サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、2019年から2024年に発出された緊急指令10件を廃止したと発表しました。これは同庁の歴史上、単一の廃止としては最大の件数です。
この節目は、CISAが連邦文民行政部門(FCEB)機関に対する緊急の脅威を緩和し、連邦全体にわたってより持続可能な長期的サイバーセキュリティ実践を確立する取り組みに成功したことを示しています。
これらの指令の廃止は、求められていた措置が成功裏に実施された、または既知の悪用されている脆弱性がもたらす重大なリスクに対処する拘束力のある運用指令(BOD)22-01の下に統合された、という包括的なレビュー結果を受けたものです。
この戦略的な統合は、厳格な保護基準を維持しつつ、連邦のサイバーセキュリティ運用を合理化するというCISAのコミットメントを示しています。
特定のCommon Vulnerabilities and Exposures(CVE)に紐づく7件の指令は、それらの脆弱性が現在CISAのKnown Exploited Vulnerabilities(KEV)カタログに含まれているため、正式にクローズされました。
残る3件の指令(ED 1901、ED 2101、ED 2402)は主要目的を達成しており、要件が現在のリスク状況と整合しなくなったこと、ならびに運用上の実践により陳腐化したことから、不要となりました。
クローズされた指令は、複数のプラットフォームにまたがる重大な脆弱性に対処しており、具体的には、DNSインフラの改ざん、2020年および2021年のPatch TuesdayにおけるWindowsの脆弱性、SolarWinds Orionの侵害、Microsoft Exchangeオンプレミスの脆弱性、Pulse Connect Secureの問題、Windows Print Spoolerサービスの脆弱性、VMwareの脆弱性、そして国家主体によるMicrosoftの企業メールシステムの侵害が含まれます。
今後もCISAは、透明性、構成可能性、相互運用性を優先して多様な連邦環境全体の防御を強化するため、Secure by Designの原則を推進し続けます。
翻訳元: https://cyberpress.org/cisa-retires-ten-emergency-directives/