CISA yêu cầu các cơ quan liên bang Mỹ ưu tiên vá lỗi bảo mật theo mức độ rủi ro

Cơ quan An ninh Mạng và An ninh Cơ sở hạ tầng Hoa Kỳ (CISA) đã công bố một chỉ thị mới vào thứ Tư, yêu cầu các cơ quan liên bang phải ưu tiên vá các lỗi bảo mật có rủi ro cao nhất.

CISA Agency

Chỉ thị này được đặt tên là Binding Operational Directive 26-04: Prioritizing Security Updates Based on Risk (Ưu tiên cập nhật bảo mật dựa trên rủi ro). Nó được xây dựng dựa trên nền tảng của chỉ thị BOD 22-01 và danh mục Known Exploited Vulnerabilities (KEV) – danh sách các lỗ hổng đã bị khai thác – mà CISA thiết lập từ năm 2021. Mục tiêu là tiếp tục thúc đẩy các ưu tiên trong việc bảo vệ mạng lưới liên bang và phác thảo các bước quan trọng để tăng cường phòng thủ một cách mạnh mẽ hơn.

CISA lưu ý rằng các yêu cầu trong chỉ thị này đồng bộ với Thư cảnh vòng A-130 của Văn phòng Quản lý và Ngân sách (OMB), quy định chính sách quản lý tài nguyên thông tin liên bang.

Yêu cầu cụ thể đối với các cơ quan

Theo BOD 26-04, các cơ quan liên bang được yêu cầu rà soát và cập nhật các chính sách quản lý lỗ hổng của mình, đồng thời cung cấp cho CISA bản sao các chính sách này khi được yêu cầu. Điểm mấu chốt là các cơ quan phải ưu tiên khắc phục các điểm yếu bảo mật nằm trong danh mục KEV.

Ngoài ra, các cơ quan còn phải thực hiện các nhiệm vụ sau:

• Giám sát các bản cập nhật của danh mục KEV.
• Xử lý các vấn đề mới phát sinh tuân theo các thời hạn được cung cấp.
• Đảm bảo việc khắc phục lỗ hổng liên tục và tự động hóa báo cáo tình trạng các lỗ hổng KEV.
• Kiểm kê và gắn thẻ cho các tài sản có thể truy cập từ bên ngoài.

SecurityWeek Logo

Mốc thời gian khắc phục mới

Để hỗ trợ nỗ lực này, CISA cam kết cập nhật danh mục KEV ngay khi các lỗ hổng mới đang bị khai thác được xác định và cung cấp siêu dữ liệu cũng như hướng dẫn cần thiết cho các cơ quan.

CISA cũng cung cấp các khung thời gian khắc phục cho lỗ hổng bảo mật, được phát triển dựa trên tác động kỹ thuật của từng lỗi hay "mức độ kiểm soát mà kẻ đối tượng có được đối với tài sản bị ảnh hưởng sau khi khai thác".

Cụ thể:

• Trong vòng 3 ngày: Các lỗi bảo mật trong tài sản tiếp xúc công khai đã được thêm vào danh mục KEV và có thể được kẻ tấn công tự động hóa khai thác phải được khắc phục. Ngay cả khi không thể tự động hóa, mức độ khẩn cấp tương tự cũng áp dụng cho các lỗi dẫn đến việc kiểm soát hoàn toàn tài sản bị ảnh hưởng.
• Ưu tiên cao: Các vấn đề bảo mật ảnh hưởng đến tài sản tiếp xúc công khai có thể dẫn đến kiểm soát hoàn toàn nếu có khả năng tự động hóa (ngay cả khi chưa có trong danh sách KEV), cũng như bất kỳ lỗi KEV nào ở tài sản khác nếu có thể tự động hóa và dẫn đến kiểm soát hoàn toàn.
• 14 đến 60 ngày: Thời gian khắc phục sẽ được nới lỏng đối với các lỗ hổng được coi là rủi ro thấp hơn: không nằm trong danh sách KEV, không thể tự động hóa khai thác và/hoặc không ảnh hưởng đến tài sản tiếp xúc công khai.

Góc nhìn từ chuyên gia

Ông Kevin E. Greene, nhà công nghệ an ninh mạng kiêm Giám đốc điều hành của BeyondTrust, đã có những bình luận sâu sắc về thay đổi này. Ông nhận định rằng việc chuyển đổi trình điều khiển ưu tiên từ điểm CVSS sang mô hình SSVC (Stakeholder-Specific Vulnerability Categorization) là một bước đi đúng đắn. Tuy nhiên, ông cũng nhấn mạnh tầm quan trọng của việc hiểu về "nợ đặc quyền" (privilege debt) trong hạ nguồn.

"Tôi hoàn toàn đồng ý rằng việc chuyển hướng khỏi CVSS làm động lực ưu tiên là quyết định đúng đắn. Nhưng việc hiểu nợ đặc quyền hạ nguồn cũng quan trọng tương tự để làm cho một CVE trở nên kém hiệu quả về mặt vận hành. Một CVE không thể tiếp cận được tầng đặc quyền sẽ kém hiệu quả về mặt vận hành – ngay cả khi điểm CVSS của nó là 10," ông Greene nói.

Ông cho rằng mô hình SSVC trong chỉ thị mới cho biết mức độ nghiêm trọng của một CVE trên thành phần đó, nhưng nó bỏ qua việc thành phần đó có nằm trên đường dẫn đến tầng đặc quyền hay không, cũng như điểm nghẽn ở đâu để làm sập đường dẫn đó.

Chỉ thị mới này của CISA đánh dấu một bước tiến quan trọng trong việc chuyển dịch từ quản lý lỗ hổng thụ động sang quản lý rủi ro chủ động, yêu cầu sự phản ứng nhanh chóng và chính xác hơn từ các cơ quan chính phủ Mỹ.