DHS diz que agências federais têm 15 dias para corrigir falhas críticas

O Departamento de Segurança Interna (DHS) da Agência de Segurança de Infraestrutura e Segurança Cibernética (CISA) emitiu a diretiva operacional obrigatória (DBO) 19-02, que exige que as agências federais corrijam vulnerabilidades críticas de segurança dentro de 15 dias desde a detecção inicial.

Conforme explicado pela CISA, “Uma diretriz operacional vinculante é uma direção compulsória para os órgãos federais, executivos, departamentos e agências com o propósito de guardar os sistemas federais de informação”.

De acordo com as responsabilidades da agência federal apresentadas no Código de Leis dos Estados Unidos da América ( Código dos EUA ), as agências são obrigadas a aderir às diretrizes desenvolvidas pelo DHS.

Esta diretiva operacional de ligação denominada “Requisitos de correção de vulnerabilidade para sistemas com acesso à Internet” substitui e revoga a BOD 15-01 de maio de 2015, conhecida como “Requisito de Mitigação de Vulnerabilidade Crítica para Sistemas Acessíveis à Internet e Agências de Poder Executivo Federal da Federação.”

O BOD 19-02 exige que as agências federais revejam os relatórios de Cyber ​​Hygiene emitidos pela CISA e ajam de acordo para corrigir os problemas de segurança críticos e de alta gravidade, conforme detalhado pelas seguintes regras:

  • Vulnerabilidades críticas devem ser corrigidas dentro de 15 dias corridos da detecção inicial.
  • Vulnerabilidades altas devem ser remediadas dentro de 30 dias corridos da detecção inicial.

Os FCES (Federal Cyber ​​Exposure Scorecards) mostram contagens de vulnerabilidades críticas e altas a partir de março de 2019 e a CISA incluirá relatórios sobre todos os níveis de segurança (de baixo a crítico) nos relatórios semanais de Cyber ​​Hygiene enviados a todas as agências federais.

“Os requisitos de 15 dias e 30 dias no BOD são as mais recentes agências devem corrigir todas as vulnerabilidades críticas e altas para dispositivos acessíveis pela Internet”, diz também a directiva operacional de ligação.

As agências serão responsáveis ​​pelo gerenciamento dos riscos de segurança em seus próprios ambientes de computação, com o CISA recomendando que eles “configurem os programas de gerenciamento de patches e vulnerabilidades para exceder os requisitos do BOD 19-02 e priorizem certas vulnerabilidades e dispositivos sobre outros como parte das operações normais de segurança”. “

Agências federais também serão obrigadas a garantir a correção oportuna e efetiva de vulnerabilidades para todos os problemas identificados por meio da varredura do Cyber ​​Hygiene, garantindo o acesso e a verificação do escopo das vulnerabilidades:

1. Garanta o acesso à verificação do Cyber ​​Hygiene removendo os endereços IP da origem do Cyber ​​Hygiene das listas de bloqueio. 
2. No prazo de cinco dias úteis após a alteração, notifique a CISA em [email protected] sobre quaisquer modificações nos endereços IP acessíveis pela Internet da sua agência. Isso inclui endereços IP recém-adquiridos acessíveis pela Internet ou endereços IP acessíveis pela Internet que não fazem mais parte do inventário de ativos da agência. 
3. A pedido da CISA, envie os contratos atualizados de Cyber ​​Hygiene para [email protected]

Conforme detalhado pela BOD 19-02 , “O CISA também rastreará a correção de vulnerabilidades críticas e altas através de varredura persistente do Cyber ​​Hygiene e validará a conformidade com os requisitos do BOD por meio desses relatórios.”

No final de janeiro, o Departamento de Segurança Interna emitiu outra diretriz de emergência para impedir ataques de sequestro de DNS , exigindo que agências dos EUA que operam um domínio gerenciado por agência ou de auditoria auditem todos os seus registros DNS e servidores para garantir que estejam resolvidos corretamente.

Os ataques que motivaram a “Diretriz de Emergência 19-01” foram relacionados a sequestros anteriores de DNS, relatados pelo  Cisco Talos Group  em dezembro e pela  FireEye  em janeiro. 

Adriano Lopes

Adriano Lopes é o criador e proprietário do MundoHacker.net.br. Desenvolvedor Web, Hacker Ético, Programador C, Python, Especialista em Segurança da Informação.