Automatisering in minuten Webinarserie >
Teruggaan

Verbetering van de zichtbaarheid van activa
en kwetsbaarheidsdetectie op federale netwerken

  • Home
  • Chevron vooruit
  • Blog
  • Chevron vooruit
  • Beveiligingslek met betrekking tot de zichtbaarheid van het federale netwerk

by Mark Harris Oktober 27, 2022

Ik was onlangs mijn govtech-lezing aan het inhalen en kwam een ​​nieuwe BOD tegen die was uitgegeven door CISA met betrekking tot de stappen die zo snel mogelijk moeten worden ondernomen om te voldoen aan het cyberbeveiligingsbeleid. Hoewel ze opmerken dat dit niet de volledige reeks stappen is die op de lange termijn moeten worden ondernomen, denk ik dat deze BOD een op de realiteit gebaseerde verklaring is dat er MEER moet worden gedaan om het risico van cyberinbraak te bestrijden en dat er NIET genoeg vooruitgang is geboekt organisch gemaakt in de afgelopen 25 jaar (sinds internet algemeen beschikbaar werd).

Van de CISA.gov-website:

Federale netwerken

“Het doel van deze Bindende Operationele Richtlijn is om meetbare vooruitgang boeken bij het verbeteren van de zichtbaarheid van de activa van bureaus en de bijbehorende kwetsbaarheden. Hoewel de vereisten in deze richtlijn niet voldoende zijn voor alomvattende, moderne cyberdefensieoperaties, zijn een belangrijke stap om de huidige zichtbaarheidsuitdagingen op component-, bureau- en FCEB-bedrijfsniveau aan te pakken. De eisen van deze richtlijn richten zich op twee kernactiviteiten essentieel voor het verbeteren van de operationele zichtbaarheid voor een succesvol cyberbeveiligingsprogramma: inventarisatie van bedrijfsmiddelen en inventarisatie van kwetsbaarheden.

  • Asset-discovery is een bouwsteen van operationele zichtbaarheid en wordt gedefinieerd als een activiteit waarmee een organisatie identificeert welke netwerkadresseerbare IP-assets zich op hun netwerken bevinden en de bijbehorende IP-adressen (hosts) identificeert. Asset-detectie is niet-opdringerig en vereist meestal geen speciale logische toegangsrechten.
  • Kwetsbaarheidsopsomming identificeert en rapporteert vermoedelijke kwetsbaarheden op die activa. Het detecteert hostattributen (bijv. besturingssystemen, applicaties, open poorten, enz.) en probeert verouderde softwareversies, ontbrekende updates en verkeerde configuraties te identificeren. Het valideert de naleving van of afwijkingen van het beveiligingsbeleid door hostattributen te identificeren en deze te matchen met informatie over bekende kwetsbaarheden. Het begrijpen van de kwetsbaarheid van een asset is afhankelijk van het hebben van de juiste privileges, die kunnen worden bereikt door middel van gelegitimeerde netwerkgebaseerde scans of een client die op het host-eindpunt is geïnstalleerd.”

En de BOD gaat verder met het specificeren van de VEREISTE MAATREGELEN die nodig zijn en de tijdschema's:

Federale netwerken

“Uiterlijk op 3 april 2023, zijn alle FCEB-agentschappen verplicht om de volgende acties te ondernemen op alle federale informatiesystemen die onder deze richtlijn vallen:

