CISA ban hành chỉ thị mới: Ưu tiên vá lỗ hổng bảo mật dựa trên mức độ rủi ro

CISA ban hành chỉ thị mới: Ưu tiên vá lỗ hổng bảo mật dựa trên mức độ rủi ro

CISA Cybersecurity Agency

Cơ quan An ninh Mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) vừa công bố một chỉ thị mới, yêu cầu các cơ quan liên bang phải ưu tiên vá các lỗi bảo mật có rủi ro cao nhất. Quy định này nhằm củng cố an ninh mạng cho các hệ thống của chính phủ liên bang trước các mối đe dọa ngày càng tinh vi.

Xây dựng dựa trên danh mục các lỗ hổng đã bị khai thác (Known Exploited Vulnerabilities - KEV) được thành lập năm 2021, Chỉ thị Hoạt động Ràng buộc 26-04 (Binding Operational Directive 26-04) xác định các bước then chốt để bảo vệ mạng lưới liên bang một cách mạnh mẽ hơn.

Yêu cầu đối với chính sách quản lý lỗ hổng

BOD 26-04 yêu cầu các cơ quan liên bang rà soát và cập nhật chính sách quản lý lỗ hổng của mình. Các cơ quan phải cung cấp bản sao chính sách này cho CISA khi được yêu cầu và ưu tiên khắc phục các điểm yếu bảo mật được liệt kê trong danh mục KEV.

Security Concept

Ngoài ra, các cơ quan liên bang còn phải thực hiện các nhiệm vụ sau:

• Giám sát cập nhật danh mục KEV và giải quyết các vấn đề mới theo đúng thời hạn.
• Đảm bảo khắc phục lỗ hổng liên tục và tự động hóa báo cáo tình trạng lỗ hổng KEV.
• Kiểm kê và gắn thẻ (tag) các tài sản có thể truy cập từ bên ngoài.

Khung thời gian khắc phục mới

Một điểm nổi bật của chỉ thị mới là việc áp dụng các mốc thời gian khắc phục dựa trên tác động kỹ thuật của từng lỗi, cụ thể là "mức độ kiểm soát sau khi khai thác mà kẻ tấn công đạt được đối với tài sản bị ảnh hưởng".

Theo đó:

• Trong vòng 3 ngày: Các lỗi bảo mật trên tài sản công khai nằm trong KEV và có thể bị tin tặc tự động hóa khai thác cần được khắc phục ngay lập tức. Ngay cả khi không thể tự động hóa, lỗi nào dẫn đến việc kiểm soát hoàn toàn tài sản cũng phải xử lý gấp.
• 14 đến 60 ngày: Áp dụng cho các lỗ hổng có rủi ro thấp hơn, chẳng hạn như không nằm trong danh sách KEV, không thể tự động hóa khai thác hoặc không ảnh hưởng đến tài sản công khai.

Để hỗ trợ quá trình này, CISA cam kết cập nhật danh mục KEV ngay khi các lỗi mới bị khai thác được xác định. Trong vòng 60 ngày, cơ quan này sẽ công bố các yêu cầu dữ liệu, hướng dẫn các cơ quan cung cấp thông tin gắn thẻ tài sản cấp máy theo sơ đồ dữ liệu chuẩn hóa.

Góc nhìn từ các chuyên gia

Kevin E. Greene, chuyên gia công nghệ an ninh mạng trưởng tại BeyondTrust, nhận định rằng việc chuyển đổi tiêu chí ưu tiên từ điểm số CVSS sang các yếu tố rủi ro thực tế là một bước đi đúng đắn.

"Tôi hoàn toàn đồng ý rằng việc chuyển hướng khỏi CVSS làm động lực ưu tiên là đúng đắn. Nhưng việc hiểu rõ nợ quyền (privilege debt) hạ nguồn cũng quan trọng không kém để làm cho một CVE trở nên không hiệu quả về mặt vận hành. Một CVE không thể tiếp cận được tầng quyền quản trị sẽ không hiệu quả về mặt vận hành—ngay cả khi điểm số CVSS là 10", ông Greene nhận xét.

Greene cũng lưu ý rằng mô hình SSVC trong BOD cho biết mức độ nghiêm trọng của một CVE trên thành phần đó, nhưng nó có thể bỏ qua việc liệu thành phần đó có nằm trên đường dẫn đến tầng quyền quản trị hay không.