Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã ban hành Chỉ thị hoạt động ràng buộc (BOD) mới chỉ đạo các cơ quan liên bang trong nước theo dõi tài sản và lỗ hổng bảo mật trên mạng của họ sáu tháng kể từ bây giờ.
Để đạt được mục tiêu đó, các doanh nghiệp thuộc Chi nhánh Điều hành Dân sự Liên bang (FCEB) đã được giao nhiệm vụ thực hiện hai nhóm hoạt động: Phát hiện tài sản và thống kê lỗ hổng, được coi là những bước thiết yếu để đạt được “tầm nhìn rõ ràng hơn về các rủi ro phải đối mặt với các mạng dân sự liên bang.”
Điều này liên quan đến việc thực hiện khám phá tài sản tự động bảy ngày một lần và bắt đầu thống kê lỗ hổng trên các tài sản được phát hiện đó cứ 14 ngày một lần trước ngày 3 tháng 4 năm 2023, ngoài ra còn có khả năng thực hiện việc này theo yêu cầu trong vòng 72 giờ kể từ khi nhận được yêu cầu từ CISA.
Các nghĩa vụ liệt kê lỗ hổng bảo mật cơ sở tương tự cũng đã được áp dụng cho các thiết bị Android và iOS cũng như các thiết bị khác nằm ngoài mạng tại chỗ của đại lý.
“Làm như vậy sẽ đảm bảo các hoạt động quản lý tài sản và phát hiện lỗ hổng bảo mật sẽ tăng cường khả năng phục hồi không gian mạng của tổ chức họ”, CISA cho biết, đồng thời cho biết thêm nó sẽ giúp thu hẹp các lỗ hổng trong bề mặt tấn công.
Mục tiêu của HĐQT 23-01 là duy trì một bản kiểm kê cập nhật các tài sản được nối mạng, xác định các lỗ hổng phần mềm, theo dõi mức độ bao phủ tài sản của cơ quan và các chữ ký lỗ hổng và chia sẻ thông tin đó cho CISA theo các khoảng thời gian xác định.
“Các tác nhân đe dọa tiếp tục nhắm mục tiêu vào cơ sở hạ tầng quan trọng của quốc gia chúng ta và mạng lưới chính phủ để khai thác các điểm yếu trong các tài sản không xác định, không được bảo vệ hoặc chưa được bảo vệ”, Giám đốc CISA Jen Easterly cho biết trong một tuyên bố. “Biết những gì trên mạng của bạn là bước đầu tiên để bất kỳ tổ chức nào giảm thiểu rủi ro.”
Mặc dù chỉ thị này là nhiệm vụ dành cho các cơ quan dân sự liên bang, nhưng CISA cũng đang thúc giục tất cả các doanh nghiệp, bao gồm cả các tổ chức tư nhân và chính quyền tiểu bang, xem xét và thực hiện các chương trình quản lý tài sản và lỗ hổng nghiêm ngặt.
