Mejora de la visibilidad de los activos
y detección de vulnerabilidades en redes federales

by mark Harris 27 de octubre de 2022

Me estaba poniendo al día con mi lectura de govtech el otro día y me encontré con un nuevo BOD emitido por CISA con respecto a los pasos que deben tomarse lo antes posible para el cumplimiento de la política de seguridad cibernética. Si bien señalan que este no es el conjunto completo de pasos que deben tomarse a largo plazo, creo que este BOD es una declaración basada en la realidad de que se debe hacer MÁS para combatir el riesgo de intrusión cibernética y que NO se ha avanzado lo suficiente. hecho orgánicamente durante los últimos 25 años (desde que Internet estuvo disponible en general).

Desde el Sitio web CISA.gov:

“El propósito de esta Directiva Operacional Vinculante es lograr un progreso medible hacia la mejora de la visibilidad de los activos de la agencia y las vulnerabilidades asociadas. Si bien los requisitos de esta Directiva no son suficientes para operaciones de ciberdefensa integrales y modernas, son un paso importante para abordar los desafíos de visibilidad actuales a nivel de componente, agencia y empresa FCEB. Los requisitos de esta Directiva se centran en dos actividades principales esencial para mejorar la visibilidad operativa para un programa de ciberseguridad exitoso: descubrimiento de activos y enumeración de vulnerabilidades.

• El descubrimiento de activos es un componente básico de la visibilidad operativa y se define como una actividad a través de la cual una organización identifica qué activos IP direccionables de red residen en sus redes e identifica las direcciones IP asociadas (hosts). El descubrimiento de activos no es intrusivo y, por lo general, no requiere privilegios de acceso lógico especiales.
• La enumeración de vulnerabilidades identifica y reporta las sospechas de vulnerabilidades en esos activos. Detecta atributos de host (p. ej., sistemas operativos, aplicaciones, puertos abiertos, etc.) e intenta identificar versiones de software desactualizadas, actualizaciones faltantes y configuraciones incorrectas. Valida el cumplimiento o las desviaciones de las políticas de seguridad identificando los atributos del host y comparándolos con información sobre vulnerabilidades conocidas. Comprender la postura de vulnerabilidad de un activo depende de tener los privilegios apropiados, lo que se puede lograr a través de escaneos basados ​​en la red con credenciales o un cliente instalado en el punto final del host”.

Y el BOD continúa detallando las ACCIONES REQUERIDAS necesarias y los plazos:

“Para el 3 de abril de 2023, todas las agencias de FCEB deben tomar las siguientes medidas en todos los sistemas de información federales en el ámbito de esta directiva:

1. 1. Realice el descubrimiento automatizado de activos cada 7 días. Si bien se pueden utilizar muchos métodos y tecnologías para realizar esta tarea, como mínimo este descubrimiento debe cubrir todo el espacio IPv4 utilizado por la agencia.
   2. Inicie la enumeración de vulnerabilidades en todos los activos descubiertos, incluidos todos los dispositivos nómadas/roaming descubiertos (por ejemplo, computadoras portátiles), cada 14 días.

• CISA entiende que, en algunos casos, lograr el descubrimiento completo de vulnerabilidades en toda la empresa puede no completarse en 14 días. Los procesos de enumeración aún deben iniciarse a intervalos regulares para garantizar que todos los sistemas dentro de la empresa se escanean con una cadencia regular dentro de esta ventana.
• En la medida de lo posible y donde las tecnologías disponibles lo admitan, toda la enumeración de vulnerabilidades realizada en puntos finales administrados (p. ej., servidores, estaciones de trabajo, equipos de escritorio, portátiles) y dispositivos de red administrados (p. ej., enrutadores, conmutadores, firewalls) debe realizarse con credenciales privilegiadas ( a efectos de esta directiva, se considera que tanto los análisis con credenciales basados ​​en la red como los métodos de detección de vulnerabilidades basados ​​en el cliente o el agente cumplen este requisito).
• Todas las firmas de detección de vulnerabilidades utilizadas deben actualizarse en un intervalo no superior a 24 horas desde la última actualización de firma publicada por el proveedor.
• Cuando la capacidad esté disponible, las agencias deben realizar el mismo tipo de enumeración de vulnerabilidades en dispositivos móviles (p. ej., iOS y Android) y otros dispositivos que residan fuera de las redes locales de la agencia.
• Todos los métodos alternativos de descubrimiento de activos y enumeración de vulnerabilidades (p. ej., para sistemas con equipos especializados o aquellos que no pueden utilizar credenciales privilegiadas) deben ser aprobados por CISA.

1. 1. Inicie la ingestión automatizada de los resultados de la enumeración de vulnerabilidades (es decir, las vulnerabilidades detectadas) en el Tablero de la agencia CDM dentro de las 72 horas posteriores a la finalización del descubrimiento (o el inicio de un nuevo ciclo de descubrimiento si el descubrimiento completo anterior no se ha completado).
   2. Desarrollar y mantener la capacidad operativa para iniciar el descubrimiento de activos a pedido y la enumeración de vulnerabilidades para identificar activos específicos o subconjuntos de vulnerabilidades dentro de las 72 horas posteriores a la recepción de una solicitud de CISA y proporcionar los resultados disponibles a CISA dentro de los 7 días posteriores a la solicitud.

• CISA entiende que, en algunos casos, es posible que las agencias no puedan completar un descubrimiento de vulnerabilidad completo en toda la empresa dentro de este período. Todavía es necesario iniciar el proceso de enumeración dentro de este período de tiempo, ya que cualquier resultado disponible proporcionará a CISA y a las agencias conciencia situacional en respuesta a amenazas inminentes”.

Entonces, ¿dónde nos deja eso?

Federal o Enterprise, todos debemos renovar nuestros esfuerzos para comprender y documentar el DETALLE de aquello por lo que estamos apostando nuestra propia existencia y hacerlo más manejable, más defendible y más seguro. La infraestructura digital que todos sabemos está impulsando nuestro trabajo real se ha vuelto significativamente táctica, muy poco administrada y documentada, y la confianza en su capacidad para resistir el estrés (cibernético u operativo) continúa disminuyendo.

NetBrain se dio cuenta de este mismo escenario ahora llamado en el BOD y ofrece la capacidad de descubrir automáticamente la red de forma continua, y cuando se combina con nuestra superposición de los comportamientos realmente deseados (los llamamos network intents), puede asegurar que la red está brindando la conectividad, el rendimiento y los controles de seguridad en tiempo real necesarios para cumplir con el mandato de CISA.