Új sebezhetőségi kategorizálási útmutatót tett közzé a CISA (Cybersecurity and Infrastructure Security Agency). Az amerikai kiber- és infrastruktúra-biztonsági ügynökség egy olyan döntési fa modelljére építette új rendszerét, amely alapján stakeholder-specifikusan lehet meghatározni az egyes sebezhetőségekkel kapcsolatos teendőket. A módszertan a kibervédelmi cégeken és a NATO-kapcsolatokon keresztül valószínűleg gyorsan elterjed a nemzetközi gyakorlatban is.

Mint Eric Goldstein, a CISA kiberbiztonságért felelős igazgatóhelyettese írja, a fejlett sebezhetőség-kezelési programokkal rendelkező szervezetek hatékonyabb módszereket keresnek a teendők meghatározására, a kisebb szervezetek meg sok esetben még ott tartanak, hogy szeretnék megérteni a problémát, hogy jobban beoszthassák szűkös erőforrásaikat.

Goldstein szerint három kulcslépésen keresztül vezet az út a megoldáshoz. Először is emelni kell az automatizáció szintjét a sebezhetőség kezelésénél, amiben többek között egy közös biztonsági tanácsadó keretrendszer (CSAF, Common Security Advisory Framework) segít. Be kell vezetni a Vulnerability Exploitability eXchange rendszert (PDF), amely a sebezhetőségek kihasználási lehetőségeinek katalógusa, és ahhoz ad támpontokat különböző gyakorlati eseteken keresztül, hogy adott termékre milyen mértékben hat egy sebezhetőség. A harmadik elem pedig a kategorizálást támogató döntési fa lenne, amely segít meghatározni a beavatkozás sürgősségét és a teendők sorrendjét.

A döntési fa első változatát 2019-ben hozta létre a CISA és a Carnegie Mellon Egyetem szoftvertechnológiai intézete. Majd ezt a CISA továbbfejlesztette, és kidolgozott egy speciális változatot kifejezetten az olyan biztonsági hibák kezelésére, amely a kormányzati és a kritikus infrastruktúrával foglalkozó szervezetek számára releváns. Ennek a továbbgondolásából született a mostani rendszer, amely a különböző szektorokban dolgozó és különböző méretű szervezeteknek egyaránt képes segítséget nyújtani.

Négy alapkérdésből minden levezethető

Négy alapkategóriából vezetnek le mindent. A legalacsonyabb szint a nyomonkövetés (Track). Ez nem igényel semmilyen külön intézkedést, a javítást a szabványos frissítési határidőkön belül kell javítani. A második szint a Track*. Ebben az esetben szigorúbban nyomon kell követni a sérülékenység hatásait, de alapesetben, azaz ha nincs hatása a rendszerek működésére, továbbra is elegendő a szokásos frissítési határidőkön belül telepíteni a javítást. A következő szint az Attend, amikor belső felügyeleti szintű személyek figyelmét igényli a sérülékenység, és a szabványos frissítési határidőknél hamarabb kell javítani. A legmagasabb szint (Act) pedig már vezetői szintű figyelmét és azonnali beavatkozást igényel.

A döntési fa segít a sebezhetőség kihasználtsági állapotának, technikai és üzleti folyamatokra gyakorolt hatásának stb. meghatározásában, valamint annak eldöntésében, hogy a beavatkozás milyen mértékben automatizálható.

A segédeszközt a CISA szerint az ismert sebezhetőségeket összegyűjtő katalógussal, a CSAF-fel és a sebezhetőségek kihasználhatóságát bemutató katalógussal (VEX) együtt érdemes használni.