Új működési irányelvet adott ki a CISA, itt az idő leltározni

Az amerikai kiberbiztonsági ügynökség (Cybersecurity and Infrastructure Security Agency – CISA) új kötelező érvényű működési irányelvet (Binding Operational Directive – BOD) adott ki, ami arra kötelezi a szövetségi ügynökségeket, hogy nyomon kövessék eszközeiket és az azokat érintő sérülékenységeket.

A BOD 23-01 célja, hogy növeljék az ügynökségek kockázatokkal szembeni átláthatóságát azáltal, hogy naprakész eszköz és sérülékenység leltárt tartanak fent, amelyeket meghatározott időközönként megosztanak a CISA-val. Ennek érdekében két tevékenységi csoporttal bízták meg a FCEB ügynökségeket (Federal Civilian Executive Branch Agencies), egyrészt az eszközeik felderítésével, másrészt pedig az eszközöket érintő sebezhetőségek számbavételével. Ez magában foglalja a hétnaponkénti automatikus eszközfelderítést, valamint a sebezhetőségek számbavételét tizennégy naponként egészen 2023. április 3-ig. Érdemes kiemelni, hogy mindezen alapkövetelményeket az Android és iOS sebezhetőségekre, valamint az ügynökségek hálózatain kívüli eszközökre vonatkozóan is is bevezették.

„A szervezetek számára a legelső kockázatcsökkentő lépés tisztába kerülni azzal, hogy mi található a hálózatukon.”. – hangsúlyozta Jen Easterly, a CISA igazgatója

Bár az irányelv kizárólag a FCEB ügynökségek számára kötelező érvényű, a CISA erősen ajánlja az eszköz- és sebezhetőség menedzsment program elvégzését a magánvállalatok és helyi önkormányzati szervek számára is.

(thehackernews.com)