CISA verdonnert US-Behörden zu besserer Netzwerkkontrolle
Die US-Cybersicherheitsbehörde CISA hat eine verbindliche Direktive erlassen. Nach der müssen alle Bundesbehörden ihre Netzwerke regelmäßig untersuchen.
(Bild: asharkyu/Shutterstock.com)
Die US-Cybersicherheitsbehörde CISA will bessere Netzwerksicherheit in den Bundesbehörden des Landes erreichen. Dazu hat sie eine Direktive erlassen, aufgrund der die US-Bundesbehörden in einem halben Jahr regelmäßig ihre Netzwerke inventarisieren und auf Schwachstellen der angeschlossenen Systeme untersuchen müssen.
Die CISA erläutert, dass die fortlaufende und umfängliche Geräteübersicht eine Grundvoraussetzung für das Risikomanagement einer jeden Organisation sei. Ziel der Direktive sei es, eine bessere Übersicht über Geräte in den Behördennetzen sowie der zugehörigen Schwachstellen zu erhalten. Die Anordnung gilt für Systeme der zivilen Bundesbehörden und der Bundesregierung.
Konzentration auf wesentliche Kernpunkte
Man konzentriere auf die Bereiche Geräteerkennung und Verwundbarkeitsanalyse, heißt es weiter. Dabei schreibt die CISA keine konkreten Werkzeuge oder Anwendungen vor. Behörden können jedoch Hilfe bei der CISA anfordern. Die CISA biete dann technische und programmatische Unterstützung zum Schließen von Lücken, Optimieren des Scans und schließlich bei der Umsetzung der in der Richtlinie geforderten Maßnahmen.
Die Inventur von Geräte und Schwachstellen könne auf unterschiedlichen Wegen erfolgen, etwa durch aktives Scannen, passives Überwachen von Datenströmen, Abfragen von Protokollen oder – im Falle von Software-definierten Infrastrukturen – durch API-Abfragen. Die bestehenden CDM-Implementierungen (Continuous Diagnostics and Mitigation) zahlreicher Behörden nutzten bereits derartige Mittel, um die angestrebte Transparenz zu erreichen.
Die Sichtbarkeit von Geräten ist dabei kein Selbstzweck, sondern nötig für Updates, Konfigurationsmanagement und andere Sicherheits- und Lebenszyklusmanagement-Aktivitäten zur Reduktion des Cyber-Sicherheitsrisikos. Außerdem sei sie Grundlage für dringend auszuführende Aktionen wie die Behebung von Schwachstellen.
Anforderungskatalog
Die Anforderungen an die weisungsgebundenen Behörden hat die Cyber-Sicherheitsbehörde CISA in ihrer Direktive aufgelistet. Bis zum 3. April 2023 müssen alle Behörden auf allen Bundes-Informationssystemen bestimmte Aktionen durchgeführt beziehungsweise bestimmte Fähigkeiten entwickelt haben.
Sie sollen alle sieben Tage einen automatischen Geräte-Scan durchführen. Dies könne mit vielerlei Methoden und Techniken erfolgen, mindestens muss die Analyse jedoch den vollständigen IPv4-Raum der Behörde abdecken. Initiieren einer Verwundbarkeitsprüfung über alle erkannten Geräte, inklusive mobiler Geräte wie Laptops ist alle 14 Tage fällig. Wo immer möglich, sollen die Scans auf Schwachstellen auf den Geräten mit privilegierten Zugängen auf den Servern, Workstations, Desktops, Laptops, Routern, Switches, Firewalls und so weiter erfolgen.
Die Signaturen des Schwachstellenscanners dürfen zum Scanzeitpunkt dabei nicht älter als 24 Stunden sein. Wo immer die Fähigkeiten vorhanden sind, sollen zudem auf die gleiche Art Schwachstellen auf Android- und iOS- und anderen Geräten erfolgen, die außerhalb des Behördennetzes angesiedelt sind. Alternative Inventarisierungs- und Schwachstellenanalyse-Methoden müssen von der CISA genehmigt werden.
Spätestens 72 Stunden nach abgeschlossenem Scan müssen die Behörden die Ergebnisse der Verwundbarkeitsprüfungen in das CDM Agency Dashboard überführen oder einen neuen Analyselauf initiieren, sollte der vorherige nicht vollständig durchgelaufen sein. Zudem müssen die Behörden die Möglichkeit schaffen, auf Anfrage einen Inventur- und Schwachstellenanalyselauf zur Erkennung bestimmter Geräte oder Schwachstellen innerhalb von 72 Stunden nach Erhalt einer Anfrage der CISA zu starten und die Ergebnisse innerhalb von sieben Tagen nach der Anfrage zu übermitteln.
Der CISA ist klar, dass in einigen Fällen Behörden nicht in der Lage sind, eine vollständige Schwachstellensuche über die gesamte Organisation in diesem Zeitrahmen zu schaffen. Es ist dennoch nötig, den Analyseprozess in diesem Zeitraum zu starten, da jedwede verfügbaren Ergebnisse der CISA und den Behörden situative Einsichten bezüglich immanenten Bedrohungen lieferten.
Derartige Scans und Praktiken empfiehlt die CISA ausdrücklich auch nicht weisungsgebundenen IT-Verantwortlichen. Diese sollten die Direktive begutachten und die vorgeschlagenen Standards umsetzen und fortschreiben. Das stelle sicher, dass durch die Geräteverwaltung und Schwachstellenerkennung die Cyber-Resilienz der Organisation gestärkt werde.
(dmk)