Az amerikai Kiberbiztonsági és Infrastruktúra Biztonsági Hivatal (U. S. Cybersecurity and Infrastructure Security Agency – CISA) kötelezően előírta az amerikai állami szervezeteknek, hogy bizonyos sérülékenységeket foltozzanak.
A CISA egy katalógust publikált nemrég, melyek ismert gyártók sérülékenységeit tartalmazzák. Az Apple, Cisco, Microsoft és Google hibái ismert exploitok, melyeket a különböző hacker csoportok rendszeresen és aktívan kihasználnak támadásaik során.
Ez a lista összesen 276 sérülékenységet tartalmaz: közülük 176-ot 2017 és 2020 között azonosítottak, a fennmaradó 100 pedig 2021-ből származik. Az elképzelés szerint ezt a listát folyamatosan frissíti majd a hivatal a többi gyakran kihasznált sérülékenység adataival.
A kötelező működési direktívában kiadott utasítás azt is tartalmazza, hogy meddig kell frissítsék a kijelölt sérülékenységeket az állami szervezetek. A 2021-ben felfedezett sérülékenységeket – melyek a CVE-2021-XXXXX formátumú nevet kapták – november 17-ig kell patcheljék. A fennmaradó 176 hibát 2022. május 3-ig kell kijavítani.
A lista és a sérülékenységek frissítése az állami szervezetek számára kötelező, a magánvállalatok számára viszont iránymutatás, hogy milyen biztonsági problémára figyeljenek elsődlegesen.
Ahogy arról a G DATA blogján is többször írtunk, az IT rendszerek frissítése nehézkés, miután a szakemberek bonyolultnak tartják a folyamatot, emiatt pedig gyakran halasztják a kellemetlen feladatot, sokszor a cégvezetők utasítására.
Azt is kitárgyaltuk már, hogy frissítsünk vagy ne frissítsünk vállalati környezetben. Az biztos, a sérülékenységek frissítése az IT biztonsági stratégia egyik eleme. Ami segíthet, az a vállalati tesztkörnyezet kiépítése vagy az automatikus patchelési megoldások elterjesztése.
Amennyiben még nem ismeri, ajánljuk figyelmébe a G DATA Patch Management modult.
A cikk forrása: The Hacker News
