CISA ban hành chỉ thị mới: Ưu tiên vá lỗ hổng bảo mật dựa trên mức độ rủi ro

Cơ quan An ninh Mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) vào thứ Tư vừa qua đã công bố một chỉ thị mới, yêu cầu các cơ quan liên bang phải ưu tiên vá các lỗi bảo mật có rủi ro cao nhất.

CISA Agency

Chỉ thị này được đưa ra trong bối cảnh các mối đe dọa mạng ngày càng tinh vi, buộc chính phủ phải thay đổi cách tiếp cận quản lý các lỗ hổng an ninh.

Nền tảng của Chỉ thị mới

CISA đã thiết lập Danh mục Lỗ hổng Được khai thác (Known Exploited Vulnerabilities - KEV) vào năm 2021, cùng với BOD 22-01. Văn bản này từng chỉ đạo các cơ quan tích cực vá các lỗi trong danh mục trong các khung thời gian cụ thể và yêu cầu báo cáo tình trạng mà không phạt những đơn vị không đáp ứng hạn chót.

Theo CISA, Chỉ thị Vận hành Bắt buộc 26-04 (BOD 26-04): Ưu tiên Cập nhật Bảo mật Dựa trên Rủi ro được xây dựng dựa trên BOD 22-01 và danh mục KEV. Mục tiêu là thúc đẩy các ưu tiên trong việc bảo mật mạng liên bang và phác thảo các bước then chốt để tăng cường bảo vệ chúng một cách mạnh mẽ hơn.

"Các yêu cầu trong Chỉ thị này phù hợp với Thông tư A-130 của Văn phòng Quản lý và Ngân sách (OMB): Quản lý Thông tin như một Tài nguyên Chiến lược, thiết lập chính sách cho việc quản lý tài nguyên thông tin liên bang," CISA lưu ý.

Yêu cầu cụ thể đối với các cơ quan

BOD 26-04 yêu cầu các cơ quan liên bang xem xét và cập nhật các chính sách quản lý lỗ hổng của họ, cung cấp cho CISA bản sao các chính sách này khi được yêu cầu, và ưu tiên khắc phục các điểm yếu bảo mật được liệt kê trong danh mục KEV.

Ngoài ra, các cơ quan liên bang còn phải thực hiện các nhiệm vụ sau:

• Giám sát các bản cập nhật của danh mục KEV.
• Xử lý các vấn đề mới theo đúng các mốc thời gian được cung cấp.
• Đảm bảo việc khắc phục lỗ hổng liên tục và tự động hóa báo cáo tình trạng các lỗ hổng KEV.
• Kiểm kê và gắn thẻ cho các tài sản có thể truy cập từ bên ngoài.

Để hỗ trợ nỗ lực này, CISA cam kết cập nhật danh mục KEV ngay khi các lỗi bị khai thác mới được xác định và cung cấp cho các cơ quan liên bang siêu dữ liệu và hướng dẫn cần thiết.

Mốc thời gian khắc phục dựa trên rủi ro

CISA cũng cung cấp các mốc thời gian khắc phục cho các lỗ hổng bảo mật, được phát triển dựa trên tác động kỹ thuật của từng lỗi, hay nói cách khác là "mức độ kiểm soát mà kẻ đối thủ có được sau khi khai thác tài sản bị ảnh hưởng".

Do đó, các lỗi bảo mật trong tài sản tiếp xúc công khai đã được thêm vào danh mục KEV và có thể được tự động hóa bởi kẻ tấn công cần được giải quyết trong vòng 3 ngày. Ngay cả khi không thể tự động hóa, mức độ khẩn cấp tương tự cũng áp dụng cho các lỗi dẫn đến việc kiểm soát hoàn toàn tài sản bị lỗ hổng.

Các cơ quan liên bang nên ưu tiên mọi vấn đề bảo mật ảnh hưởng đến tài sản tiếp xúc công khai có thể dẫn đến kiểm soát hoàn toàn nếu tự động hóa là khả thi, ngay cả khi lỗ hổng đó chưa được thêm vào danh sách KEV.

Thời gian khắc phục được kéo dài đến 14 ngày hoặc 60 ngày đối với các điểm yếu bảo mật được coi là rủi ro thấp hơn: chúng không nằm trong danh sách KEV, không thể tự động hóa và/hoặc không ảnh hưởng đến tài sản tiếp xúc công khai.

Góc nhìn từ các chuyên gia

Mặc dù việc chuyển đổi trọng tâm từ điểm số CVSS sang mô hình rủi ro thực tế được đánh giá cao, một số chuyên gia cho rằng vẫn còn các khía cạnh cần lưu ý.

"Chỉ thị tập trung hẹp vào việc ưu tiên CVE, và trong sự tập trung đó, nó bỏ lỡ mối liên hệ giữa nợ đặc quyền hạ nguồn và sự tăng tốc của việc định vị trước, duy trì và di chuyển ngang. Điều đó quan trọng vì bạn không thể vá mọi thứ — nhưng bạn có thể loại bỏ nợ đặc quyền trong môi trường để giới hạn phạm vi ảnh hưởng và làm gián đoạn khả năng của các tác nhân đe dọa," ông Kevin E. Greene, nhà công nghệ an ninh mạng trưởng của BeyondTrust nhận định.

Ông Greene cũng bổ sung: "Tôi hoàn toàn đồng ý rằng việc chuyển đi từ CVSS làm động lực ưu tiên là một lời kêu gọi đúng đắn. Nhưng việc hiểu nợ đặc quyền hạ nguồn cũng quan trọng ngang nhau để làm cho một CVE trở nên không hiệu quả về mặt vận hành. Một CVE không thể tiếp cận tầng đặc quyền thì không hiệu quả về mặt vận hành — ngay cả khi điểm CVSS là 10."