O Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), mantido pela agência de segurança cibernética dos EUA CISA, levou a melhorias significativas nos esforços de correção das agências federais, com mais de 1.000 vulnerabilidades agora incluídas na lista.
Lançado em novembro de 2021, o Catálogo KEV lista falhas que a CISA tem provas de que estão sendo exploradas em ataques maliciosos e é acompanhada pela Diretiva Operacional Vinculante (BOD) 22-01, que exige que as agências federais corrijam bugs recém-adicionados dentro de um prazo especificado.
Desde novembro de 2021, CISA dizas agências federais corrigiram mais de 12 milhões de instâncias de entradas KEV, com 7 milhões delas sendo abordadas somente em 2023.
No geral, as agências federais registaram uma diminuição de 72% nos KEVs expostos durante 45 dias ou mais, enquanto os governos locais e entidades de infra-estruturas críticas registaram uma diminuição de 31%.
De acordo com a CISA, o catálogo KEV ajudou agências federais e outras entidades inscritas a acelerar significativamente seus esforços de correção, com o tempo médio de correção para KEVs sendo nove dias mais rápido em comparação com o de não-KEVs. Para problemas relacionados à Internet no catálogo, a correção foi 36 dias mais rápida.
O objetivo do Catálogo KEV, sublinha a CISA, é ajudar as organizações a priorizar a gestão de vulnerabilidades, com base na forma como um produto vulnerável está a ser utilizado e no impacto que a exploração pode ter.
“Um KEV em um servidor web voltado para a Internet que fornece acesso privilegiado às contas dos clientes seria, razoavelmente, uma prioridade muito maior para mitigação do que exatamente o mesmo KEV em um sistema interno que fornece acesso sem privilégios ao menu do refeitório da organização”, explica CISA.
Embora a ideia por trás do Catálogo KEV seja reduzir os riscos de segurança cibernética, as organizações não devem confiar apenas nesta lista ao implementar um plano de resposta a vulnerabilidades.
A CISA explica que novas entradas são adicionadas ao Catálogo KEV apenas se houver provas irrefutáveis de exploração em estado selvagem e se houver meios para resolver o problema, como um patch ou informações de mitigação.
“Às vezes é impossível encontrar um patch oficial. Nestes casos, coordenamos mensagens alternativas para informar o público sobre a vulnerabilidade com ações que devem ser tomadas para que haja algo que possa ser feito para evitar a exploração. De qualquer forma, não adicionamos uma vulnerabilidade ao KEV, a menos que haja um patch acionável ou outra mitigação adequada”, observa a CISA.
A agência de segurança cibernética incentiva as organizações a consultar modelos de decisão como a Categorização de Vulnerabilidade Específica das Partes Interessadas (SSVC) e priorizar o gerenciamento de vulnerabilidades com base neles.
No futuro, a CISA está explorando a ideia de adicionar mais informações sobre a exploração de cada vulnerabilidade no Catálogo KEV e de encontrar maneiras de incorporar o Catálogo KEV nas ferramentas existentes que ajudam as organizações a priorizar a aplicação de patches.
Com o tempo, afirma a CISA, a adição de novas entradas ao catálogo deverá tornar-se uma ocorrência rara, o que pode ser alcançado através da implementação de uma abordagem segura desde a concepção que reduzirá a prevalência de vulnerabilidades.
“De forma consistente com a Estratégia Nacional de Cibersegurança, continuaremos a conduzir o ecossistema em direção a um futuro onde quase todos os KEVs serão eliminados antes de um produto ser lançado no mercado”, observa a CISA.
