CISA готовит риск-ориентированную модель приоритизации уязвимостей

Американское агентство CISA планирует 10 июня выпустить обязательную директиву, которая изменит подход федеральных ведомств к управлению уязвимостями. Вместо массового применения патчей по мере их выхода ведомствам предлагают в первую очередь учитывать реальный риск: доступность актива из интернета, подтвержденную эксплуатацию и возможность автоматизированной атаки.

Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) планирует 10 июня выпустить обязательную операционную директиву (Binding Operational Directive, BOD), которая должна изменить порядок управления уязвимостями в федеральных гражданских ведомствах. Об этом сообщила The Record со ссылкой на заявление исполняющего обязанности директора CISA Ника Андерсена на мероприятии компании Axonius в Вашингтоне.

По словам Андерсена, CISA отходит от прежней логики, при которой основная рекомендация сводилась к максимально быстрой установке каждого выпущенного исправления. Новая модель должна учитывать риск каждой уязвимости в контексте конкретного актива: доступен ли он из интернета, связана ли уязвимость с записью в KEV (Known Exploited Vulnerabilities, каталоге известных эксплуатируемых уязвимостей CISA), можно ли автоматизировать ее эксплуатацию.

Директива, по словам Андерсена, затронет и сроки установки исправлений: CISA намерена определить, нужно ли сокращать окна patch management и насколько. Агентство также хочет перейти к более детальным обсуждениям с операторами критической инфраструктуры — не только о том, какие организации важны, но и какие функции и ИТ-активы внутри них требуют приоритетной защиты.

Заявленный подход смещает акцент с количества найденных уязвимостей и формального наличия патча на триаж по последствиям возможной атаки. Для команд безопасности это означает больший вес инвентаризации активов, контроля внешней поверхности атаки и сопоставления уязвимостей с данными о реальной эксплуатации.