Overheid VS moet ernstige lekken binnen 15 dagen patchen
Amerikaanse overheidsinstanties moeten ernstige beveiligingslekken in systemen die vanaf het internet toegankelijk zijn voortaan binnen 15 dagen patchen, zo heeft het Amerikaanse ministerie van Homeland Security bepaald. Voor kwetsbaarheden waarvan de impact als "High" is bestempeld geldt een deadline van 30 dagen.
Volgens het ministerie zijn steeds meer systemen van overheidsdiensten via internet toegankelijk, waardoor het belangrijker dan ooit is om kwetsbaarheden snel te dichten. Aanvallers zouden hier anders misbruik van kunnen maken om toegang tot overheidsnetwerken te krijgen. Het ministerie wijst naar recente berichten van overheidsinstanties en bedrijven dat de gemiddelde tijd tussen de ontdekking en misbruik van een kwetsbaarheid aan het afnemen is.
"De federale overheid moet bewuste stappen nemen om het algehele aanvalsoppervlak te beperken en het risico van ongeautoriseerde toegang tot federale informatiesystemen zo snel als mogelijk te verkleinen", aldus Binding Operational Directive 19-02 van Homeland Security. Om kwetsbare systemen te vinden zal het Cybersecurity and Infrastructure Security Agency (CISA) zogeheten "Cyber Hygiene" scans uitvoeren. Overheidsinstanties moeten de ip-adressen die deze scans uitvoeren dan ook van hun blocklists halen.
Zodra er kwetsbare systemen worden gedetecteerd hebben organisaties afhankelijk van de impact van de kwetsbaarheid maximaal 15 of 30 dagen de tijd om de gevonden beveiligingslekken te verhelpen. De deadline gaat in op het moment dat het lek gevonden wordt, in plaats van wanneer de betreffende overheidsdienst wordt gewaarschuwd. Organisaties worden echter opgeroepen om beschikbare beveiligingsupdates zo snel als mogelijk uit te rollen. In het geval overheidsinstanties stellen dat het niet haalbaar is om kwetsbaarheden binnen de gestelde deadline te patchen zal CISA in geval tot geval bekijken of uitstel mogelijk is.
De systemen zullen dan dus offline moeten gaan, of mis ik iets?
De systemen zullen dan dus offline moeten gaan, of mis ik iets?
De systemen zullen dan dus offline moeten gaan, of mis ik iets?
What if there’s a valid rationale for delaying remediation?
Please document the justification for delayed remediation in the remediation plan provided by CISA (within the data column ‘remediation constraints’). CISA understands the distinctiveness of agency networks and the dependences involved in vulnerability remediation and is willing to work with agencies on a case-by-case basis when remediation is not feasible within established timeframes. Within the remediation plan, please be as descriptive as possible in detailing the justification for the delay.
De systemen zullen dan dus offline moeten gaan, of mis ik iets?
Een lek wordt vaak bekend gemaakt nadat er updates voor beschikbaar zijn gemaakt. Ik lees dit dan ook als 15 dagen nadat de update beschikbaar is gesteld, het is onredelijk te verwachten dat je updates installeert die er nog niet zijn ;-)
De systemen zullen dan dus offline moeten gaan, of mis ik iets?
Je bedoelt offline gedurende het restant van de maand dat de patch nog niet is uitgebracht. Ja, dat zal dan wel moeten onder deze nieuwe vereisten.
waar nog steeds grootcommercie geen strobreed in de weg gelegd wordt,
net als overal ter wereld zowat?
Ze scannen zich rot, ze zijn op papier vooral erg druk,
Ze pakken er wat in een hap-snap-voor-de-vorm om te bewijzen,
maar er verandert naar ik verwacht niets essentieel.
Zie je behalve wat kosmetische aanpassingen en langzame veranderingen -
een nieuw protocolletje per tien jaar (TLS versies, nu 1.3)
-en nog veel dat er niet aan voldoet,
De voet op de rem van de onwilligen en incompetenten is te zwaar.
Echt fundamenteel enige verandering?
Ik help het jullie allen hopen,
Ik heb er voorlopig een hard hoofd in,
#sockpuppet
Je bedoelt offline gedurende het restant van de maand dat de patch nog niet is uitgebracht. Ja, dat zal dan wel moeten onder deze nieuwe vereisten.
Is in ieder geval de open verbinding naar internet eraf en maakt het voor de andere apparatuur weinig meer uit.
De systemen zullen dan dus offline moeten gaan, of mis ik iets?
Een lek wordt vaak bekend gemaakt nadat er updates voor beschikbaar zijn gemaakt. Ik lees dit dan ook als 15 dagen nadat de update beschikbaar is gesteld, het is onredelijk te verwachten dat je updates installeert die er nog niet zijn ;-)
Maar in dit geval lees ik toch in de documentatie:
BOD 19-02 starts tracking vulnerabilities from the point of initial detection, rather than the date of first report to agencies. To facilitate tracking, the ‘detection date’ of each vulnerability is included in the findings.csv attachment under appendix G within agency Cyber Hygiene reports.
Hier hebben ze het dus echt over het eerste moment van ontdekken. Dus niet over het publiceren van het lek nadat er een patch bestaat.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
