La gestion des menaces de cybersécurité est un travail à temps plein, et la plupart des spécialistes de la cybersécurité s'appuient sur le partage des connaissances entre experts du domaine pour lutter contre ces menaces. La base de données Common Vulnerabilities and Exposures (CVE) fournit un point de départ pour ce type de connaissances, en centralisant un index des vulnérabilités de sécurité connues.
Le programme CVE a récemment rejoint la Cybersecurity and Infrastructure Security Agency (CISA), qui alimente ensuite de nouvelles directives pour les agences fédérales et les fournisseurs de services cloud (CSP). L'une de ces directives, la directive opérationnelle contraignante 22-01, établit cette nouvelle liste et plusieurs autres exigences pour les organisations réglementées et se répercute sur d'autres exigences de sécurité, notamment FedRAMP.
Qu'est-ce que CVE et comment est-il géré ?
De manière générale, CVE est un référentiel central des vulnérabilités de cybersécurité connues. Ces CVE concernent généralement des éléments logiciels ou des infrastructures logicielles spécifiques, notamment des éléments tels que la vulnérabilité log4shell, les exploits Adobe ColdFusion et les problèmes liés aux services du serveur Apache. Chaque fois qu'une vulnérabilité est découverte et signalée, un numéro et une description lui sont attribués par le programme de gouvernance CVE afin d'aider les organisations à disposer d'une référence partagée sous laquelle collecter des connaissances.
Si vous connaissez un peu la sécurité ou la technologie, vous pouvez probablement deviner que les CVE ne sont pas rares : il y en a facilement des milliers qui apparaissent chaque année. Ces numéros sont attribués par des autorités de numérotation CVE (CNA) représentant des acteurs importants du secteur, les hiérarchies de CNA prenant les décisions concernant l'attribution des numéros.
En septembre 2020, le programme CVE a accordé à la CISA le statut de CNA de premier plan par rapport à plusieurs organisations sous-CNA spécifiques, notamment CERT@VFE, Siemens et Robert Bosch GmbH. Cela a été considéré comme un avantage global pour le programme, impliquant une agence gouvernementale pour les réponses de base aux vulnérabilités critiques qui peuvent affecter l'ensemble du pays.
Qu'est-ce que la directive opérationnelle contraignante 22-01 ?
Les directives opérationnelles contraignantes (Binding Operational Directives, ou BOD) sont des directives obligatoires publiées par la CISA qui affectent les agences gouvernementales et les sous-traitants concernés, y compris les fournisseurs de services gérés (MSP) ou les CSP. En règle générale, ces directives sont des extensions ou des ajustements des lois existantes pour aider ces organisations à mieux répondre aux menaces de sécurité émergentes et modernes.
Le 3 novembre 2021, la CISA a publié le BOD 22-01, «Réduire le risque important de vulnérabilités connues exploitées,« pour résoudre le problème récurrent des exploits existants. Selon le BOD, sa mission est de mobiliser une connaissance infinie des vulnérabilités de sécurité dans le cadre des efforts de cybersécurité du gouvernement pour « remédier de manière agressive aux vulnérabilités exploitées connues afin de protéger les systèmes d'information fédéraux et de réduire les cyberincidents ».
Le BDO fournit de nombreuses mesures obligatoires pour les logiciels et le matériel des systèmes d'information fédéraux dans les locaux de l'agence ou hébergés par des sous-traitants tiers. Il s'agit notamment de :
- Correction des vulnérabilités connues : Les organisations doivent établir et mettre en œuvre un processus de correction continue des vulnérabilités connues dans cette base de données. Ces vulnérabilités étant considérées comme pouvant entraîner des risques importants, les organisations régies doivent démontrer leur conformité.
- Calendrier de remise en état:Les organisations doivent corriger les vulnérabilités selon un calendrier défini par la CISA. Pour les expositions présentant un risque important et auxquelles un CVE a été attribué avant 2021, le délai de correction est de six mois. Pour les autres vulnérabilités, le délai est de deux semaines.
