具有约束力的运营指令 23-01 - 提高联邦网络上的资产可见性和漏洞检测

具有约束力的操作指令是对联邦，行政部门，部门和机构的强制性指示，以保护联邦信息和信息系统。 44 《联邦法典》§ 3552（b）（1）。《美国法典》第44篇第3553（b）（2）条授权国土安全部（DHS）部长制定和监督具有约束力的操作指令的实施。联邦机构必须遵守这些指令。《联邦法典》44 § 3554（a）（1）（B）（ii）。 这些指令不适用于法定定义的“国家安全系统”或国防部或情报界运营的某些系统。 44 U.S.C. § 3553（b），（d），（e）（2），（e）（3）.本指令将其适用的系统称为“联邦文职行政部门”系统，以及作为“联邦文职行政部门”机构运营这些系统的机构。

背景

持续和全面的资产可见性是任何组织有效管理网络安全风险的基本先决条件。对驻留在联邦网络上的资产进行准确和最新的会计核算对于CISA有效管理联邦民事行政部门（FCEB）企业的网络安全也至关重要。

本《约束性业务指南》的目的是在提高对机构资产和相关脆弱性的可见性方面取得可衡量的进展。虽然该指令中的要求不足以满足全面的现代网络防御行动，但它们是解决组件，机构和FCEB企业级当前可见性挑战的重要一步。该指令的要求侧重于两个核心活动，这对于提高成功的网络安全计划的运营可见性至关重要：资产发现和漏洞枚举。

• 资产发现是运营可见性的构建块，它被定义为组织通过该活动确定其网络上驻留的网络可寻址 IP 资产并识别关联的 IP 地址（主机）。资产发现是非侵入式的，通常不需要特殊的逻辑访问权限。

• 漏洞枚举可识别并报告这些资产上的可疑漏洞。它检测主机属性（例如，操作系统、应用程序、开放端口等），并尝试识别过时的软件版本、缺少的更新和配置错误。它通过识别主机属性并将其与已知漏洞信息进行匹配来验证是否符合或偏离安全策略。了解资产的漏洞状况取决于是否具有适当的权限，这可以通过基于网络的凭据扫描或主机端点上安装的客户端来实现。

资产和漏洞的发现可以通过多种方式实现，包括主动扫描、被动流量监控、查询日志，或者在软件定义基础设施的情况下，API查询。许多机构现有的持续诊断和缓解（CDM）实施利用这些手段在达到预期水平的可见性方面取得进展。资产可见性本身并不是目的，但对于更新、配置管理以及其他可显著降低网络安全风险的安全和生命周期管理活动以及漏洞修复等紧急活动而言，资产可见性是必需的。该指令的目标是使各机构全面实现以下结果，而无需规定如何做到这一点：

• 维护本指令范围内定义的网络资产的最新清单;

• 识别软件漏洞，在技术上可行的情况下使用特权或基于客户端的方法;

• 跟踪该机构枚举其资产的频率，其资产的覆盖范围以及其漏洞签名的时效性;和

• 向 CISA 的 CDM 联邦仪表板提供资产和漏洞信息。

各机构可以要求CISA协助进行工程调查，以建立当前资产管理能力的基线。CISA将与请求机构合作，提供技术和计划援助，以解决差距，优化扫描，并支持实现本指令中所需的行动。

该指令的要求推进了关于改善国家网络安全的第14028号行政命令中规定的优先事项，特别是第7条（改进对联邦政府网络上网络安全漏洞和事件的检测），并为实现以前的OMB备忘录中规定的政策提供了操作清晰度，包括M-21-02，M-22-05和M-22-09。遵守该指令还支持BOD 22-01，管理联邦企业中不可接受的风险漏洞，因为它将使机构能够加强对可以使用自动化工具检测到的已知漏洞的管理。

范围

这些必需的行动适用于任何FCEB未分类的联邦信息系统，包括由另一实体代表机构使用或运营的任何联邦信息系统，该系统收集，处理，存储，传输，传播或以其他方式维护机构信息。

本指令适用于可通过 IPv4 和 IPv6 协议访问的所有 IP 可寻址网络资产。 就本指令而言，IP可寻址网络资产被定义为任何可报告（即非临时）信息技术或操作技术资产，这些资产被分配了IPv4或IPv6地址，并且可以通过IPv4或IPv6网络访问，无论其在何种环境中运行。范围包括但不限于服务器和工作站、虚拟机、路由器和交换机、防火墙、网络设备和网络打印机 — 无论是在本地、漫游和云操作部署模型中。该作用域不包括临时资产，例如容器和第三方托管的软件即服务 （SaaS） 解决方案。

