- A CISA retirou dez Diretivas de Emergência, citando implementação bem-sucedida ou redundância sob o BOD 22-01
- BOD 22-01 exige que as agências corrijam vulnerabilidades exploradas conhecidas (KEVs) dentro de prazos rígidos
- Isto marca a maior desativação simultânea de ED, reforçando os princípios Secure by Design da CISA
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) retirou dez Diretivas de Emergência (DE) emitidas entre 2019 e 2024, afirmando que alcançaram seu propósito e não são mais necessárias.
Num breve anúncio publicado no seu website, a CISA afirmou que os ED foram implementados com sucesso ou estão agora abrangidos pela Directiva Operacional Vinculativa (BOD) 22-01, tornando-os redundantes.
“Quando o cenário de ameaças assim o exige, a CISA exige uma ação rápida e decisiva por parte das agências do Poder Executivo Civil Federal (FCEB) e continua a emitir diretivas conforme necessário para impulsionar a redução oportuna do risco cibernético em todas as empresas federais”, disse o Diretor Interino da CISA, Madhu Gottumukkala.
Princípios de segurança por design
BOD 22-1: Redução do risco significativo de vulnerabilidades exploradas conhecidas é uma diretiva federal obrigatória de segurança cibernética emitida pela primeira vez em 3 de novembro de 2021. Ela exige que as Agências Federais do Poder Executivo Civil (FCEB) concentrem seus esforços de gerenciamento de vulnerabilidades em uma lista selecionada de vulnerabilidades exploradas conhecidas (KEVs) que representam um risco significativo. A diretiva estabelece um catálogo gerenciado pela CISA dessas falhas ativamente exploradas e estabelece prazos rigorosos para remediação, obrigando as agências a corrigi-las ou de outra forma mitigá-las dentro de prazos especificados.
Esta directiva vinculativa retirou assim as seguintes directivas de emergência:
DE 19-01: Mitigar Infraestrutura DNS Adulteração
ED 20-02: Mitigar vulnerabilidades do Windows do patch de terça-feira de janeiro de 2020
ED 20-03: Mitigar a vulnerabilidade do servidor DNS do Windows a partir do patch de terça-feira de julho de 2020
ED 20-04: Mitigar a vulnerabilidade de elevação de privilégio do Netlogon da atualização de terça-feira de agosto de 2020
ED 21-01: Mitigar o comprometimento do código SolarWinds Orion
DE 21-02: Mitigar Microsoft Vulnerabilidades de produtos locais do Exchange
ED 21-03: Mitigar vulnerabilidades de produtos seguros do Pulse Connect
ED 21-04: Mitigar a vulnerabilidade do serviço de spooler de impressão do Windows
ED 22-03: Mitigar vulnerabilidades do VMware
ED 24-02: Mitigando o risco significativo do compromisso entre o Estado-nação e o sistema de e-mail corporativo da Microsoft
A CISA também disse que este é o maior número de EDs aposentados ao mesmo tempo.
“O encerramento destas dez Diretivas de Emergência reflete o compromisso da CISA com a colaboração operacional em toda a empresa federal. Olhando para o futuro, a CISA continua a promover os princípios Secure by Design – priorizando transparência, configurabilidade e interoperabilidade – para que cada organização possa defender melhor os seus diversos ambientes”, explica Gottumukkala.
Através BipandoComputador
O melhor antivírus para todos os orçamentos
Siga o TechRadar no Google Notícias e adicione-nos como fonte preferencial para receber notícias, análises e opiniões de especialistas em seus feeds. Certifique-se de clicar no botão Seguir!
E é claro que você também pode Siga o TechRadar no TikTok para notícias, análises, unboxings em formato de vídeo e receba atualizações regulares nossas em WhatsApp também.