A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) anunciou uma nova Diretiva Operacional Vinculante, a BOD 26-04, que prioriza atualizações de segurança para órgãos do Poder Executivo Civil Federal (FCEB).
A medida busca reduzir a ameaça de ataques cibernéticos contra o setor público ao obrigar as agências a corrigir vulnerabilidades de alto risco em prazos acelerados, em alguns casos de apenas três dias.
Segundo a CISA, a BOD 26-04 “substitui e revoga” as antigas BOD 19-02 e BOD 22-01, introduzidas em 2019 e 2021, respectivamente.
A agência afirma que a priorização da aplicação de patches leva em conta quatro fatores principais:
- se o ativo está exposto publicamente na internet;
- se a vulnerabilidade está no catálogo Known Exploited Vulnerabilities (KEV) da CISA;
- se a exploração pode ser automatizada para ataques em larga escala;
- se a exploração concede aos invasores controle parcial ou total de um sistema.
Com base nesses critérios, as agências recebem prazos para tratar as falhas de segurança, e o período mais curto é de três dias.
Em situações menos urgentes, quando a exploração automatizada não é possível ou quando ela só oferece controle parcial, o prazo passa a ser de duas semanas.
A diretiva se aplica especificamente às agências do Poder Executivo Civil Federal dos EUA e aos sistemas de informação que elas operam.
Isso inclui órgãos e departamentos governamentais, mas não alcança determinados sistemas militares operados pelo Departamento de Guerra dos EUA, empresas privadas, sistemas da comunidade de inteligência e contratados.
Assim como diretivas anteriores, a estrutura deve influenciar o setor mais amplo de cibersegurança e servir como um sinal mais claro de prioridade para aplicação de patches.
A medida vale para todos os sistemas federais locais, sistemas hospedados por terceiros e ambientes de cloud com e sem FedRAMP.
Neste momento, as agências sujeitas à diretiva BOD 26-04 devem atualizar suas políticas de gestão de vulnerabilidades, revisar seus inventários de ativos e automatizar a emissão de relatórios sobre o status do KEV.
Em 60 dias, os processos de gestão de vulnerabilidades deverão ser ajustados para usar dados de CVE e KEV como base para as decisões de remediação.
Em até 180 dias, todas as agências terão de seguir os novos prazos de correção e monitorar continuamente, além de reportar metadados detalhados dos ativos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...