cybersecurity

A CISA BOD 26-04 hogyan határozza meg újra a sebezhetőségi kezelés mutatóit a biztonsági vezetők számára

Forrás: tenable.com 14 perc olvasás

Megosztás

A CISA BOD 26-04 hogyan határozza meg újra a sebezhetőségi kezelés mutatóit a biztonsági vezetők számára

Összefoglalót olvas. A teljes tartalom itt érhető el: tenable.com.

A CISA BOD 26-04 megváltoztatja, hogyan javítják a szövetségi ügynökségek a biztonságot, és hogyan kell a biztonsági vezetőknek mérniük, indokolniuk és kommunikálniuk a kiberkockázatokat az ügyvezetőkkel és a testületekkel. Főbb megállapítások: A BOD 26-04 megköveteli az ügynökségektől, hogy kockázatalapú sebezhetőségi prioritási döntéseket hozzanak és védjenek meg, beleértve a sebezhetőség javításának elhalasztására vonatkozó döntéseket. Ez a felelősségvállalási követelmény átalakítja a sebezhetőségkezelést egy technikai műveletből egy olyan irányítási diszciplínává, amely auditálásra kész dokumentációt igényel. A hagyományos sebezhetőségkezelési KPI-k (javított sebezhetőségek száma, javítási idő átlaga, a beolvasott rendszerek százaléka) nem mérik azt, amit a BOD 26-04 megkövetel. Azok a metrikák, amelyek jelentőséggel bírnak, a lefedettség szélessége és a kockázati szint javítási arányok. A Tenable ügyféltelmetriája azt mutatja, hogy a lefedettség szélességének figyelése erősebb előrejelzője a kockázati helyzetnek, mint a javítási sebesség, amit a kutatások önállóan megerősítettek, bizonyítva, hogy a szervezetek havonta csak körülbelül a nyitott sebezhetőségek 10%-át tudják javítani, mérettől vagy érettségtől függetlenül. Az irányelv hatálya a szövetségi ügynökségeken túl terjed, és több ezer szövetségi vállalkozóra is kiterjed, akiknek meg kell felelniük a BOD 26-04-nek a szerződéses megfelelési követelmények révén. A szövetségi ellátási láncban működő szervezeteknek az irányelvet működési követelményként kell kezelniük, nem tanácsadó iránymutatásként. A javítási metrikákból a kockázati expozíciós metrikákra való áttérés nem csak a szövetségi szektor jelensége. Az iparági jelentési standardok, a biztosítói alárendelési modellek és a testületek szintű felelősségvállalási elvárások egyaránt azzal a kéréssel közelítenek: bizonyítsd be, hogy valóban csökkented a valós kockázatokat, nem csupán a jegyeket zárod le. A CISA Kötött Működési Irányelv (BOD) 26-04 mögötti jelentési kötelezettség Legtöbb tárgyalás a CISA BOD 26-04 körül az operatív követelményekre összpontosított: a négyváltozós modell, a 16 szintű javítási mátrix, a háromnapos BOD 26-04 javítási idővonal kötelező nyomozási triázzsal. Ezek jelentősek, és a Tenable részletesen foglalkozott velük a BOD 26-04 FAQ-jánkban. Azonban az irányelv követelményei között van egy kevesebb figyelmet kapó kötelezettség, amely szintén átalakító hatású lehet: az ügynökségeknek be kell mutatniuk, hogyan rangsorolják a sebezhetőségeket és igazolják döntéseiket, különösen azokban az esetekben, amikor elhalasztják a javítást. A metrikáknak a javított sebezhetőségek egyszerű számlálásától a magas kockázati expozíció csökkentését tükröző mérések felé kell fejlődniük. Ez nem kisebb eljárási frissítés. Ez alapvető változást jelent abban, ahogyan a kiberbiztonsági programokat mérik, jelentik és felelősségre vonják. A CISOs és a biztonsági vezetők számára a BOD 26-04 nemcsak a javítási munkafolyamatot változtatja meg. Míg a BOD 26-04 irányelv formálisan a szövetségi ügynökségeket célozza, keretrendszere gyorsan az irányvonalává válik a magánszektor számára, ahogy