Sicurezza Informatica

CISA: iniziative di sicurezza condivisa con partner internazionali

da Livio Varriale
scritto da Livio Varriale 0 commenti 3 minuti leggi

Le recenti attività di CISA e i suoi partner internazionali evidenziano importanti sviluppi in materia di cybersecurity, con l’introduzione di nuove linee guida per la sicurezza delle infrastrutture critiche, l’aggiornamento di un catalogo di vulnerabilità note ed esposte, e il successo della piattaforma per la divulgazione delle vulnerabilità (VDP) nel 2023.

Nuove Linee Guida sulla sicurezza OT per infrastrutture critiche

Il 1° ottobre 2024, CISA, in collaborazione con il Centro Australiano di Cybersecurity (ACSC) e altre agenzie partner internazionali, ha pubblicato una guida intitolata “Principles of Operational Technology Cybersecurity“, pensata per aiutare le organizzazioni che gestiscono infrastrutture critiche a mantenere ambienti tecnologici operativi (OT) sicuri e protetti. Questa guida propone sei principi chiave per identificare come le decisioni aziendali possano influenzare negativamente la sicurezza informatica dell’OT e per valutare i rischi associati.

I principi sono stati sviluppati per supportare le organizzazioni nell’integrare la cybersecurity nei processi decisionali, migliorando la resilienza e la continuità del business. CISA incoraggia le organizzazioni nel settore delle infrastrutture critiche a seguire queste best practice e ad adottare le azioni raccomandate per garantire un’adeguata protezione contro i rischi informatici.

Annunci

Per ulteriori informazioni sulle misure di sicurezza OT, CISA offre risorse e linee guida sulla pagina dedicata ai Sistemi di Controllo Industriali e nell’Advisory per la Riduzione dei Rischi nei Sistemi OT.

Aggiornamenti al Catalogo delle Vulnerabilità Note ed Esistenti

CISA ha aggiunto quattro nuove vulnerabilità al suo catalogo, basandosi su evidenze di attacchi attivi. Queste vulnerabilità sono state rilevate in dispositivi e applicazioni di vario tipo e sono considerate seri rischi di attacco per le organizzazioni che non le gestiscono correttamente. Le vulnerabilità aggiunte sono:

  1. CVE-2023-25280 D-Link DIR-820 Router OS Command Injection Vulnerability
  2. CVE-2020-15415 DrayTek Multiple Vigor Routers OS Command Injection Vulnerability
  3. CVE-2021-4043 Motion Spell GPAC Null Pointer Dereference Vulnerability
  4. CVE-2019-0344 SAP Commerce Cloud Deserialization of Untrusted Data Vulnerability

Queste vulnerabilità rappresentano vettori di attacco frequenti per i criminali informatici e richiedono un’attenzione particolare per ridurre i rischi all’interno delle organizzazioni federali. Il Binding Operational Directive (BOD) 22-01, che stabilisce il Catalogo delle Vulnerabilità Note, obbliga le agenzie federali statunitensi a gestire tempestivamente tali vulnerabilità per garantire la sicurezza delle proprie reti.

CISA raccomanda a tutte le organizzazioni, anche se non direttamente soggette a BOD 22-01, di ridurre la propria esposizione ai cyberattacchi dando priorità alla gestione e alla risoluzione delle vulnerabilità elencate nel catalogo.

Rapporto Annuale VDP: successo nella rilevazione delle vulnerabilità

Nel 2023, la piattaforma Vulnerability Disclosure Policy (VDP) di CISA ha mostrato un notevole successo nel suo secondo anno di attività, secondo il rapporto annuale pubblicato di recente. La piattaforma VDP è stata progettata per incoraggiare l’adozione da parte delle agenzie federali civili degli Stati Uniti e per facilitare l’individuazione delle vulnerabilità nei propri sistemi grazie alla collaborazione con ricercatori di sicurezza pubblici.

I ricercatori svolgono un ruolo fondamentale nella sicurezza delle reti governative, contribuendo attivamente all’identificazione e alla risoluzione delle vulnerabilità. La direttiva operativa BOD 20-01, pubblicata da CISA nel 2020, obbliga tutte le agenzie federali civili a implementare una politica VDP che segue le best practice di settore. Il programma VDP di CISA offre un modo semplice per queste agenzie di interagire con i ricercatori e adottare misure di sicurezza appropriate.

Il successo del programma VDP è stato reso possibile grazie alla collaborazione tra agenzie governative e ricercatori indipendenti, e CISA si impegna a continuare a espandere questo ecosistema di collaborazione.

Per ulteriori informazioni sulla piattaforma VDP e sulle sue attività, è possibile visitare la pagina ufficiale del VDP.

Potreste Essere Interessati

Giornalista e scrittore: le sue specializzazioni sono in Politica, Crimine Informatico, Comunicazione Istituzionale, Cultura e Trasformazione digitale. Autore del saggio sul Dark Web e il futuro della società digitale “La prigione dell’umanità” e di “Cultura digitale”. Appassionato di Osint e autore di diverse ricerche pubblicate da testate Nazionali. Attivista contro l’abuso dei minori, il suo motto è “Coerenza, Costanza, CoScienza”.

Si può anche come

Rayhunter: strumento open-source dell’EFF per rilevare la sorveglianza...

Morto Carmine Gallo, ex superpoliziotto ai domiciliari per...

Apple: novità in arrivo con visionOS 3, iOS...

EncryptHub: nuova minaccia malware multi-stadio che colpisce utenti...

Matrice Digitale colpisce ancora: ACN sotto i riflettori,...

SilentCryptoMiner: la nuova minaccia diffusa su YouTube

Logo Matrice Digitale, sicurezza, informatica, mondo digitale, confronto smartphones

Matrice Digitale è un media INDIPENDENTE sul mondo della tecnologia. Specializzato in Guerra Cibernetica, Cybersecurity e Cybercrime, Matrice Digitale realizza inchieste ed analisi OSINT esclusive.  

Leggi la trasparenza

Iscriviti alla Newsletter

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Facebook Twitter Instagram Youtube Rss Envelope

Developed with love by Giuseppe Ferrara