必需的操作

1. 到2023年4月3日，所有FCEB机构都必须对本指令范围内的所有联邦信息系统采取以下行动：

1. CISA了解到，在某些情况下，机构可能无法在此期间完成对整个企业的完整漏洞发现。仍然有必要在此时间段内启动枚举过程，因为任何可用结果都将为CISA和机构提供应对迫在眉睫的威胁的态势感知。

2. CISA了解，在某些情况下，在整个企业中实现完整的漏洞发现可能无法在14天内完成。枚举过程仍应定期启动，以确保在此窗口中以固定的节奏扫描企业内的所有系统。

3. 在最大可能的情况下，在可用技术支持的情况下，在托管端点（例如，服务器、工作站、台式机、笔记本电脑）和托管网络设备（例如，路由器、交换机、防火墙）上执行的所有漏洞枚举都必须使用特权凭据进行（就本指令而言，基于网络的凭据扫描和基于客户端或代理的漏洞检测方法都被视为满足此要求）。

4. 必须以不超过 24 小时的时间间隔更新使用的所有漏洞检测签名，从上次供应商发布的签名更新开始。

5. 在功能可用的情况下，机构必须在移动设备（例如，iOS 和 Android）以及驻留在机构本地网络之外的其他设备上执行相同类型的漏洞枚举。

6. 所有替代资产发现和漏洞枚举方法（例如，对于具有专用设备的系统或无法使用特权凭据的系统）必须得到CISA的批准。

1. 每 7 天执行一次自动资产发现。虽然可以使用许多方法和技术来完成此任务，但至少此发现必须涵盖该机构使用的整个IPv4空间。

2. 每 14 天对所有发现的资产（包括所有发现的游牧/漫游设备（例如笔记本电脑））启动一次漏洞枚举。

3. 在发现完成后的 72 小时内（如果先前的完整发现尚未完成，则启动新的发现周期），自动将漏洞枚举结果（即检测到的漏洞）引入 CDM Agency 仪表板。

4. 开发并维护操作能力，以便在收到来自CISA的请求后72小时内启动按需资产发现和漏洞枚举，以识别特定资产或漏洞子集，并在请求后7天内向CISA提供可用结果。

2. 在CISA发布漏洞枚举性能数据要求的6个月内，所有FCEB机构都必须启动与本指令相关的漏洞枚举性能数据的收集和报告，并将其报告给CDM仪表板。这些数据将使CISA能够自动监督和监控机构扫描性能，包括测量扫描节奏，严谨性和完整性。

3. 到 2023 年 4 月 3 日，各机构和 CISA 将通过 CDM 计划部署更新的 CDM 仪表板配置，以便 CISA 分析师能够访问对象级漏洞枚举数据，这是《关于改善国家网络安全的行政命令》中的授权。

报告要求和指标

1. 发布后的六个月，十二个月和十八个月，FCEB机构将：
   （1）向CISA（通过CyberScope中的报告界面）提供进度报告，以包括可能阻止他们满足指令要求和预期完成日期的任何障碍，依赖关系或其他问题，或
   （2）通过OMB M-22-05或取代指南中概述的CDM计划审查程序与CISA合作，以识别和解决阻碍资产管理功能全面实施的差距或问题，包括本指令中的那些要求。

国际志愿组织行动

1. 在发布后的6个月内，CISA将发布数据要求，以便机构以通用数据架构提供机器级漏洞枚举性能数据。

2. 在发布后的18个月内，CISA将审查该指令，以确保要求与网络安全环境保持相关。

3. 每年，在每个财政年度结束时，CISA将向国土安全部长，OMB主任和国家网络总监提供状态报告，以确定跨机构状态，机构资产发现和漏洞管理绩效指标，以及执行本指令的未决问题（扫描性能监控数据，包括扫描频率的测量， 严谨性和完整性）。此外，CISA将每季度向OMB报告进展情况。

4. CISA将监督机构遵守本指令的情况，并将根据要求提供援助，以支持机构的实施。

实施指南

实施指导文件的目的是帮助联邦机构解释和实施CISA的约束性操作指令（BOD）23-01。虽然本文档的主要受众是联邦文职行政部门 （FCEB） 机构，但其他实体可能会发现其内容很有用。CISA至少希望FCEB机构达到或超过本文档中的指导。该指南旨在回答联邦机构提出的最常见问题。CISA将使用常见问题和新信息可用来更新本文档。

原文始发于微信公众号（祺印说信安）：CISA命令联邦机构定期跟踪网络资产和漏洞