Anfang dieses Monats hat die Bundesbehörde für Cybersicherheit und Infrastruktursicherheit (CISA) die verbindliche operative Richtlinie 23-01 herausgegeben : Verbesserung der Sichtbarkeit von Anlagen und Erkennung von Schwachstellen in Bundesnetzwerken. Die Richtlinie gilt für alle zivilen Systeme der Bundesexekutive und die Behörden, die diese Systeme betreiben. Die CISA erklärt, dass ihre Richtlinie darauf abzielt, messbare Fortschritte bei der Verbesserung der Sichtbarkeit von Behördenanlagen und damit verbundenen Schwachstellen zu erzielen. Die Richtlinie folgt auch auf die jüngste Proklamation des Weißen Hauses zum Monat des Sicherheitsbewusstseins.
Die Maßnahme ist ein wichtiger Schritt zur Verbesserung der Cybersicherheitslage der Bundesregierung, und wir von Censys unterstützen sie voll und ganz.
Die Richtlinie bestätigt, was wir schon seit langem wissen: "Eine kontinuierliche und umfassende Transparenz der Assets ist eine Grundvoraussetzung für jede Organisation, um Cybersecurity-Risiken effektiv zu managen." Das NIST Cybersecurity Framework führt "Identifizieren" als ersten Schritt zur Sicherung jeder Organisation auf, denn ohne eine ordnungsgemäße Identifizierung der im Besitz befindlichen Anlagen ist es unmöglich, die Priorität dieser Anlagen für den Auftrag/Zweck der Organisation zu bestimmen. Das Attack Surface Management ist der Aufwand, der diese "kontinuierliche" Sichtbarkeit der Assets ermöglicht. Sicherheitsteams müssen mit einem vollständigen Verständnis ihrer gesamten externen Angriffsfläche arbeiten, die auch Anlagen umfasst, die dem Team möglicherweise nicht bekannt sind.
Mit Attack Surface Management Maßnahmen ergreifen
Bis zum 3. April 2023 müssen die betroffenen Bundesbehörden und -systeme alle 7 Tage eine automatische Bestandserkennung durchführen. Die Erkennung muss alle IPv4-basierten Anlagen abdecken. Die CISA-Richtlinie schreibt zwar nicht vor, welche spezifischen Tools zur Bestandsermittlung zu verwenden sind, doch werden die Behörden von einer kontinuierlichen, umfassenden Überprüfung profitieren, die auch Kontext durch Attribution und Risikokommentare liefern kann. Auf diese Weise können die Behörden sowohl unbekannte Objekte in Echtzeit identifizieren als auch die gefundenen Objekte mit Hilfe des Attributionsalgorithmus eines Tools sinnvoll zuordnen. Ein präziser Erkennungsprozess spart viel Zeit und Ressourcen für überlastete technische Mitarbeiter, die andernfalls mit denselben unveränderten Methoden manuell nach Assets suchen müssten. Mit einem automatisierten Scan-Algorithmus werden täglich innerhalb weniger Minuten Echtzeitdaten angereichert, die mehr als 65.000 Ports in 99 % des IPv4-Raums abdecken.
Die Censys Attack Surface Management Platform bietet eine durchgehende, kontinuierliche Erkennung des gesamten IPv4-Raums, die den Behörden helfen kann, die Anforderungen der Richtlinie zu erfüllen. Ein kürzlich veröffentlichter Bericht von GreyNoise hat ergeben, dass Censys wesentlich schnellere und robustere Scanning-Funktionen als jedes andere internetweite Scanning-Tool bietet.
CensysDie Plattform zur Verwaltung von Angriffsflächen kann Behörden dabei helfen, ihren Auftrag schneller und mit weniger Personal zu erfüllen. So kann die Plattform beispielsweise mit einer begrenzten Anzahl von Daten 80 % einer unbekannten Angriffsfläche entdecken, wobei die Daten täglich aktualisiert werden. Darüber hinaus ist die Fähigkeit der Plattform, per Mausklick einen erneuten Scan durchzuführen, eine schnelle, technische Methode zur Überprüfung von Konfigurationsänderungen.
Aufzählung von Schwachstellen und Integrationen berücksichtigen
Um die zweite Anforderung der Richtlinie zu erfüllen, müssen die Behörden eine Auflistung der Schwachstellen für alle entdeckten Anlagen, einschließlich aller mobilen Anlagen (wie Laptops), durchführen. Dies bedeutet, dass gemäß der Richtlinie alle 14 Tage Scans auf den Zielanlagen durchgeführt werden, um Schwachstellen zu identifizieren. ASM-Plattformen können als logische Ergänzung zu Schwachstellenmanagement-Tools dienen. Censys Die Erkennung und Überwachung von Assets durch ASM kann den Behörden helfen, besser zu erkennen, welche Assets ins Visier genommen werden sollen (vor allem durch die Entdeckung unbekannter Assets, die auf Schwachstellen gescannt werden sollten), und potenzielle Risiken anzuzeigen. Censys Dank der Rapid-Response-Funktionen von ASM müssen Kunden keinen eigenen Schwachstellenkatalog mehr pflegen und sich nicht mehr darum kümmern, ob er mit den neuesten Zero-Day-Lücken oder brandgefährlichen CVEs aktualisiert wurde. Die Kunden müssen lediglich nach Softwareproblemen auf der Plattform suchen; Censys kümmert sich um die Automatisierung des Prozesses, so dass die Kunden sich um die Behebung und das Patching kümmern können.
Bei der Bewertung neuer Tools sollten die Behörden auch auf die Integrationsfähigkeit achten. Kann Ihre Plattform zur Verwaltung der Angriffsfläche mit Ihrem Schwachstellenmanagement-Tool kommunizieren? Integrationen können einen ganzheitlichen Überblick über Ihren Sicherheitsstatus so einfach wie möglich machen - was angesichts der Berichtsanforderungen und -fristen des CISA besonders wichtig ist.
Blick über die föderalen Auswirkungen hinaus
Die neue CISA-Richtlinie mag für bestimmte Bundesbehörden eine betriebliche Anforderung sein, doch die Grundsätze hinter der Richtlinie sind für Unternehmen aller Branchen relevant. Ein klares, umfassendes Bild Ihrer externen Angriffsfläche zu erhalten - und zu sehen, was potenzielle Angreifer sehen - ist für eine effektive, proaktive Cybersicherheit unerlässlich.
"Bedrohungsakteure haben es weiterhin auf die kritischen Infrastrukturen und Regierungsnetzwerke unseres Landes abgesehen, um Schwachstellen in unbekannten, ungeschützten oder unzureichend geschützten Anlagen auszunutzen", so CISA-Direktorin Jen Easterly. "Zu wissen, was sich in Ihrem Netzwerk befindet, ist für jede Organisation der erste Schritt zur Risikominderung. Diese Richtlinie gilt zwar für zivile Bundesbehörden, aber wir fordern alle Organisationen auf, die Richtlinien dieser Richtlinie zu befolgen, um ein vollständiges Verständnis der Schwachstellen in ihren Netzwerken zu erlangen. Wir alle müssen eine Rolle beim Aufbau einer widerstandsfähigeren Cyber-Nation spielen." - CISA.gov
Weitere Informationen zu allen Anforderungen von BOD 23-01 finden Sie auf der Website der CISA.
Besuchen Sie Censys for Federal, um mehr darüber zu erfahren, wie Censys die Bemühungen der Bundesbehörden im Bereich der Cybersicherheit unterstützt.