a piaci erők a kockázatalapú felelősség felé összpontosulnak. Végső soron megváltoztatja, hogy mit kell hallania a vállalati igazgatóságoknak. Miért nem működnek a hagyományos sebezhetőségkezelési mutatók a BOD 26-04 alatt Évek óta a biztonsági vezetők a sebezhetőségkezelési programokat volumennel mérik: Azonosított sebezhetőségek összesen Alkalmazott javítások összesen A 30 napon belül beolvasott rendszerek százaléka Gyógyítási idő átlaga. Ezek a metrikák könnyen gyűjthetők, könnyen jelenthetők és könnyen trendelhetők az idő múlásával, de egyre inkább elszakadnak a valós kockázattól. A Tenable saját ügyféltelmetriája az globális ügyfélkörén belül megerősíti, amit sok biztonsági vezető sejt, de nem tud bizonyítani: a megfigyelési lefedettség szélessége robusztusabb, előrejelző kockázati jelzés, mint a javítás sebessége. A felügyelet nélküli eszközök állandó nyitott támadási felületet jelentenek; nem tudnak eredményeket generálni, nem lehet őket rangsorolni, vagy igazolni, hogy javítottak. Ezzel szemben a megfigyelt eszközök még akkor is áthaladnak a kockázati vezetéken, ha a javítás nem maximális sebességgel működik. Független iparági kutatások erőteljesen megerősítik annak szükségességét, hogy a jelentést a javítási sebességről a megfigyelési lefedettségre helyezzék át: A javítási határok - A Cyentia Intézet Prioritizáció a Predikcióhoz kutatása (3,6 milliárd sebezhetőség megfigyelése elemzése) valójában azt találta, hogy a tipikus szervezet havonta körülbelül 10%-át tudja csak javítani a nyitott sebezhetőségeknek, mérettől, iparágtól vagy érettségtől függetlenül. Mivel nem lehet jobban javítani, mint ahogyan a hátralék nő, a prioritás, nem a sebesség, az egyetlen olyan eszköz, amely érdemben csökkenti a kockázatot. Az MTTR hibáj - A standard átlagos javítási idő (MTTR) számítások kizárják a nyitott, nem javított sebezhetőségeket, ami eltorzítja a metrikákat, mivel a könnyebben gyorsan zárható elemek felé orientálja azokat, amelyek nem feltétlenül a legkritikusabb, legsúlyosabb vagy legmagasabb kockázatú problémák. Az eszközök összetételének torzítása - A javítás félszázai szélsőségesen változnak az eszköztípusok között, átlagosan 36 nap a Microsoft Windows rendszerek esetén, míg a hálózati berendezések esetén 369 nap. Egy erős MTTR gyakran csak azt jelenti, hogy jó rálátással rendelkezünk a Windows eszközök automatikus javítására, de ez a KPI elrejtheti a tartós expozíciót a szélező eszközökön és az OT rendszereken. A BOD 26-04 ezt egyértelművé teszi: a javítási prioritást a sebezhetőség által okozott kockázat határozza meg, ha azt kihasználják, nem a teljesen azonosított sebezhetőségek számával. Az irányelv halasztási szintje (javítás rendszerfrissítéssel) formálisan megfogalmazza, amit az adatok mindig is mutattak: a legtöbb sebezhetőség megvárhatja. Azok, amelyek nem, a kihasználási bizonyítékok, a kitettség, az automatizálás lehetősége és a hatás súlyossága alapján definiálhatók. Egy CISO, aki azt jelenti, hogy “A három hónap alatt a kritikus CVE-k 95%-át javítottuk”, egy olyan mutatót jelentenek, amelyet a BOD 26-04 elegendőnek minősített. A lényeges kérdés így hangzik: A valódi világ kockázatot jelentő sebezhetőségek közül hány százalékát javítottuk a direktíva idővonalán belül, és mennyi volt a támadási felületünk megfigyelés alatt, amikor ezt az értékelést végeztük? Az új biztonsági metrikák: Amit a BOD 26-04 megkövetel A volumebased jelentésről kockázatalapú jelentésre való áttérés új KPI-ket igényel. A BOD 26-04-et