A CISA új kötelező működési irányelvet adott ki, amely előírja az amerikai szövetségi ügynökségek számára, hogy a legkritikusabb sérülékenységeket három napon belül javítsák. Az új prioritási rendszer célja, hogy hatékonyabb sérülékenységkezelést biztosítson a mesterséges intelligencia fejlődése és az automatizált támadási képességek által fokozott fenyegetettségi környezetben.

A közzétett irányelv négy fő szempont alapján értékeli a sérülékenységek kockázati szintjét:

• elérhető-e az érintett rendszer az internet felől,
• szerepel-e a sérülékenység az ismerten kihasznált sebezhetőségeket tartalmazó KEV-katalógusban,
• lehetővé teszi-e a sérülékenység automatizált támadási folyamatok alkalmazását,
• milyen mértékű jogosultságot vagy irányítást biztosíthat egy támadó számára az érintett rendszer felett.

Azoknál a sérülékenységeknél, amelyek a négy kritériumból legalább háromnak megfelelnek, a szövetségi ügynökségeknek 72 órán belül el kell végezniük a szükséges javításokat. Az új követelmények bevezetésére 180 napos átmeneti időszak áll rendelkezésre.

A háromnapos javítási határidő elsősorban azokra a sérülékenységekre vonatkozik, amelyek aktív kihasználás alatt állnak, internet felől elérhető rendszereket érintenek, kihasználásuk automatizálható, és jelentős mértékű hozzáférést biztosíthatnak az érintett környezethez.

Különös hangsúlyt kapnak azok az esetek, amelyek egy rendszer teljes kompromittálásához vezethetnek. Ilyen helyzetekben a szervezeteknek nemcsak a biztonsági javításokat kell haladéktalanul telepíteniük, hanem azt is meg kell vizsgálniuk, hogy a rendszer a javítás előtt nem kompromittálódott-e.

Azoknál a sérülékenységeknél, amelyek megfelelnek a magas kockázati feltételeknek, azonban kihasználásuk nem automatizálható (és a támadó nem szerzett teljes körű irányítást a rendszer felett), az ügynökségeknek legfeljebb két hét áll rendelkezésre a javítások végrehajtására.

Az irányelv kiemeli, hogy egy biztonsági frissítés telepítése önmagában nem feltétlenül szünteti meg egy korábbi kompromittálás következményeit, ezért a javítások mellett megfelelő incidensvizsgálati és helyreállítási lépésekre is szükség lehet.

A CISA azt javasolja az állami és helyi szervezeteknek, valamint a kritikus infrastruktúrák tulajdonosainak és üzemeltetőinek, hogy hasonló kockázatalapú sérülékenységkezelési gyakorlatokat alkalmazzanak. Az ügynökség szerint az új szabályozás várhatóan csak a sérülékenységek kis részét érinti, ugyanakkor lehetővé teszi, hogy a szervezetek erőforrásaikat a legnagyobb kockázatot jelentő problémák kezelésére összpontosítsák.

Nick Andersen, a CISA megbízott igazgatója szerint az irányelv egyértelmű értékelési szempontokat és javítási határidőket vezet be, ami növeli a sérülékenységkezelési folyamatok átláthatóságát, kiszámíthatóságát és támogatja az erőforrások hatékonyabb tervezését.