- État de la remédiation du rapport : Les organisations doivent migrer vers le tableau de bord de diagnostic et d'atténuation continus (CDM) pour les rapports de correction, fournissant des mises à jour trimestrielles de leur processus de migration jusqu'à son achèvement.
- Établir l’infrastructure du BOD : Ces organisations doivent :
- Définir et mettre en œuvre les actions nécessaires à la mise en œuvre des directives du BOD
- Attribuer rôles et responsabilités de tout poste nécessaire à l'exécution de ces directives
- Établir procédures de validation et d’application pour garantir le respect de ces directives.
- Suivi et rapport respect de ces directives avec des politiques clairement définies
En outre, la CISA elle-même prendra des mesures spécifiques :
- Base de données CVE : La CISA est chargée de développer un catalogue géré par la CISA des vulnérabilités connues. Cette base de données, appelée Catalogue des vulnérabilités connues exploitées (KEV), diffère du CVE et des bases de données associées mais n'inclut pas les classements CVS Scoring (CVSS).
- Seuils : La CISA publiera les conditions et les seuils d’inclusion et de numérotation des vulnérabilités.
- Mises à jour supplémentaires : La CISA fournira des directives supplémentaires pour les modifications apportées à ce BOD en fonction des changements dans les types et la gravité des vulnérabilités connues.
- Rapports annuels:La CISA fournira un rapport annuel sur l'état d'avancement au secrétaire du département de la sécurité intérieure (DHS), au directeur du Bureau de la gestion et du budget (OMB) et au directeur national de la cybersécurité.
Le catalogue KEV n'inclut pas le score CVSS car, selon la documentation CISA, ces classements ne reflètent pas avec précision la fréquence à laquelle les vulnérabilités « inférieures » (théoriquement, celles présentant le moins de risques) sont en réalité plus dangereuses en raison du manque de diligence ou de l'enchaînement d'exploits.
Comment ce BOD affecte-t-il FedRAMP ?
Le FedRAMP Le programme, en consultation avec le Joint Authorization Board (JAB) et la CISA, a décidé de mettre en œuvre les exigences des CSP régies par le cadre. Dans une publication publiée le 8 mars 2022, le programme a annoncé que les CSP devraient satisfaire aux exigences du BOD.
FedRAMP a publié une mise à jour Modèle de plan d'action et de jalons (POA&M). A Rapport POA&M Il s'agit d'un document officiel dans lequel un CSP décrit les changements nécessaires pour répondre aux exigences de conformité, le plan qu'il entend mettre en œuvre et le calendrier de cette mise en œuvre.
Ce nouveau modèle comprend des champs permettant à votre organisation d'identifier et de consigner toutes les vulnérabilités pertinentes et connues du KEV affectant vos systèmes et le plan de correction. À l'avenir, les CSP autorisés devront surveiller les modifications apportées au KEV pour garantir la conformité future.
Gérez l'évolution des rapports FedRAMP avec Continuum GRC
De nouvelles exigences et attentes nécessitent de nouveaux processus et une nouvelle documentation. Si votre entreprise gère Autorisation FedRAMP, Vous connaissez déjà le nom du jeu : montrer au gouvernement et à votre 3PAO des preuves documentées de conformité. Cette nouvelle initiative visant à gérer les menaces en cours n’est qu’une étape supplémentaire dans ce processus.
Si vous êtes un CSP sous la juridiction FedRAMP ou que vous cherchez à obtenir une autorisation, il est temps de rationaliser vos processus de conformité avec Continuum GRC. Nous sommes la seule solution autorisée par FedRAMP au monde et nous pouvons prendre en charge vos processus réglementaires et les automatiser, les rationaliser et les simplifier année après année.
Connectez-vous à Continuum GRC pour en savoir plus sur l'autorisation FedRAMP
Appelez Continuum GRC au 1-888-896-6207 ou remplissez le formulaire ci-dessous.
Articles similaires