En los últimos años, hemos visto cómo los piratas informáticos se aprovechan de aquellos que son demasiado perezosos o ignorantes para instalar parches de seguridad que, si se aplicaran a tiempo, habrían evitado algunos ataques cibernéticos devastadores y violaciones de datos que ocurrieron en las principales organizaciones.
El Departamento de Seguridad Nacional de los Estados Unidos (DHS, por sus siglas en inglés) ordenó a las agencias gubernamentales que solucionen más rápidamente las vulnerabilidades de seguridad críticas encontradas en sus redes dentro de los 15 días calendario desde la detección inicial, una reducción de 30 días.
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del DHS emitió esta semana una nueva Directiva Operativa Vinculante (BOD) 19-02 que instruye a las agencias y departamentos federales a abordar las vulnerabilidades clasificadas como «críticas» dentro de los 15 días y las fallas de gravedad «alta» dentro de los 30 días de la detección inicial. .
La cuenta regresiva para parchear una vulnerabilidad de seguridad comenzará cuando se detectó inicialmente durante el escaneo semanal de vulnerabilidades Cyber Hygiene de CISA, en lugar de ser el primer informe a las agencias afectadas.
«A medida que las agencias federales continúan expandiendo su presencia en Internet a través de un mayor despliegue de sistemas accesibles a través de Internet y operan sistemas interconectados y complejos, es más importante que nunca que las agencias federales remedien rápidamente las vulnerabilidades que, de otro modo, podrían permitir que los actores maliciosos comprometan las redes federales a través de sistemas explotables orientados al exterior «, se lee en el memorando del director de CISA, Chris Krebs.
«Informes recientes del gobierno y socios de la industria indican que el tiempo promedio entre el descubrimiento y la explotación de una vulnerabilidad está disminuyendo a medida que los adversarios actuales son más hábiles, persistentes y capaces de explotar vulnerabilidades conocidas».
Por lo tanto, para minimizar el riesgo de acceso no autorizado a cualquier sistema interno de información federal y reducir la superficie de ataque general, la CISA quiere que las agencias gubernamentales revisen y reparen las vulnerabilidades críticas en los sistemas de Internet antes de que los piratas informáticos y los ciberdelincuentes las exploten.
La agencia CISA, de reciente creación, proporciona informes periódicos a las agencias federales sobre los resultados del escaneo de Cyber Hygiene y el estado actual, informándoles de las vulnerabilidades detectadas, clasificadas según su puntaje CVSSv2.
Las agencias que no completen su remediación dentro del período de tiempo asignado, CISA enviará un recordatorio adicional a las agencias, pidiéndoles que presenten el plan de remediación completo dentro de los tres días hábiles a CISA.
El BOD 19-02 reemplaza al BOD 15-01 — Requisito de mitigación de vulnerabilidades críticas para los sistemas accesibles a través de Internet de las agencias y los departamentos del poder ejecutivo civil federal (21 de mayo de 2015), que otorgaba a las agencias federales 30 días para parchear las vulnerabilidades críticas.
Este es el segundo BOD que CISA lanza este año. Luego de una serie de incidentes de secuestro de DNS, la agencia emitió una «directiva de emergencia» a principios de este año, ordenando a las agencias federales que auditen los registros de DNS para sus respectivos dominios de sitios web y otros dominios administrados por la agencia dentro de los 10 días.
