ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), ülkedeki federal kurumları bundan altı ay sonra ağlarındaki varlıkları ve güvenlik açıklarını takip etmeye yönlendiren yeni bir Bağlayıcı Operasyonel Yönerge (BOD) yayınladı.
Bu amaçla, Federal Sivil Yürütme Şubesi (FCEB) kuruluşlarına iki faaliyet grubu görevlendirildi: “Federal sivil ağların karşı karşıya olduğu risklere ilişkin daha fazla görünürlük” elde etmek için temel adımlar olarak görülen varlık keşfi ve güvenlik açığı sayımı.
Bu içerir 3 Nisan 2023’e kadar yedi günde bir otomatik varlık keşfi gerçekleştirmek ve keşfedilen bu varlıklarda güvenlik açığı sayımını 14 günde bir başlatmak, ayrıca bunu CISA’dan bir talep aldıktan sonra 72 saat içinde isteğe bağlı olarak yapma yeteneklerine sahip olmak.
Benzer temel güvenlik açığı sıralama yükümlülükleri, Android ve iOS cihazlarının yanı sıra kurum içi ağların dışında bulunan diğer cihazlar için de uygulamaya konmuştur.
CISA, “Bunu yapmak, kuruluşlarının siber direncini güçlendirecek varlık yönetimi ve güvenlik açığı tespit uygulamaları sağlayacaktır.” dedi ve saldırı yüzeyindeki boşlukları kapatmaya yardımcı olacağını da sözlerine ekledi.
Amacı BOİ 23-01ağa bağlı varlıkların güncel bir envanterini tutmak, yazılım güvenlik açıklarını belirlemek, bir kurumun varlık kapsamını ve güvenlik açığı imzalarını izlemek ve bu bilgileri belirli aralıklarla CISA ile paylaşmaktır.
CISA Direktörü Jen Easterly, “Tehdit aktörleri bilinmeyen, korumasız veya az korunan varlıklardaki zayıflıklardan yararlanmak için ulusumuzun kritik altyapısını ve hükümet ağlarını hedef almaya devam ediyor.” söz konusu Bir açıklamada. “Ağınızda ne olduğunu bilmek, herhangi bir kuruluşun riski azaltması için ilk adımdır.”
Direktif federal sivil kurumlar için bir görev olsa da, CISA özel kuruluşlar ve eyalet hükümetleri de dahil olmak üzere tüm işletmeleri sıkı varlık ve güvenlik açığı yönetimi programlarını gözden geçirmeye ve uygulamaya çağırıyor.