végrehajtó szervezeteknek olyan metrikákat kell figyelembe venniük, amelyek tükrözik a direktíva négyváltozós prioritási modelljét: Javítási megfelelőség a BOD szintjén. A nyitott sebezhetőségek hány százalékát javították a megfelelő időkereteken belül a BOD minden szintjén (háromnapos nyomozási triázs, háromnapos, 14 napos, 60 napos, rendszerfrissítés)? Ez a Core megfelelőségi metrika. Ez helyettesíti a “javítási idő átlagát” egy kockázat-súlyozott méréssel, amely megkülönbözteti a 3 napos kritikus és az elhalasztható alacsony kockázatú eredmények között. Aktívan kihasznált sebezhetőségek lefedettsége. A környezetben a KEV-listán lévő sebezhetőségek hány százalékát javították? Ez a legveszélyesebb ismert fenyegetésekre adott választ méri, nem a teljes sebezhetőség-populációt. Expozíciós felület csökkentése az idő múlásával. Mi a tendencia a közkézen lévőként besorolt eszközök (BOD változó 1) esetében? Az internetes megjelenésű eszközök számának csökkentése közvetlenül a sebezhetőségeket az elhalasztási szintre áthelyezi. A Tenable teljes CISA Vulnrichment korpuszának elemzése kimutatta, hogy ha egy eszközt eltávolítanak a nyilvános expozícióból, ez 76,7%-át a hozzá társított CVE-nek hosszabb javítási időzónákba helyezheti. Ez miatt a kitettség csökkentése a legmagasabb értékű megfelelési befektetést jelenti. További független kutatások megerősítik, hogy az értékelési lefedettség jobb mutatója a kockázati eredményeknek, mint a javítási sebesség. A XM Cyber és a Cyentia Intézet közös elemzése, amely több mint 60 millió expozíciót vizsgál meg 10 millió entitásra, azt találta, hogy a biztonsági expozíciók 75%-a nem jelent kockázatot kritikus eszközökre: ezek a támadási grafikonokban végállomások. Csak 2%-a található “elágazási pontokon”, a konvergáló csomópontokon, amelyeken keresztül több támadási pálya halad el a kritikus eszközök felé. Ez megerősíti a Tenable telemetriai megállapítását egy másik szögből: ha a megfigyelésed nem terjed ki azokkal az entitásokkal, ahol ezek az elágazási pontok vannak, akkor a javítási sebességed a másik 98%-ban zaj zavar a kockázati jelzésben. A lényeges metrikát nem az határozza meg, milyen gyorsan javítasz, hanem az, hogy a láthatóságod kiterjed-e azokon a helyeken, ahol a támadási pályák összecsúsznak. Nyomozói triázs befejezésének aránya. A legmagasabb kockázatú szinten lévő sebezhetőségek számára (KEV + teljes kontroll) hány százaléka kapta meg a szükséges BOD 26-04 nyomozási triázs irányelveit a háromnapos időkereten belül? Ez a direktíva legújabb és operatív szempontból legigényesebb követelményének megfelelését méri. Halasztási indoklási dokumentációs arány. Az “eljavítás rendszerfrissítéssel” szintre helyezett sebezhetőségek közül hány százaléknak van dokumentált kockázat-elfogadási döntése? A BOD 26-04 megköveteli az ügynökségektől, hogy indokolják a halasztási döntéseket, ami azt jelenti, hogy minden halasztott sebezhetőségnek auditálható indoklása szükséges. Átlagos idő a KEV-felvételtől a javításig. Milyen gyorsan reagál a szervezet, amikor a CVE-t felveszik a KEV katalógusba és a BOD idővonala összehúzódik? Ez a szervezet dinamikus idővonal-változásokra adott válaszának sebességét méri. Ezek a metrikák közös jellemzővel bírnak: a kockázatcsökkentési eredményeket mérik, nem a tevékenység mennyiségét. Egy biztonsági program, amely kevesebb összes sebezhetőséget javít, de a háromnapos szint 100%-át három napon belül javítja, jobban teljesít a BOD 26-04 alatt, mint egy olyan, amely