أمرت الوكالات الفيدرالية الأمريكية بتصحيح مئات العيوب التي تم استغلالها فعليًا
نشرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) كتالوجًا للثغرات الأمنية، بما في ذلك من آبل وسيسكو ومايكروسوفت وقوقل، والتي عرفت مآثر ويتم استغلالها بشكل نشط من قبل الجهات الفاعلة السيبرانية الضارة، بالإضافة إلى مطالبة الوكالات الفيدرالية بتحديد الأولويات تطبيق تصحيحات لهذه الثغرات الأمنية ضمن أطر زمنية “صارمة”.
وقالت الوكالة في توجيه تنفيذي ملزم (BOD) صدر يوم الأربعاء: “تشكل نقاط الضعف هذه مخاطر كبيرة على الوكالات والمؤسسة الفيدرالية. ومن الضروري معالجة نقاط الضعف المعروفة والمستغلة بقوة لحماية أنظمة المعلومات الفيدرالية وتقليل الحوادث السيبرانية.”
وتم تحديد حوالي 176 نقطة ضعف بين عامي 2017 و2020، وشق 100 عيب من عام 2021 طريقها إلى القائمة الأولية، والتي من المتوقع أن يتم تحديثها مع الثغرات الأمنية الإضافية المستغلة بشكل نشط عندما تصبح معروفة شريطة أن يتم تخصيصها لنقاط الضعف والتعرض المشتركة (CVE) ولديها إجراءات علاجية واضحة.
يفرض التوجيه الملزم أن الثغرات الأمنية التي تم اكتشافها في عام 2021 – تلك التي تم تتبعها على أنها CVE-2021-XXXXX – ستتم معالجتها بحلول 17 نوفمبر 2021، مع تحديد موعد نهائي لإصلاح الثغرات الأمنية المتبقية في 3 مايو 2022. وعلى الرغم من أن مجلس الإدارة يستهدف بشكل أساسي الوكالات المدنية الفيدرالية، إلا أن (CISA) توصي الشركات الخاصة وكيانات الدولة بمراجعة الكتالوج ومعالجة نقاط الضعف لتعزيز موقفها الأمني والمرونة.
ترى الاستراتيجية الجديدة أيضًا أن الوكالة تبتعد عن معالجة نقاط الضعف القائمة على الخطورة إلى تلك التي تشكل خطرًا كبيرًا ويتم إساءة استخدامها في تدخلات العالم الحقيقي في ضوء حقيقة أن الخصوم لا يعتمدون دائمًا بالضرورة على نقاط الضعف “الحرجة” لتحقيقها. أهدافهم، مع بعض الهجمات الأكثر انتشارًا وتدميرًا والتي تصنف نقاط ضعف متعددة على أنها “عالية” أو “متوسطة” أو حتى “منخفضة”.
هذا التوجيه يفعل شيئين. قال تيم إرلين، نائب الرئيس للاستراتيجية في شركة تريبوير (Tripwire): “أولاً، يضع قائمة متفق عليها من نقاط الضعف التي يتم استغلالها بشكل فعال. ثانيًا، يوفر تواريخ استحقاق لمعالجة نقاط الضعف تلك. من خلال توفير قائمة مشتركة من نقاط الضعف التي يجب استهدافها من أجل المعالجة، تعمل (CISA) بشكل فعال على تسوية ساحة اللعب للوكالات من حيث تحديد الأولويات. لم يعد الأمر متروكًا لكل وكالة على حدة لتقرير نقاط الضعف التي تمثل الأولوية القصوى للتصحيح.
المصدر: (thehackernews.com)
