Saltar al contenido principal

Un sitio web oficial del Departamento de Seguridad Nacional

cyber.dhs.gov

 Casa
 Blog
 19-02 - Requisitos de Remediación de Vulnerabilidad
o Fondo
o Acciones Requeridas
o Acciones CISA
o Preguntas más frecuentes
 19-01 - Mitigar la manipulación de la infraestructura del DNS
 18-02 - Asegurando activos de alto valor
 18-01 - Mejorar el correo electrónico y la seguridad web
 17-01 - Eliminación de productos de la marca Kaspersky
 16-03 - Requisitos de informes de ciberseguridad de la agencia 2016
 16-02 - Amenaza a los dispositivos de infraestructura de red
 16-01 - Asegurando activos de alto valor (revocados)
 15-01 - Mitigación de vulnerabilidad crítica (Revocada)

Sugerir una edición

Directiva operativa vinculante 19-

02
29 de abril de 2019

Requisitos de corrección de vulnerabilidad

para sistemas accesibles a Internet
Esta página contiene una versión para la Web de la Directiva operativa vinculante 19-02
de la Agencia de Seguridad de Infraestructura y Seguridad Cibernética , " Requisitos de
Remediación de Vulnerabilidad para Sistemas Accesibles a Internet ".

Una directiva operativa vinculante es una dirección obligatoria para el gobierno federal,
el poder ejecutivo, los departamentos y las agencias con el propósito de salvaguardar la
información federal y los sistemas de información.

La Sección 3553 (b) (2) del título 44, Código de los EE. UU. , Autoriza al Secretario del
Departamento de Seguridad Nacional (DHS) a desarrollar y supervisar la implementación
de directivas operativas vinculantes.
Las agencias federales deben cumplir con las directivas desarrolladas por el DHS.

Estas directivas no se aplican a los "sistemas de seguridad nacional" definidos por ley ni a
ciertos sistemas operados por el Departamento de Defensa o la Comunidad de
Inteligencia.

Fondo
A medida que las agencias federales continúan expandiendo su presencia en Internet a
través de un mayor despliegue de sistemas accesibles a través de Internet, y operan sistemas
interconectados y complejos, es más crítico que nunca que las agencias federales remedien
rápidamente las vulnerabilidades que de otra manera podrían permitir que los actores
maliciosos comprometan las redes federales a través de explotaciones vulnerables. ,
sistemas orientados al exterior. Informes recientes del gobierno y socios de la industria
indican que el tiempo promedio entre el descubrimiento y la explotación de una
vulnerabilidad está disminuyendo a medida que los adversarios de hoy son más hábiles,
persistentes y capaces de explotar vulnerabilidades conocidas. El gobierno federal debe
continuar tomando medidas deliberadas para reducir la superficie de ataque general y
minimizar el riesgo de acceso no autorizado a los sistemas de información federales tan
pronto como sea posible.

Directiva operativa vinculante 15-01 : requisito de mitigación de vulnerabilidad crítica

para los departamentos federales civiles del poder ejecutivo y los sistemas accesibles a
Internet de las agencias 1requisitos establecidos para que las agencias federales revisen y
remedien las vulnerabilidades críticas en los sistemas con acceso a Internet identificados
por el Centro Nacional de Integración de Ciberseguridad y Comunicaciones (NCCIC)
dentro de los 30 días posteriores a la publicación de su informe semanal de higiene
cibernética. Desde su emisión en 2015, la anterior Dirección Nacional de Protección y
Programas y la actual Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA)
supervisaron una disminución sustancial en el número de vulnerabilidades críticas en 30
días calendario y una mejora significativa en la forma en que los equipos de la agencia se
identificaron y respondieron. estas vulnerabilidades de manera oportuna. Mediante la
implementación de acciones de remediación específicas, e iniciando un monitoreo continuo
e informes transparentes a través del servicio de higiene cibernética de CISA, 2BOD 15-01
ayudó a impulsar el progreso y mejorar la postura de seguridad del gobierno federal. Para
respaldar la implementación de la DBO, CISA aprovecha los resultados del escaneo de la
higiene cibernética para identificar tendencias intergubernamentales y limitaciones
persistentes, y trabaja con la Oficina de Administración y Presupuesto (OMB) para ayudar
a las agencias afectadas a superar los desafíos técnicos y de recursos que impiden la rápida
remediación de vulnerabilidades .