    1. Voer elke 7 dagen geautomatiseerde activadetectie uit. Hoewel er veel methoden en technologieën kunnen worden gebruikt om deze taak te volbrengen, moet deze ontdekking minimaal de volledige IPv4-ruimte beslaan die door het bureau wordt gebruikt.
    2. Start elke 14 dagen een inventarisatie van kwetsbaarheden voor alle ontdekte bedrijfsmiddelen, inclusief alle ontdekte nomadische/zwervende apparaten (bijv. laptops).
  • CISA begrijpt dat het in sommige gevallen mogelijk is om de volledige detectie van kwetsbaarheden in de hele onderneming niet binnen 14 dagen te voltooien. Opsommingsprocessen moeten nog steeds met regelmatige tussenpozen worden gestart om ervoor te zorgen dat alle systemen binnen de onderneming regelmatig binnen dit venster worden gescand.
  • Voor zover mogelijk en waar beschikbare technologieën dit ondersteunen, moet alle inventarisatie van kwetsbaarheden die wordt uitgevoerd op beheerde eindpunten (bijv. servers, werkstations, desktops, laptops) en beheerde netwerkapparaten (bijv. routers, switches, firewalls) worden uitgevoerd met bevoorrechte inloggegevens ( voor de toepassing van deze richtlijn worden zowel netwerkgebaseerde credentialed scans als client- of agentgebaseerde kwetsbaarheidsdetectiemethoden geacht aan deze vereiste te voldoen).
  • Alle gebruikte handtekeningen voor kwetsbaarheidsdetectie moeten worden bijgewerkt met een interval van niet meer dan 24 uur na de laatste door de leverancier uitgebrachte handtekeningupdate.
  • Waar de mogelijkheid beschikbaar is, moeten bureaus hetzelfde type kwetsbaarheidsinventarisatie uitvoeren op mobiele apparaten (bijv. iOS en Android) en andere apparaten die zich buiten de lokale netwerken van het bureau bevinden.
  • Alle alternatieve methoden voor het opsporen van activa en het inventariseren van kwetsbaarheden (bijv. voor systemen met gespecialiseerde apparatuur of systemen die geen gebruik kunnen maken van geprivilegieerde inloggegevens) moeten worden goedgekeurd door CISA.
    1. Start automatische opname van de resultaten van de inventarisatie van kwetsbaarheden (dwz gedetecteerde kwetsbaarheden) in het CDM Agency Dashboard binnen 72 uur na voltooiing van de ontdekking (of de start van een nieuwe ontdekkingscyclus als de vorige volledige ontdekking niet is voltooid).
    2. Ontwikkel en onderhoud de operationele capaciteit om on-demand activadetectie en inventarisatie van kwetsbaarheden te initiëren om specifieke activa of subsets van kwetsbaarheden binnen 72 uur na ontvangst van een verzoek van CISA te identificeren en de beschikbare resultaten binnen 7 dagen na verzoek aan CISA te verstrekken.
  • CISA begrijpt dat bureaus in sommige gevallen niet in staat zijn om binnen deze periode een volledige ontdekking van kwetsbaarheden in de hele onderneming te voltooien. Het is nog steeds nodig om het opsommingsproces binnen deze tijdsperiode te starten, aangezien alle beschikbare resultaten de CISA en agentschappen een situatiebewustzijn zullen bieden als reactie op dreigende dreigingen.

Dus waar laat dat ons achter?

Verbetering van de zichtbaarheid van activa en detectie van kwetsbaarheden op federale netwerken

Federaal of Enterprise, we moeten allemaal onze inspanningen hernieuwen om het DETAIL te begrijpen en te documenteren van waar we ons bestaan ​​op inzetten en het beter beheersbaar, beter verdedigbaar en veiliger te maken. De digitale infrastructuur waarvan we allemaal weten dat deze ons echte werk aandrijft, is aanzienlijk tactisch geworden, sterk onderbeheerd en onvoldoende gedocumenteerd, en het vertrouwen in zijn vermogen om stress (cyber of operationeel) te weerstaan, blijft afnemen.

NetBrain realiseerde hetzelfde scenario dat nu wordt genoemd in de BOD en biedt de mogelijkheid om automatisch het netwerk continu te ontdekken, en in combinatie met onze overlay van het werkelijk gewenste gedrag (we noemen ze network intents), kan ervoor zorgen dat het netwerk in realtime de connectiviteit, prestatie- en beveiligingscontroles levert die nodig zijn om te voldoen aan het CISA-mandaat.

 

Verwant

Geautomatiseerde diagnose

De top 5 netwerkondersteuningstickets om te automatiseren

Wat frustreert u het meest aan netwerkondersteuning? Niets voelt beter dan detective spelen over een obscuur netwerkprobleem en de IT-held zijn die het oplost. Maar te veel...
Voorkom storingen

Automatisering in enkele minuten: top-10 beoordelingen om storingen te voorkomen

Downtime is duur. Meer dan de helft (54%) van de respondenten van de datacenterenquête van het Uptime Institute uit 2023 zegt dat hun meest recente significante, ernstige of ernstige storing meer dan...
Geautomatiseerde diagnose

Best practices voor het automatiseren van de workflow voor probleemoplossing in netwerkomgevingen met meerdere leveranciers

Laten we eerlijk zijn: het handmatig oplossen van problemen met hybride netwerken is pijnlijk en tijdrovend. Elk probleem wordt aangepakt alsof het probleem zich nog nooit eerder heeft voorgedaan en diverse netwerkengineers passen verschillende...