Af Eskil Sørensen, 27/09/23
Amerikanske Cybersecurity and Infrastructure Security Agency (CISA) har efter to år publiceret over 1000 sårbarheder i sit katalog over kendte udnyttede sårbarheder. Det skriver The Record i en artikel, efter at der i sidste uge kom ni nye sårbarheder på listen. Dermed er den markante milepæl nået.
Kataloget blev etableret i 2021, efter at et præsidentielt direktiv i USA gjorde det muligt for myndigheden på området, CISA, at pålægge føderale enheder og agenturer at rette sårbarheder inden for en given tidsfrist.
The Record kalder KEV det foretrukne arkiv for sårbarheder, der er under aktiv udnyttelse i verden. Og der er rigeligt med sårbarheder at tage af. Sidste år blev der publicereret over 25.000 sårbarheder på National Vulnerability Database. Og pr. 27. september 2023 er der allerede publiceret over 21.500 sårbarheder i år. Forsætter udviklingen betyder det, at der kommer over 30.000 nye i år – hvoraf nogle af disse altså lander på KEV-listen.
For mange sårbarheder
Formålet med listen har ifølge CISA været at sætte fokus på de vigtigste sårbarheder at rette – i erkendelse af, at systemadministratorer i en travl hverdag bliver nødt til at prioritere. Derfor kan KEV-listen ses som en rettesnor for, hvor man skal sætte ind først. Eller som ’en del af et sårbarhedsstyringsprogram, der muliggør prioritering baseret på organisatoriske egenskaber, såsom hvordan et sårbart produkt bliver brugt og udnyttelsesmulighederne af det relevante system’, som det fremgår af The Records omtale af sagen.
Der ligger også den binding i KEV-listen, at føderale enheder skal håndtere sårbarheden inden for fristen, og at der bliver holdt op i mod det.
Der er næppe tvivl om, at listen har virket. Således har CISA fundet ud af, at føderale civile enheder har udbedret mere end 12 millioner KEV-sårbarheder, hvoraf syv millioner er ordnet i 2023 alene. Samtidig har føderale agenturer set et fald på 72 pct. i den andel af sårbarheder på listen, der er eksponeret i 45 dage eller mere, hvilket har været et af CISA oprindelige mål på listen.
KEV-listen findes på CISAs hjemmeside i et tabelformat, så man fx kan filtrere efter de senest tilføjede sårbarheder, vendornavn, produktnavn og deadline for håndtering
Links:
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
https://therecord.media/cisa-known-exploited-vulnerability-catalog-passes-1000