La CISA ha publicado la primera directiva operativa vinculante (BOD) de este año, que señala alrededor de 290 vulnerabilidades que afectan los sistemas de información civil federal.
La agencia advirtió y ordenó a las otras agencias federales que las arreglaran todas y presentaran un informe trimestral sobre el estado. CISA dijo que estas vulnerabilidades de seguridad están tanto en Internet como fuera de línea y pueden causar problemas graves si un actor de amenazas las explota.
Directiva operativa vinculante de CISA
Cada año, CISA publica una Directiva Operativa Vinculante (BOD) que contiene varias vulnerabilidades técnicas en los sistemas generales, utilizadas por las agencias federales para procesar los trabajos regulares. Dado que los actores de amenazas buscan activamente atacar servicios tan críticos, CISA les advierte que los arreglen lo antes posible.
Relacionado: CISA instó a los usuarios de Discourse a actualizar de inmediato para corregir un error de RCE
Este año, el DBO 22-01 (Reducción del riesgo significativo de vulnerabilidades explotadas conocidas) contenido sobre 290 vulnerabilidades de seguridad (200 de 2017-20 y 90 de 2021). Estos incluyen los sistemas de software y hardware (en línea y fuera de línea) de las agencias civiles federales que atienden al público.
❗️ Hoy emitimos la Directiva Operativa Vinculante 22-01, Reducción del Riesgo Significativo de Vulnerabilidades Explotadas Conocidas: https://t.co/rFBFQyCLX5
Esto establece prioridades para la gestión de vulnerabilidades y ayudará a mejorar las prácticas de gestión de vulnerabilidades de la Agencia Federal. pic.twitter.com/CS0hVBU4l4
— Agencia de Seguridad de Infraestructura y Ciberseguridad (@CISAgov) 3 de noviembre de 2021
El objetivo final aquí es hacer que estas agencias arreglen dichas vulnerabilidades de manera responsable, manteniendo así los sistemas y los datos públicos a salvo de ataques no deseados. CISA dijo que la directiva ayuda no solo a las agencias federales, sino también a las organizaciones del sector público/privado que ayudan a las agencias.
Asegurarlos ayuda a mantener a las empresas actualizadas y a mejorar las prácticas de gestión de vulnerabilidades. Al publicar esta directiva, la directora de CISA, Jen Easterly, dijo:
“La BOD se aplica a las agencias civiles federales; sin embargo, TODAS las organizaciones deben adoptar esta Directiva y priorizar la mitigación de las vulnerabilidades enumeradas en nuestro catálogo público, que se utilizan activamente para explotar organizaciones públicas y privadas”.
Todas las agencias federales tienen 60 días para revisar y actualizar sus procedimientos internos de gestión de vulnerabilidades. Y, la reparación de los mismos debe hacerse dentro de dos semanas para las vulnerabilidades encontradas explotadas este año, y seis meses para las vulnerabilidades explotadas hasta finales de 2020.