El gobierno federal debe continuar mejorando nuestra postura de seguridad, reducir los
riesgos que plantean los sistemas vulnerables accesibles a través de Internet y aprovechar el
éxito de la DBO 15-01 mediante el avance de los requisitos federales para la remediación
de vulnerabilidad alta y crítica para reducir aún más la superficie de ataque y el riesgo para
Agencia federal de sistemas de información.

Revocación
Esta directiva reemplaza la BOD 15-01, requisito de mitigación de vulnerabilidad crítica
para los Departamentos Federales del Poder Ejecutivo Civil y los Sistemas de Acceso a
Internet de Agencias (21 de mayo de 2015), que se revoca por la presente.

Acciones Requeridas
Para garantizar una reparación efectiva y oportuna de las vulnerabilidades críticas y altas
identificadas a través de la exploración de Cyber Hygiene, las agencias federales deben
completar las siguientes acciones:

1. Asegurar el acceso y verificar el alcance

a. Asegure el acceso de escaneo de Cyber Hygiene eliminando las direcciones IP de

origen de Cyber Hygiene de las listas de bloqueo.

segundo. Dentro de los cinco días hábiles posteriores al cambio, notifique a CISA
a ncats@hq.dhs.gov de cualquier modificación a las direcciones IP accesibles de
Internet de su agencia. Esto incluye las direcciones IP de acceso a Internet
adquiridas recientemente o las direcciones de acceso a Internet reasignadas que ya
no forman parte del inventario de activos de la agencia.

do. A pedido de CISA, envíe los acuerdos de higiene cibernética actualizados a

ncats@hq.dhs.gov.

2. Revisar y remediar las vulnerabilidades críticas y altas

a. Revise los informes de higiene cibernética emitidos por CISA y corrija las
vulnerabilidades críticas y altas detectadas en los sistemas de acceso a Internet de la
agencia de la siguiente manera:

o Las vulnerabilidades críticas deben remediarse dentro de los 15 días

calendario posteriores a la detección inicial.
o Las vulnerabilidades altas deben remediarse dentro de los 30 días
calendario posteriores a la detección inicial.

segundo. Si las vulnerabilidades no se corrigen dentro de los marcos de tiempo

especificados, CISA enviará un plan de remediación parcialmente poblado que
identifique todas las vulnerabilidades atrasadas dentro del alcance a los POC de la
agencia para su validación y población. Las agencias devolverán el plan de
remediación completado dentro de los tres días hábiles siguientes a la recepción
a fnr.bod@hq.dhs.gov . El destinatario del plan de remediación deberá completar
los siguientes campos en el plan de remediación:
 3. Restricciones de remediación de la vulnerabilidad
4. Acciones de mitigación provisionales para superar restricciones.
5. Fecha estimada de finalización para remediar la vulnerabilidad.

Seguimiento del progreso

CISA supervisará el progreso de la agencia federal e involucrará a los líderes superiores de
la agencia, como el Oficial Principal de Seguridad de la Información (CISO), el Director de
Información (CIO) y el Oficial Superior Responsable de Gestión de Riesgos (SAORM),
según sea necesario y apropiado, cuando la agencia haya No cumplió con los plazos de
acción requeridos especificados anteriormente.

CISA también realizará un seguimiento de la corrección de vulnerabilidades críticas y altas

mediante el escaneo persistente de la higiene cibernética y validará el cumplimiento de los
requisitos de BOD a través de estos informes.

Acciones CISA
 CISA proporcionará informes regulares a las agencias federales sobre los resultados
del análisis y el estado actual de la cibernética, y un informe del cuadro de mando
de la empresa federal al liderazgo de la agencia.

 CISA proporcionará plantillas de planes de remediación estándar para que las

agencias federales completen si los esfuerzos de remediación superan los plazos
requeridos.

 CISA involucrará a los POC de la agencia para discutir el estado de la agencia y

proporcionar experiencia técnica y orientación para la remediación de
vulnerabilidades específicas, según sea requerido y apropiado.

 CISA involucrará a los CIO, CISO y SAORM de la Agencia durante el proceso de

escalación, si es necesario.

 CISA proporcionará informes mensuales de higiene cibernética a la OMB para

identificar tendencias interinstitucionales, desafíos persistentes y facilitar acciones y
soluciones potenciales relacionadas con la política y / o el presupuesto. El informe
también garantizará la alineación con otras iniciativas de supervisión de
ciberseguridad lideradas por OMB.

