La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) emitió una nueva Directiva Operativa Vinculante (BOD) que ordena a las agencias federales en el país que realicen un seguimiento de los activos y las vulnerabilidades en sus redes dentro de seis meses.
Con ese fin, a las empresas de la Rama Ejecutiva Civil Federal (FCEB) se les ha encomendado dos conjuntos de actividades: descubrimiento de activos y enumeración de vulnerabilidades, que se consideran pasos esenciales para obtener «una mayor visibilidad de los riesgos que enfrentan las redes civiles federales».
Este implica llevar a cabo el descubrimiento automatizado de activos cada siete días e iniciar la enumeración de vulnerabilidades en esos activos descubiertos cada 14 días antes del 3 de abril de 2023, además de tener la capacidad de hacerlo bajo demanda dentro de las 72 horas posteriores a la recepción de una solicitud de CISA.
También se han implementado obligaciones de enumeración de vulnerabilidades de referencia similares para dispositivos Android e iOS, así como para otros dispositivos que residen fuera de las redes locales de la agencia.
«Hacerlo garantizará prácticas de gestión de activos y detección de vulnerabilidades que fortalecerán la resiliencia cibernética de su organización», dijo CISA, y agregó que ayudará a cerrar las brechas en la superficie de ataque.
El objetivo de DBO 23-01dijo, es mantener un inventario actualizado de activos en red, identificar vulnerabilidades de software, rastrear la cobertura de activos de una agencia y las firmas de vulnerabilidad, y compartir esa información con CISA en intervalos definidos.
«Los actores de amenazas continúan apuntando a la infraestructura crítica y las redes gubernamentales de nuestra nación para explotar las debilidades dentro de los activos desconocidos, desprotegidos o desprotegidos», dijo la directora de CISA, Jen Easterly. dijo en una oracion. «Saber qué hay en su red es el primer paso para que cualquier organización reduzca el riesgo».
Si bien la directiva es un mandato para las agencias civiles federales, CISA también insta a todas las empresas, incluidas las entidades privadas y los gobiernos estatales, a revisar e implementar programas rigurosos de gestión de activos y vulnerabilidades.