newsSicurezza Informatica

La Cybersecurity and Infrastructure Security Agency ( CISA) : vulnerabilità ?

CISA e vulnerabilità note.

La U.S. Cybersecurity and Infrastructure Security Agency (CISA) ha pubblicato un catalogo di vulnerabilità. Tra le vulnerabilità troviamo anche quelle di  Apple, Cisco, Microsoft e Google. Tutte  hanno exploit noti e sono attualmente sfruttate efficacemente da criminali informatici.

Oltre a richiedere alle agenzie federali di dare priorità all’applicazione di patch per le vulnerabilità pubblicate  entro tempi “aggressivi” l’agenzia richiede resoconti periodici delle procedure adottate.

 

La direttiva CISA

L’Agenzia attraverso una direttiva operativa vincolante (BOD) emessa mercoledi scorso – 03/11/2021- impone:

“Gli Stati Uniti devono affrontare campagne informatiche persistenti e sempre più sofisticate che minacciano il settore pubblico, il settore privato e, infine, la sicurezza e la privacy del popolo americano.

Il governo federale deve migliorare i suoi sforzi per proteggersi da queste campagne garantendo la sicurezza delle risorse informatiche in tutta l’impresa federale. Le vulnerabilità che sono state precedentemente utilizzate per sfruttare le organizzazioni pubbliche e private sono un vettore di attacco frequente per gli attori informatici malintenzionati di tutti i tipi.

Queste vulnerabilità rappresentano un rischio rilevante per le agenzie e le aziende federali. È essenziale porre rimedio in modo urgente alle vulnerabilità conosciute e sfruttate per proteggere i sistemi informativi federali e ridurre gli incidenti informatici.

La direttiva impone che le vulnerabilità di sicurezza scoperte nel 2021 – quelle tracciate come CVE-2021-XXXXX – siano affrontate entro il 17 novembre 2021. Inoltre stabilisce una scadenza per le patch del 3 maggio 2022 per le restanti vulnerabilità più vecchie. Anche se il BOD è principalmente rivolto alle agenzie civili federali, CISA sta raccomandando alle aziende private e agli enti statali di rivedere il catalogo e rimediare alle vulnerabilità per rafforzare la loro postura di sicurezza e resilienza.”

Ambito di applicazione

“Questa direttiva si applica a tutto il software e all’hardware presente nei sistemi informativi federali gestiti nei locali dell’agenzia o ospitati da terzi per conto di un’agenzia. Queste azioni richieste si applicano a qualsiasi sistema informativo federale. Si intendono compresi anche un sistema informativo utilizzato o gestito da un’altra entità per conto di un’agenzia, che raccoglie, elabora, archivia, trasmette, diffonde o mantiene in altro modo le informazioni dell’agenzia.”

Azioni richieste dalla CISA

“Entro 60 giorni dall’emissione, le agenzie devono rivedere e aggiornare le procedure interne di gestione delle vulnerabilità in conformità alla presente direttiva. Su richiesta della CISA, le agenzie forniranno una copia di tali politiche e procedure. Come minimo, le politiche dell’agenzia devono

a. Stabilire un processo per la correzione delle vulnerabilità che la CISA identifica, attraverso l’inclusione nel catalogo gestito dalla CISA delle vulnerabilità conosciute e sfruttate, come portatrici di un rischio significativo per l’impresa federale entro un periodo di tempo stabilito dalla CISA ai sensi della presente direttiva;

b. Assegnare ruoli e responsabilità per l’esecuzione delle azioni dell’agenzia come richiesto da questa direttiva;

c. Definire le azioni necessarie per consentire una pronta risposta alle azioni richieste dalla presente direttiva;

d. Stabilire procedure interne di convalida e applicazione per garantire il rispetto di questa direttiva; e

e. Stabilire i requisiti interni di monitoraggio e reporting per valutare l’aderenza a questa direttiva e fornire report al CISA, se necessario.

e inoltre ..

2. Riparare ogni vulnerabilità secondo le tempistiche stabilite nel catalogo delle vulnerabilità gestito dal CISA. Il catalogo elencherà le vulnerabilità sfruttate che comportano un rischio significativo per l’impresa federale con il requisito di rimediare entro 6 mesi per le vulnerabilità con un ID Common Vulnerabilities and Exposures (CVE) assegnato prima del 2021 ed entro due settimane per tutte le altre vulnerabilità. Queste scadenze predefinite possono essere modificate in caso di grave rischio per l’impresa federale.

Segnalare lo stato delle vulnerabilità elencate nel repository. In linea con i requisiti per l’implementazione della Continuous Diagnostics and Mitigation (CDM) Federal Dashboard e i requisiti del memorandum annuale FISMA dell’OMB, ci si aspetta che le agenzie automatizzino lo scambio di dati e riportino il loro rispettivo stato di implementazione della direttiva attraverso la CDM Federal Dashboard. Inizialmente le agenzie possono presentare rapporti trimestrali attraverso le presentazioni CyberScope o segnalare attraverso il CDM Federal Dashboard. A partire dal 1 ottobre 2022, le agenzie che non hanno migrato la segnalazione al CDM Federal Dashboard saranno tenute ad aggiornare il loro stato attraverso CyberScope bisettimanalmente.”

Come si presenta la lista.

lista-vulnerabilita
lista-vulnerabilità

https://www.cisa.gov/known-exploited-vulnerabilities

Italia : vulnerabilità e direttive.

…………………………………………………………………

beh.. bohhhhh

Se ritieni questo articolo interessante, seguici su Facebook o Twitter o Telegram per poter essere informato su i nuovi contenuti proposti.