Preguntas frecuentes

 ¿Cuándo comienzan los “relojes” de 15 y 30 días para la remediación?

 ¿Cuándo comenzará CISA a incluir vulnerabilidades de alta severidad en los
informes de las agencias?
  Pero, ¿no se miden las explotaciones de hoy en día a los dispositivos con acceso a
Internet en minutos y horas, no semanas?
 ¿Por qué BOD 19-02 trata a todos los dispositivos con acceso a Internet por igual y
considera que todas las vulnerabilidades críticas y altas son lo mismo?
 ¿Por qué CISA requiere la devolución de los planes de remediación completados
dentro de los tres días hábiles?
 ¿Qué pasa si hay una justificación válida para retrasar la remediación?
 ¿Cuál es el proceso para resolver los falsos positivos?
 ¿Qué versión de Common Vulnerability Scoring System (CVSS) utiliza CISA?
 ¿Dónde puedo encontrar las direcciones IP de origen de Cyber Hygiene para que mi
agencia no las agregue a las listas de bloqueo?

¿Cuándo comienzan los “relojes” de 15 y 30 días para la remediación?

BOD 19-02 comienza a rastrear las vulnerabilidades desde el punto de detección inicial, en
lugar de la fecha del primer informe a las agencias. Para facilitar el seguimiento, la 'fecha
de detección' de cada vulnerabilidad se incluye en el adjunto de cases.csv bajo el apéndice
G dentro de los informes de la agencia sobre cibernética.

La evidencia empírica del gobierno y la industria continúa demostrando la necesidad de

remediar las vulnerabilidades significativas más cerca del momento de la detección. CISA
alienta a las agencias a usar las capacidades de escaneo interno para detectar
vulnerabilidades antes de la entrega de los informes semanales de Cyber Hygiene. CISA
está explorando el envío de alertas a agencias a medida que se descubren vulnerabilidades
para ayudar a cerrar la brecha entre la detección y la notificación.

¿Cuándo comenzará CISA a incluir vulnerabilidades de alta severidad

en los informes de las agencias?

En preparación para la DBO 19-02, el Cuadro de Mando de Exposición Cibernética Federal

(FCES) para el liderazgo de la agencia comenzó a mostrar altos conteos de vulnerabilidad,
además del recuento de vulnerabilidad crítica, en marzo de 2019. CISA continuará
explorando e informando sobre las vulnerabilidades de todas las severidades (de bajo a
crítico) e incluya esta información en los informes semanales de higiene cibernética de las
agencias.

Pero, ¿no se miden las explotaciones de hoy en día a los dispositivos

con acceso a Internet en minutos y horas, no semanas?

Las agencias son responsables de administrar el riesgo de sus redes y deben remediar las
vulnerabilidades de los sistemas críticos lo más rápido posible. Los requisitos de 15 días y
30 días en el BOD son las agencias más recientes que deben remediar todas las
vulnerabilidades críticas y altas de los dispositivos con acceso a Internet.

¿Por qué BOD 19-02 trata a todos los dispositivos con acceso a Internet
por igual y considera que todas las vulnerabilidades críticas y altas son
lo mismo?

Las agencias son responsables de gestionar el riesgo de ciberseguridad en sus

entornos. CISA alienta a las agencias a aplicar parámetros, reglas y puntos de decisión de
políticas internas adicionales que pueden afectar los plazos aceptables para remediar tipos
específicos de vulnerabilidades o vulnerabilidades en ciertos tipos de dispositivos. CISA
recomienda configurar la administración de parches y los programas de administración de
vulnerabilidades para superar los requisitos de BOD 19-02 y priorizar ciertas
vulnerabilidades y dispositivos sobre otras como parte de las operaciones de seguridad
normales.

¿Por qué CISA requiere la devolución de los planes de remediación

completados dentro de los tres días hábiles?

