto de partida para a indústria autoavaliar suas próprias práticas de segurança cibernética e maturidade do programa, priorizando com base no escopo da tecnologia, custos, impacto e complexidade.”
Ron Brash, vice-presidente de pesquisa técnica e integrações da aDolus, diz que o número um que as agências civis de recursos precisarão para cumprir a diretiva CISA é um plano de implantação sólido e pessoal ou contratados suficientes para aprovar esse plano.
“Supondo que isso esteja em vigor (uma grande suposição), as agências precisarão comprar e implantar as ferramentas que podem realizar verificações automatizadas regulares de descoberta de ativos e interpretar os resultados dessas verificações. O esforço inicial para fazer isso nunca é trivial, pois a criação de uma lista precisa de ativos de TI quase sempre exige muito esforço para correlacionar os resultados relatados pelas ferramentas com o que está realmente em vigor. Dito isto, é um esforço que vale a pena, pois se você não sabe o que está realmente tentando proteger, é difícil protegê-lo. Além disso, uma vez feito o básico, é muito mais fácil manter sua lista de ativos atualizada”, observou.
“O verdadeiro desafio será a exigência de realizar varreduras de vulnerabilidade ’em todos os ativos descobertos, incluindo todos os dispositivos nômades/roaming (por exemplo, laptops), a cada 14 dias’. Novamente, há muitas ferramentas disponíveis, mas elas tendem a se concentrar em ativos de TI, não em ativos de OT ou IoT. Como resultado, as agências provavelmente enfrentarão um ‘Problema de Pareto’ – ativos de TI comuns, como servidores e estações de trabalho (os 80%) serão fáceis (20% de esforço), mas todos os ativos não tradicionais restantes levarão 80% do o esforço. Com a explosão de produtos OT e IoT na última década, poucas agências escaparão dessa dor: pense em câmeras de segurança, leitores de crachás, sistemas HVAC e até máquinas de refrigerantes como dispositivos conectados que exigirão muito esforço para digitalizar com segurança e de forma confiável. Agências com ativos OT (como ar, água,
Ele também diz que esta publicação é um primeiro passo para reforçar a vigilância de segurança cibernética em ativos conectados e que o gerenciamento de ativos é um passo para a segurança da cadeia de suprimentos de software e as listas de materiais de software (SBOMs).
“Sem um gerenciamento abrangente de ativos, as agências não poderão usar SBOMs de maneira eficaz para gerenciar o risco representado por componentes ou bibliotecas de ativos. Os SBOMs exigirão novas ferramentas para aproveitar todos os novos recursos de segurança que eles oferecem. Eles também provavelmente exporão um tsunami de vulnerabilidades anteriormente desconhecidas (mas perigosas) que precisarão de atenção imediata por parte da equipe. Os responsáveis pelo cumprimento desta Diretriz Operacional estão recebendo um alerta antecipado da CISA: ‘SBOMs estão se tornando um requisito de segurança obrigatório no próximo ano, então coloque sua casa em ordem agora.’”
FONTE: HELPNET SECURITY