安全漏洞管理年倡议已经为美国政府的漏洞管理态势带来切实改善。
根据美国网络安全与基础设施安全局(CISA)发布的数据分析报告,美国民政部门在遵循基础网络安全实践的各项相关指标方面,表现全面优于私营企业和各大关键基础设施运营商。
CISA漏洞管理副主任Boyden Rohner表示,
“对于美国民政部门而言,对关键安全漏洞的修复周期始终保持在15天以内,高危漏洞的修复时间最多为30天。但在民政部门之外,特别是各关键基础设施层面,相应的修复周期总体上更长。”
在本次CISA第三届年度网络安全峰会上,Rohner通过从CISA服务订阅实体收集到的数据(包括事件响应与漏洞评估信息),发布了对于2020年安全态势的洞见与预测。
CISA和白宫管理与预算办公室最近联合完成了面向联邦政府机构的指导性意见稿,要求发布漏洞披露计划,鼓励安全研究员们向政府提交漏洞。各级机构还在着手构建一套平台,用于发布对各项重要安全漏洞的预期修复时间与责任划分。但在另一方面,美国本土的大部分关键基础设施(根据政府问责办公室的评估,占比高达85%)归属于私营企业。
Rohner鼓励各组织在风险管理层面,着力针对已知漏洞采取便捷易行的应对措施。
但根据她的介绍,坏消息是“高达33%的关键基础设施中仍存在直接暴露在互联网之下的潜在风险服务,更有52%的关键基础设施中包含已知安全漏洞。”而好消息是,“我们发现能够实际利用的安全漏洞数量有所减少,这意味着各治理实体正有效对漏洞施以管理及整治。”
在上周三公布结果后,CISA现已确定将介入私营企业中的特定领域,希望在漏洞管理方面发挥更大的作用。CISA方面已经获得MITRE公司负责维护的《通用漏洞披露》计划的批准,将在工业控制系统与医疗设备领域担任CVE漏洞编号的主管机构(顶级机构)。
MITRE公司CVE项目委员会成员兼首席系统工程师Chris Levendis表示,“在被指定为顶级Root机构之后,CISA方面将负责快速识别并解决相关特定环境下的安全问题。这项战略与CVE项目的联合发展思路相统一,旨在吸引更多可持续且由利益相关方驱动的CVE项目扩展力量。”
CISA将首先为包括西门子以及江森自控在内的七家私营实体提供漏洞识别支持,并持续监督其安全治理工作。
CISA网络安全副主任Bryan Ware表示,“鼓励公开透明地披露工业控制系统与医疗设备安全漏洞,已经成为CISA的一项关键任务。此次扩展将鼓励更多供应商参与到CVE项目当中,随着利益相关方参与度的不断提升,CISA也将更好地为各私营实体提供支持。”
但发现漏洞与实际修复漏洞仍然有所区别。Rohner强调,各实体不应过度依赖监管介入而放弃对于基础安全需求的主动关注,这一点在远程工作量日益增加的当下显得尤为重要。
她总结道,“在疫情爆发之前,基础安全问题就已经困扰着我们。现在,解决相关问题已经成为迫在眉睫的核心任务。”
原文链接:
https://www.nextgov.com/cybersecurity/2020/09/cisa-data-shows-federal-civilian-agencies-faster-industry-patching/168585/
声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