kétszer annyi összes CVE-t javít, de elmúlik a kritikus időkereteket. A felelősségvállalási követelmény: A sebezhetőségek javításának halasztására vonatkozó döntések indoklása A BOD 26-04 bevezet valamit, amit a szövetségi sebezhetőségkezelés soha nem tartalmazott: formális követelményt, hogy indokolni kell a prioritási döntéseket. Amikor egy ügynökség elhalasztja egy sebezhetőség kijavítását a következő rendszerfrissítési ciklusra, azt a döntést dokumentálni és meg kell védeni. Ez audit trail követelményt teremt. Minden halasztott sebezhetőség esetén a szervezetnek be kell mutatnia: Melyik a négy változót végezték el Milyen kombináció helyezte a sebezhetőséget a halasztási szintre Miért biztos a ügynökség, hogy a halasztás nem teremt elfogadhatatlan kockázatot Ha bármelyik négy változó megváltozik (CVE kerül a KEV-be, egy eszköz újonnan kiszolgálásra kerül az interneten), a halasztási döntést újra kell értékelni. A CISOs számára ez azt jelenti, hogy a sebezhetőségkezelési programnak információt nyújtó, bizonyítékokon alapuló riportokat kell előállítania. A dashboardok és riportok megfelelőségi dokumentációvá válnak. Az ezeknek a jelentéseknek az előállításához szükséges eszközök képeseknek kell lenniük rögzíteni a négyváltozós értékelést minden CVE-nél és minden eszközön, nyomon követni a változásokat az idő múlásával, és felszíni mikor egy halasztási döntés már nem érvényes egy változó elmozdulása miatt. Itt a Tenable One Expozíciós Kezelési Platform közvetlen képességet biztosít: a folyamatos eszközöket felfedezés és kockázalapú prioritizálás kombinálása létrehozza az audit-kész adatbázist, amelyet a BOD 26-04 felelősségvállalási követelményei megkívánnak. Amikor minden eszköznek folyamatosan frissített expozíciós állapota van, minden CVE-nek Vulnrichment-alapú változós értékelése, és minden prioritási döntés rögzítve van, a szövetségi ügynökségek és más szervezetek bármikor demonstrálhatják a megfelelést, nem csupán az utolsó beolvasáskor. Tudd meg, hogyan támogatja a Tenable One a BOD 26-04-et. A szövetségi ügynökségeken túl: A vállalkozói és ellátási lánc dimenziója A BOD 26-04 kötelező a Szövetségi Polgári Végrehajtói Ág (FCEB) ügynökségei számára. De az irányelv operatív hatálya messzebb terjed, mint a jogi mandátuma. A CISA megköveteli az ügynökségektől, hogy “áttekintsék az összes szerződést, hogy meghatározzák, milyen módosításokra van szükség a direktíva szükséges intézkedéseinek betartásához.” Ez több ezer szövetségi vállalkozót értesít. Azok a szervezetek, amelyek szövetségi szerződéseket tartanak, szövetségi információs rendszereket üzemeltetnek az ügynökségek nevében, vagy kezelt biztonsági szolgáltatásokat nyújtanak szövetségi ügyfeleknek, a BOD 26-04 megfelelőségi követelményeivel szembesülnek a szerződéses járműveken keresztül. Ezeknek a szervezeteknek az irányelv nem tanácsadó iránymutatás. Ez egy szerződéses kötelezettség, amely megjelenik a munkaköri nyilatkozatokban, a biztonsági követelmények mátrixában és a szerződésmódosító levelekben. A jelentési átalakulás ezekre a szervezetekre is vonatkozik. A szövetségi programvezetők ugyanezeket a kérdéseket teszik fel a vállalkozóknak, amelyeket a direktíva az ügynökségtől kér: Mely sebezhetőségeket prioritizálták? Miért? Tudják-e bizonyítani, hogy betartották a vonatkozó időkeretet? Azok a vállalkozók, akik nem tudják bemutatni a BOD 26-04-nek megfelelő kockázati metrikákat, versenyhátrányba kerülnek a szerződésmegújítások és az új lehetőségek terén. A szövetségi