本周,美国网络安全和基础设施安全局(CISA)宣布了一项紧急指令立即为易受远程代码执行或权限升级到根漏洞攻击的五种VMware产品部署补丁。这些漏洞影响了VMware Workspace ONE Access (Access)、VMware Identity Manager (vIDM)、VMware vRealize Automation (vRA)、VMware Cloud Foundation和vRealize Suite Lifecycle Manager。

补丁可用所以,是的,你应该打补丁,昨天就打!

这是中钢协成立三年来发布的第10个紧急指令。我们期望CISA和其他政府机构继续对脆弱性和补丁管理进行权衡,因此政府和私营部门的组织都应该做好回应的准备。

使用指令优先处理补丁

应该认真对待CISA的指令吗?是的。企业需要坚持吗?如果你与美国联邦政府有业务往来或为其提供服务,那么答案仍然是肯定的。如果您的组织没有做到这两点,那么您就处于合规的灰色地带。

虽然CISA在国土安全部的保护伞下仍处于起步阶段,但其追究机构责任甚至惩罚机构的权威仍有待观察。这同样适用于这些机构下的订约公司。一个声明由CISA主管Jen Easterly在Log4j漏洞事件期间所做的,可能有助于表明灰色区域是浅色调还是深色调:

“我们已将此漏洞添加到我们已知的利用漏洞目录中,这迫使联邦民事机构-并向非联邦合作伙伴发出信号-紧急修补或修复此漏洞。”

在私营部门,联邦贸易委员会(FTC)等管理机构已经对私营部门公司进行了处罚,或起诉它们在数据泄露中扮演的角色。例如,在2017年数据泄露后,Equifax与联邦贸易委员会和其他监管机构达成了5.75亿美元的和解。这些操作通常发生在违规之后,如Log4j所示;尽管联邦贸易委员会向私营企业发出了警告,但它们还没有采取法律行动。目前,美国还没有先例惩罚公共、私人或联邦实体无法为发现和公布的漏洞应用补丁。

将这些CISA指令视为额外的漏洞情报,以帮助确定补丁的优先级。您可能已经根据重要性、可利用性、漏洞的存在等进行了优先级排序。CISA指令指示您应该给予覆盖的漏洞最高优先级。

从尼古丁补丁到软件补丁

也许我们应该把CISA看作告诉我们戒烟几十年的卫生局局长。他们有研究、证据和专业知识来证明吸烟会损害你的肺部并缩短寿命。他们发表论文,在包装上张贴警告,并发起公众教育运动——但他们没有权力禁止或管制吸烟。许多吸烟者听到但忽视了这些建议,因此遭受了后果;一些幸存者把尼古丁贴在肩膀上。

忽视我们CISA专家的建议可能会导致让您的组织喘不过气来的漏洞。正如州和联邦政府为消费者制定了关于吸烟的立法,我们应该期待围绕脆弱性的行业也能制定同样的立法。我们不得不等待,看看消费者诉讼是否会发挥作用。

不要让DevSecRegOps成为下一件事

关于补丁的法规和立法无疑会给已经不堪重负的IT操作带来负担。如果政府机构成功地实现了漏洞需求,监管检查可能会成为DevSecOps管道中的另一个权宜之计。

尽管政府机构的意图是好的,但是为所有组织引入覆盖的IT需求并不符合所有组织的环境、补偿控制和风险偏好。

让你的PR和政府关系团队做好准备,向你的民选官员传达补丁授权所面临的挑战。但不要助长问题,给立法者提供弹药。实践良好的网络卫生并保持补丁更新,可以使您的组织抵御由攻击引起的数据暴露和可用性问题。

目前,CISA指令应该意味着事件声明

目前中钢协发布紧急指令的比率很低,应该引起你们安全领导层的立即注意。制定事件响应程序,就像检测到妥协指标一样。分析影响,控制易受攻击的资产,根除威胁(通常通过补丁),然后进行测试和恢复。同样重要的是,进行经验教训练习并跟踪纠正措施,正如您所希望的那样Log4j

当我们继续看到一个历史上大量的漏洞在美国,CISA可能会增加指令的频率,在这一点上,你可能需要重新考虑。您管辖范围内或以外的其他政府机构也可能发布类似的指令。监控这些情况,但要让您的合规和法律团队参与进来,以便您了解指令、不合规的后果以及有关指令、法规和立法的最佳实践。

在事件响应和关键漏洞响应计划中记录合规和法律团队的程序和适当的联系信息。联系重要的第三方供应商,确保他们也遵守CISA指令。