CISA espera que las agencias comiencen a formular estrategias de remediación mucho
antes de los plazos de 15 y 30 días, para acelerar la remediación de vulnerabilidades y
permitir la integración fácil de la información de remediación en los planes para enviarla a
CISA una vez que se superen las bases de referencia. CISA está compensando el corto
tiempo de entrega al proporcionar un plan de remediación en su mayoría previamente
poblado para que lo complete el personal de la agencia. Las agencias solo necesitan
completar los campos de datos para los pasos de mitigación, restricciones y fechas de
finalización estimadas. Esto asegurará que las agencias informen las vulnerabilidades
correctas dentro de los planes de remediación, especialmente antes de los cambios
introducidos por los informes de Cyber Hygiene de la próxima semana.

¿Qué pasa si hay una justificación válida para retrasar la remediación?

Documente la justificación de la remediación demorada en el plan de remediación

proporcionado por CISA (dentro de la columna de datos 'restricciones de
remediación'). CISA entiende el carácter distintivo de las redes de agencias y las
dependencias involucradas en la remediación de la vulnerabilidad y está dispuesta a trabajar
con las agencias caso por caso cuando la remediación no es factible dentro de los plazos
establecidos. Dentro del plan de remediación, sea lo más descriptivo posible al detallar la
justificación de la demora.

¿Cuál es el proceso para resolver los falsos positivos?

Para informar sobre una vulnerabilidad identificada como Ciber Higiene como un falso
positivo, envíe un correo electrónico a través del POC de su agencia a ncats@hq.dhs.gov (y
cc: fnr.bod@hq.dhs.gov ) con análisis y evidencia de respaldo para la determinación (por
ejemplo, una captura de pantalla de la dirección IP y el sistema operativo). CISA revisará
su presentación y realizará el análisis necesario para validar la afirmación. Esto no incluirá
la explotación de una vulnerabilidad, pero puede incluir el envío activo de paquetes al host
en cuestión. CISA se reserva el derecho de afirmar que los hallazgos no son falsos
positivos, pero si el análisis de CISA parece confirmar la afirmación de su agencia, la
vulnerabilidad se marcará como un falso positivo.

Utilice el formulario de afirmación de falsos positivos adjunto en su informe de higiene

cibernética para organizar su envío. El archivo adjunto "cyber-safety-false-positive-
assertion-form.pdf" se encuentra en el Apéndice G, y al hacer clic en el icono del clip para
el archivo. El estado de falso positivo expira 365 días después de la designación por CISA
y se requiere que las agencias vuelvan a presentar pruebas anualmente para confirmar que
la vulnerabilidad sigue siendo un falso positivo. Las vulnerabilidades marcadas como
"falsos positivos" dejarán de aparecer en el cuerpo principal del informe durante un año y,
en su lugar, se informarán en el Apéndice E: Hallazgos falsos positivos , junto con la fecha
de caducidad del falso positivo.

Nota: la aceptación por parte de CISA de las afirmaciones de falsos positivos no es una
confirmación de que un hallazgo sea de hecho un falso positivo.

¿Qué versión de Common Vulnerability Scoring System (CVSS) utiliza

CISA?

Cyber Hygiene aprovecha CVSS versión 2, que es un sistema de puntuación de

vulnerabilidades diseñado para proporcionar un método universalmente abierto y
estandarizado para calificar vulnerabilidades de TI. Las agencias, donde sean capaces y
prácticas, deben aplicar la calificación ambiental a los resultados de la higiene cibernética
como parte de la identificación de vulnerabilidades críticas y altas y ajustar las
puntuaciones CVSS básicas para que sean significativas para sus arquitecturas, misiones y
activos.

¿Dónde puedo encontrar las direcciones IP de origen de Cyber Hygiene

para que mi agencia no las agregue a las listas de bloqueo?

El sitio web que contiene las direcciones IP de origen de Cyber Hygiene se incluye en la
sección de Metodología de los informes semanales de Cyber Hygiene de las agencias y se
puede proporcionar a las agencias si lo solicita a ncats@hq.dhs.gov .

1. La Directiva operativa vinculante DHS 15-01 fue emitida el 21 de mayo de 2015 .

2. Cyber Hygiene aprovecha el Sistema de puntuación de vulnerabilidad común

(CVSS), que es un sistema de puntuación de vulnerabilidad diseñado para
 proporcionar un método universalmente abierto y estandarizado para calificar las
vulnerabilidades de TI. CVSS ayuda a las organizaciones a priorizar las estrategias
de gestión de vulnerabilidades al proporcionar una puntuación representativa de las
propiedades básicas, temporales y ambientales de una vulnerabilidad. ↩

Volver a la cima