ellátási láncban működő szervezeteknek már most el kell kezdeniük: Értékelni, hogy sebezhetőségkezelési eszközeik képesek-e előállítani a BOD 26-04 által megkövetelt kockázati expozíciós metrikákat Azonosítani, hogy képesek-e nyomon követni a négyváltozós modellt az általuk kezelt környezeteken Áttekinteni a prioritási döntések audit-kész dokumentációjának előállítására való felkészülést A konvergencia: Miért fontos a BOD 26-04 a kormányzaton kívül A BOD 26-04 egy jelentési átalakulást generál, amely tükrözi a kibővített konvergenciát a kiberbiztonsági iparban: A biztosítói alárendelés a bináris kérdőíves modellről átáll az bizonyítékokon alapuló kockázatértékelésre. A kiberbiztosítók egyre inkább kérdezik: “Hogyan prioritizálod a javítást, és tudsz-e bizonyítani, hogy a legmagasabb kockázatú sebezhetőségeket javítod elsőnek?” A BOD 26-04 keretrendszer védhető válaszokat nyújt erre a kérdésre. Az igazgatósági szintű felelősség a kockázati expozíciós metrikák iránti keresletet is növeli az aktivitási metrikák fölött. Az igazgatók és tisztségviselők egyre felelősebbé válnak a kiberbiztonsági kormányzásért. Egy testület, amelyik azt hallja, “Ezen a negyedévben 50 000 sebezhetőséget javítottunk”, nem tudják értékelni a 50 000 sebezhetőség ellenőrzését a szervezet kockázati helyzetére. Ezzel szemben egy testület, amelyik azt hallja, “A háromnapos szintű sebezhetőségeink 100%-át javítottuk az időkereteken belül, és a nyilvános támadási felületünk 15%-kal csökkent”, megalapozott kormányzási döntéseket hozhat. A különböző szektorokban (pénzügyi szolgáltatások, egészségügy, kritikus infrastruktúra) a szabályozói irányok a kockázalapú keretrendszerek felé mozdulnak. A BOD 26-04 az amerikai kormány verziója, de az alapelv (a valós világ kockázatai alapján történő prioritás, nem elméleti súlyosság) megjelenik a szektor-specifikus szabályozásokban és normákban. Azok a szervezetek, amelyek most kockázati expozíciós metrikákat alkalmaznak, jobb helyzetben lesznek bármilyen következő szabályozói keretrendszer szempontjából. Hogyan készüljenek a biztonsági vezetők a BOD 26-04 megfelelőségre A BOD 26-04 javítási időkereteinek 180 napos megfelelőségi határideje körülbelül 2026 decemberére tehető. De a jelentési átalakulást azonnal el kell kezdeni, mert a direktíva politikai frissítési követelménye már hatályos. Öt lépés pozicionálja a biztonsági vezetőket a sikerhez: Auditálja a meglévő jelentéseit a négyváltozós modell alapján. Tekintse át a meglévő sebezhetőségkezelési dashboardokat és testületi jelentéseket. Ha azok a javítási volumet mérik anélkül, hogy megkülönböztetnék a kockázati szinteket, nem felelnek meg a BOD 26-04 felelősségvállalási követelményeinek. Határozza meg, hogy a meglévő eszközei közül melyek tudják előállítani az új KPI-kat (BOD szintű megfelelőség, KEV lefedettség, expozíciós csökkentés, nyomozói triázs arány, halasztási indoklás) és melyek igényelnek új képességeket. Hozza létre a kockázati expozíciós jelentésekhez szükséges adatbázist. A négyváltozós modell megköveteli azt, hogy tudja, minden sebezhetőség esetében minden eszközön: Nyilvánosan ki van-e téve az eszköz? A CVE a KEV-ben van-e? Automatikusan kihasználható-e? Óvatos vagy részleges kontrollt nyújt-e? Azok a szervezetek, akik nem tudják ezeket a kérdéseket folyamatosan megválaszolni, nem tudnak megfelelni a BOD 26-04-nek, vagy előállítani a kockázati expozíciós metrikákat, amire szükség van. A Tenable One biztosítja ezt a folyamatos, négyváltozós adatbázist a