image

Overheid VS moet ernstige lekken binnen 15 dagen patchen

woensdag 1 mei 2019, 10:27 door Redactie, 8 reacties

Amerikaanse overheidsinstanties moeten ernstige beveiligingslekken in systemen die vanaf het internet toegankelijk zijn voortaan binnen 15 dagen patchen, zo heeft het Amerikaanse ministerie van Homeland Security bepaald. Voor kwetsbaarheden waarvan de impact als "High" is bestempeld geldt een deadline van 30 dagen.

Volgens het ministerie zijn steeds meer systemen van overheidsdiensten via internet toegankelijk, waardoor het belangrijker dan ooit is om kwetsbaarheden snel te dichten. Aanvallers zouden hier anders misbruik van kunnen maken om toegang tot overheidsnetwerken te krijgen. Het ministerie wijst naar recente berichten van overheidsinstanties en bedrijven dat de gemiddelde tijd tussen de ontdekking en misbruik van een kwetsbaarheid aan het afnemen is.

"De federale overheid moet bewuste stappen nemen om het algehele aanvalsoppervlak te beperken en het risico van ongeautoriseerde toegang tot federale informatiesystemen zo snel als mogelijk te verkleinen", aldus Binding Operational Directive 19-02 van Homeland Security. Om kwetsbare systemen te vinden zal het Cybersecurity and Infrastructure Security Agency (CISA) zogeheten "Cyber Hygiene" scans uitvoeren. Overheidsinstanties moeten de ip-adressen die deze scans uitvoeren dan ook van hun blocklists halen.

Zodra er kwetsbare systemen worden gedetecteerd hebben organisaties afhankelijk van de impact van de kwetsbaarheid maximaal 15 of 30 dagen de tijd om de gevonden beveiligingslekken te verhelpen. De deadline gaat in op het moment dat het lek gevonden wordt, in plaats van wanneer de betreffende overheidsdienst wordt gewaarschuwd. Organisaties worden echter opgeroepen om beschikbare beveiligingsupdates zo snel als mogelijk uit te rollen. In het geval overheidsinstanties stellen dat het niet haalbaar is om kwetsbaarheden binnen de gestelde deadline te patchen zal CISA in geval tot geval bekijken of uitstel mogelijk is.

Reacties (8)
01-05-2019, 10:34 door Ron625
Dat is grappig, wanneer de software leverancier alleen een maandelijkse update levert.
De systemen zullen dan dus offline moeten gaan, of mis ik iets?
01-05-2019, 10:40 door Anoniem
Door Ron625: Dat is grappig, wanneer de software leverancier alleen een maandelijkse update levert.
De systemen zullen dan dus offline moeten gaan, of mis ik iets?
ja.. je mist iets. Want het is wanneer ze bekend zijn. Daarna gaat de teller pas lopen
01-05-2019, 10:46 door Anoniem
Door Ron625: Dat is grappig, wanneer de software leverancier alleen een maandelijkse update levert.
De systemen zullen dan dus offline moeten gaan, of mis ik iets?
Als je de FAQs leest dan staat erin dat de er inderdaad binnen de genoemde termijnen actie moet zijn ondernomen. In extremis zal een systeem dan offline gezet moeten worden. Zoals altijd zit er ook een escape ingebouwd :

What if there’s a valid rationale for delaying remediation?

Please document the justification for delayed remediation in the remediation plan provided by CISA (within the data column ‘remediation constraints’). CISA understands the distinctiveness of agency networks and the dependences involved in vulnerability remediation and is willing to work with agencies on a case-by-case basis when remediation is not feasible within established timeframes. Within the remediation plan, please be as descriptive as possible in detailing the justification for the delay.
01-05-2019, 10:56 door Anoniem
Door Ron625: Dat is grappig, wanneer de software leverancier alleen een maandelijkse update levert.
De systemen zullen dan dus offline moeten gaan, of mis ik iets?

Een lek wordt vaak bekend gemaakt nadat er updates voor beschikbaar zijn gemaakt. Ik lees dit dan ook als 15 dagen nadat de update beschikbaar is gesteld, het is onredelijk te verwachten dat je updates installeert die er nog niet zijn ;-)
01-05-2019, 12:24 door [Account Verwijderd]
Door Ron625: Dat is grappig, wanneer de software leverancier alleen een maandelijkse update levert.
De systemen zullen dan dus offline moeten gaan, of mis ik iets?

Je bedoelt offline gedurende het restant van de maand dat de patch nog niet is uitgebracht. Ja, dat zal dan wel moeten onder deze nieuwe vereisten.
01-05-2019, 12:37 door Anoniem
Ja, mooie praatjes voor de vaak, maar wordt het wel echt uitgevoerd binnen een Imperium,
waar nog steeds grootcommercie geen strobreed in de weg gelegd wordt,
net als overal ter wereld zowat?

Ze scannen zich rot, ze zijn op papier vooral erg druk,
Ze pakken er wat in een hap-snap-voor-de-vorm om te bewijzen,
maar er verandert naar ik verwacht niets essentieel.

Zie je behalve wat kosmetische aanpassingen en langzame veranderingen -
een nieuw protocolletje per tien jaar (TLS versies, nu 1.3)
-en nog veel dat er niet aan voldoet,

De voet op de rem van de onwilligen en incompetenten is te zwaar.

Echt fundamenteel enige verandering?
Ik help het jullie allen hopen,
Ik heb er voorlopig een hard hoofd in,

#sockpuppet
01-05-2019, 13:06 door karma4
Door Kapitein Haddock:
Je bedoelt offline gedurende het restant van de maand dat de patch nog niet is uitgebracht. Ja, dat zal dan wel moeten onder deze nieuwe vereisten.
De meeste beveiligingslekken routers etc. Dan schakel je de complete verwerking uit. Lijkt me toch problematisch te worden.
Is in ieder geval de open verbinding naar internet eraf en maakt het voor de andere apparatuur weinig meer uit.
01-05-2019, 23:39 door Briolet - Bijgewerkt: 01-05-2019, 23:41
Door Anoniem:
Door Ron625: Dat is grappig, wanneer de software leverancier alleen een maandelijkse update levert.
De systemen zullen dan dus offline moeten gaan, of mis ik iets?

Een lek wordt vaak bekend gemaakt nadat er updates voor beschikbaar zijn gemaakt. Ik lees dit dan ook als 15 dagen nadat de update beschikbaar is gesteld, het is onredelijk te verwachten dat je updates installeert die er nog niet zijn ;-)

Maar in dit geval lees ik toch in de documentatie:
When do the 15 and 30 day “clocks” start for remediation?

BOD 19-02 starts tracking vulnerabilities from the point of initial detection, rather than the date of first report to agencies. To facilitate tracking, the ‘detection date’ of each vulnerability is included in the findings.csv attachment under appendix G within agency Cyber Hygiene reports.

Hier hebben ze het dus echt over het eerste moment van ontdekken. Dus niet over het publiceren van het lek nadat er een patch bestaat.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.