Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Casa
Blog
19-02 - Requisitos de Remediación de Vulnerabilidad
o Fondo
o Acciones Requeridas
o Acciones CISA
o Preguntas más frecuentes
19-01 - Mitigar la manipulación de la infraestructura del DNS
18-02 - Asegurando activos de alto valor
18-01 - Mejorar el correo electrónico y la seguridad web
17-01 - Eliminación de productos de la marca Kaspersky
16-03 - Requisitos de informes de ciberseguridad de la agencia 2016
16-02 - Amenaza a los dispositivos de infraestructura de red
16-01 - Asegurando activos de alto valor (revocados)
15-01 - Mitigación de vulnerabilidad crítica (Revocada)
Una directiva operativa vinculante es una dirección obligatoria para el gobierno federal,
el poder ejecutivo, los departamentos y las agencias con el propósito de salvaguardar la
información federal y los sistemas de información.
La Sección 3553 (b) (2) del título 44, Código de los EE. UU. , Autoriza al Secretario del
Departamento de Seguridad Nacional (DHS) a desarrollar y supervisar la implementación
de directivas operativas vinculantes.
Las agencias federales deben cumplir con las directivas desarrolladas por el DHS.
Estas directivas no se aplican a los "sistemas de seguridad nacional" definidos por ley ni a
ciertos sistemas operados por el Departamento de Defensa o la Comunidad de
Inteligencia.
Fondo
A medida que las agencias federales continúan expandiendo su presencia en Internet a
través de un mayor despliegue de sistemas accesibles a través de Internet, y operan sistemas
interconectados y complejos, es más crítico que nunca que las agencias federales remedien
rápidamente las vulnerabilidades que de otra manera podrían permitir que los actores
maliciosos comprometan las redes federales a través de explotaciones vulnerables. ,
sistemas orientados al exterior. Informes recientes del gobierno y socios de la industria
indican que el tiempo promedio entre el descubrimiento y la explotación de una
vulnerabilidad está disminuyendo a medida que los adversarios de hoy son más hábiles,
persistentes y capaces de explotar vulnerabilidades conocidas. El gobierno federal debe
continuar tomando medidas deliberadas para reducir la superficie de ataque general y
minimizar el riesgo de acceso no autorizado a los sistemas de información federales tan
pronto como sea posible.
El gobierno federal debe continuar mejorando nuestra postura de seguridad, reducir los
riesgos que plantean los sistemas vulnerables accesibles a través de Internet y aprovechar el
éxito de la DBO 15-01 mediante el avance de los requisitos federales para la remediación
de vulnerabilidad alta y crítica para reducir aún más la superficie de ataque y el riesgo para
Agencia federal de sistemas de información.
Revocación
Esta directiva reemplaza la BOD 15-01, requisito de mitigación de vulnerabilidad crítica
para los Departamentos Federales del Poder Ejecutivo Civil y los Sistemas de Acceso a
Internet de Agencias (21 de mayo de 2015), que se revoca por la presente.
Acciones Requeridas
Para garantizar una reparación efectiva y oportuna de las vulnerabilidades críticas y altas
identificadas a través de la exploración de Cyber Hygiene, las agencias federales deben
completar las siguientes acciones:
segundo. Dentro de los cinco días hábiles posteriores al cambio, notifique a CISA
a ncats@hq.dhs.gov de cualquier modificación a las direcciones IP accesibles de
Internet de su agencia. Esto incluye las direcciones IP de acceso a Internet
adquiridas recientemente o las direcciones de acceso a Internet reasignadas que ya
no forman parte del inventario de activos de la agencia.
a. Revise los informes de higiene cibernética emitidos por CISA y corrija las
vulnerabilidades críticas y altas detectadas en los sistemas de acceso a Internet de la
agencia de la siguiente manera:
Acciones CISA
CISA proporcionará informes regulares a las agencias federales sobre los resultados
del análisis y el estado actual de la cibernética, y un informe del cuadro de mando
de la empresa federal al liderazgo de la agencia.
Preguntas frecuentes
BOD 19-02 comienza a rastrear las vulnerabilidades desde el punto de detección inicial, en
lugar de la fecha del primer informe a las agencias. Para facilitar el seguimiento, la 'fecha
de detección' de cada vulnerabilidad se incluye en el adjunto de cases.csv bajo el apéndice
G dentro de los informes de la agencia sobre cibernética.
Las agencias son responsables de administrar el riesgo de sus redes y deben remediar las
vulnerabilidades de los sistemas críticos lo más rápido posible. Los requisitos de 15 días y
30 días en el BOD son las agencias más recientes que deben remediar todas las
vulnerabilidades críticas y altas de los dispositivos con acceso a Internet.
¿Por qué BOD 19-02 trata a todos los dispositivos con acceso a Internet
por igual y considera que todas las vulnerabilidades críticas y altas son
lo mismo?
CISA espera que las agencias comiencen a formular estrategias de remediación mucho
antes de los plazos de 15 y 30 días, para acelerar la remediación de vulnerabilidades y
permitir la integración fácil de la información de remediación en los planes para enviarla a
CISA una vez que se superen las bases de referencia. CISA está compensando el corto
tiempo de entrega al proporcionar un plan de remediación en su mayoría previamente
poblado para que lo complete el personal de la agencia. Las agencias solo necesitan
completar los campos de datos para los pasos de mitigación, restricciones y fechas de
finalización estimadas. Esto asegurará que las agencias informen las vulnerabilidades
correctas dentro de los planes de remediación, especialmente antes de los cambios
introducidos por los informes de Cyber Hygiene de la próxima semana.
Nota: la aceptación por parte de CISA de las afirmaciones de falsos positivos no es una
confirmación de que un hallazgo sea de hecho un falso positivo.
El sitio web que contiene las direcciones IP de origen de Cyber Hygiene se incluye en la
sección de Metodología de los informes semanales de Cyber Hygiene de las agencias y se
puede proporcionar a las agencias si lo solicita a ncats@hq.dhs.gov .
Volver a la cima