támadási felület kezelésével, a KEV integrációval és a Vulnrichment adatainak felhasználásával. Építse fel az audit trail-t most, ne a 180 napos márkán. Minden prioritási döntést, amelyet a szervezet mostantól hoz, dokumentálni kell a négyváltozós értékeléssel. Amikor az auditorok vagy programvezetők megkérdezik, “Miért halasztották ezt a sebezhetőséget?”, a válasznak rögzítettnek, időbélyeggel ellátottnak és visszakereshetőnek kell lennie a döntés idejében lévő változók állapotaihoz. Fogaadja el a két-metrikus testületi kommunikációs modellt. A fent említett hat operatív KPI szolgálja a biztonsági csapatot. A testületi és ügyvezető kommunikációhoz a Tenable kutatása egy egyszerűbb két-metrikus keretrendszert mutat be: A megfigyelési lefedettség szélessége, a szervezet támadási felületének aktívan megfigyelt arányaként, mint vezető kockázati jelző. A lefedettség szélessége azt méri, hogy a szervezet láthatja-e a kockázatát. Kockázati szintű javítási arány, a magas kockázatú sebezhetőségek aránya, amelyeket a BOD-ra vonatkozó időkereten belül javítottak, mint hátrameneti teljesítménymutató. A javítási arány méri, hogy a szervezet cselekszik-e a látottak alapján. Mindkét metrikának szükséges; egyik önállóan nem elegendő. Az a testületi tag, aki ezekre a két számra tekint évről évre, képes értékelni, hogy a biztonsági program valóban csökkenti-e a kitettséget, vagy csupán egy egyre szűkebb látómezőn belül optimalizál. Készüljön fel a fokozatos átmenetre. Ha a jelenlegi testületi jelentések javítási számokat és CVSS eloszlásokat tartalmaznak, kezdje el az új kockázati-expozíciós metrikák fokozatos bevezetését a hagyományosak mellett, ahelyett, hogy azokat azonnal lecserélné. A testületi tagoknak kezdjenek el látni a BOD 26-04 nyelvét (aktívan kihasználható sebezhetőségek, nyilvánosan ki van téve eszközök, kockázati szintenkénti javítás) a rendszeres jelentéseikben, hogy a váltás fokozatos és kontextusba ágyazott legyen, ne hirtelen és zavaró. Az aktivitásról a felelősségre való áttérés A javítási metrikák kockázati expozíciós metrikákra való áttérése nem csupán szövetségi megfelelési gyakorlat. Ez az irány, amellyel az egész kiberbiztonsági ipar halad, azon a ténylegén, hogy a volumenközpontú sebezhetőség kezelés már nem tükrözi a valós kockázatokat. A Tenable ügyféltelmetriájának elemzése azt mutatja, hogy a megfigyelési lefedettség szélessége az erősebb előrejelzője a kockázati helyzetnek, és a Cyentia, XM Cyber és CISA független kutatása ugyanarra a következtetésre jutott különböző metodológiákon és adathalmazon keresztül. A BOD 26-04 hivatalosan megerősítette ezt az irányt a szövetségi ügynökségek számára. Azok a szervezetek, akik először fogadják el a BOD 26-04 irányelvet, függetlenül a szektortól, jobban helyzetben lesznek, hogy bizonyítsák, hogy biztonsági programjaik csökkentik a valós világ kockázatait, nem csupán a jegyeket zárják le. Csatlakozzon a Tenable Kutatási Különleges Műveleti Csapatához (RSO) a Tenable Connect-en, hogy további viták során a legújabb kiberfenyegetésekről beszélgessünk. Tudjon meg többet a Tenable One-ról, a modern támadási felülethez legjobban illeszkedő expozíció kezeléséről. Tudjon meg többet a CISA BOD 26-04-ről: Biztonsági frissítések prioritása a kockázatok alapján A CISA BOD 26-04: GYIK (Tenable) A CTEM pontosságának javítása: Hogyan alakítja át a Tenable One folyamatos kontroll-érvényesítése az expozíció kezelését.

A teljes cikk az eredeti weboldalon

Külső link: tenable.com

Kapcsolódó cikkek