ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), ülkedeki federal kurumları bundan altı ay sonra ağlarındaki varlıkları ve güvenlik açıklarını takip etmeye yönlendiren yeni bir Bağlayıcı Operasyonel Yönerge (BOD) yayınladı.
Bu amaçla, Federal Sivil Yürütme Şubesi (FCEB) kuruluşlarına iki faaliyet grubu görevlendirildi: “Federal sivil ağların karşı karşıya olduğu risklere ilişkin daha fazla görünürlük” elde etmek için temel adımlar olarak görülen varlık keşfi ve güvenlik açığı sayımı.
Bu, 7 günde bir otomatik varlık keşfi gerçekleştirmeyi ve 3 Nisan 2023’e kadar keşfedilen bu varlıklarda güvenlik açığı sayımını başlatmayı ve bunu talep üzerine 72 saat içinde isteğe bağlı olarak yapma yeteneklerine sahip olmayı içerir. CISA.
Benzer temel güvenlik açığı sıralama yükümlülükleri, Android ve iOS cihazlarının yanı sıra kurum içi ağların dışında bulunan diğer cihazlar için de uygulamaya konmuştur.
CISA, “Bunu yapmak, kuruluşlarının siber direncini güçlendirecek varlık yönetimi ve güvenlik açığı tespit uygulamaları sağlayacaktır.” dedi ve saldırı yüzeyindeki boşlukları kapatmaya yardımcı olacağını da sözlerine ekledi.
BOD 23-01’in amacı, ağ bağlantılı varlıkların güncel bir envanterini tutmak, yazılım güvenlik açıklarını belirlemek, bir kurumun varlık kapsamını ve güvenlik açığı imzalarını izlemek ve bu bilgileri belirli aralıklarla CISA ile paylaşmaktır.
CISA Direktörü Jen Easterly yaptığı açıklamada, “Tehdit aktörleri, bilinmeyen, korumasız veya az korunan varlıklardaki zayıflıklardan yararlanmak için ulusumuzun kritik altyapısını ve hükümet ağlarını hedef almaya devam ediyor.” Dedi. “Ağınızda ne olduğunu bilmek, herhangi bir kuruluşun riski azaltması için ilk adımdır.”
Direktif federal sivil kurumlar için bir görev olsa da, CISA özel kuruluşlar ve eyalet hükümetleri de dahil olmak üzere tüm işletmeleri sıkı varlık ve güvenlik açığı yönetimi programlarını gözden geçirmeye ve uygulamaya çağırıyor.