Nach Angaben von CISA müssen Bundesbehörden ihre Richtlinien zum Schwachstellenmanagement überprüfen und aktualisieren. Auf Anfrage sind diese Richtlinien an die Behörde zu übermitteln. Zudem verlangt BOD 26-04, dass Sicherheitslücken aus dem KEV-Katalog bei der Behebung bevorzugt behandelt werden.

Darüber hinaus sollen Behörden Aktualisierungen des KEV-Katalogs laufend verfolgen und neue Einträge innerhalb der vorgegebenen Fristen abarbeiten. Gefordert werden außerdem eine kontinuierliche Schwachstellenbehebung, automatisierte Berichte zum Status von KEV-Schwachstellen sowie die Inventarisierung und Kennzeichnung extern erreichbarer Systeme.

CISA verweist darauf, dass die Anforderungen der Richtlinie mit dem Rundschreiben A-130 des Office of Management and Budget übereinstimmen, das Grundsätze für die Verwaltung föderaler Informationsressourcen festlegt. Zur Unterstützung kündigt die Behörde an, den KEV-Katalog zu aktualisieren, sobald neue aktiv ausgenutzte Schwachstellen identifiziert werden, und den Bundesbehörden die nötigen Metadaten und Hinweise bereitzustellen.

Innerhalb von 60 Tagen will CISA zudem Datenanforderungen veröffentlichen. Darin soll beschrieben werden, wie Behörden Informationen zur Kennzeichnung von Assets auf Maschinenebene über ein standardisiertes Datenschema bereitstellen sollen.

Für die Behebung von Schwachstellen nennt die Behörde Fristen, die sich am technischen Einfluss einer Lücke orientieren. Maßgeblich ist laut CISA, „wie viel Kontrolle ein Angreifer nach einer Ausnutzung über das betroffene Asset gewinnt“. Sicherheitslücken in öffentlich erreichbaren Systemen, die in den KEV-Katalog aufgenommen wurden und von Angreifern automatisiert ausgenutzt werden können, sollen daher innerhalb von drei Tagen behoben werden. Dieselbe Frist gilt auch dann, wenn eine Automatisierung nicht möglich ist, die Schwachstelle aber die vollständige Kontrolle über das verwundbare System ermöglicht.

Priorität sollen außerdem Schwachstellen in öffentlich erreichbaren Systemen erhalten, die bei automatisierbarer Ausnutzung zur vollständigen Kontrolle führen können, selbst wenn sie noch nicht im KEV-Katalog stehen. Gleiches gilt für jede KEV-Schwachstelle in anderen Assets, wenn sie automatisierbar ist und eine vollständige Kontrolle ermöglicht.

Für Schwachstellen mit geringerem Risiko steigen die Fristen auf 14 oder 60 Tage. Das betrifft nach CISA Sicherheitslücken, die nicht auf der KEV-Liste stehen, sich nicht automatisieren lassen und/oder keine öffentlich erreichbaren Systeme betreffen.

Kritik an der neuen Ausrichtung kommt von Kevin E. Greene, Chief Cybersecurity Technologist bei BeyondTrust. Er erklärte, die Richtlinie konzentriere sich eng auf die Priorisierung von CVEs und übersehe dabei den Zusammenhang mit nachgelagerter Privilegienlast sowie der Beschleunigung von Vorpositionierung, Persistenz und lateraler Bewegung. Das sei relevant, weil sich nicht alles patchen lasse, Privilegienlast in einer Umgebung aber reduziert werden könne, um den Wirkungsradius zu begrenzen und Fähigkeiten von Angreifern zu stören.

Greene begrüßte zugleich den Abschied von CVSS als zentralem Kriterium für die Priorisierung. Ebenso wichtig sei jedoch das Verständnis der nachgelagerten Privilegienlast, um eine CVE operativ unwirksam zu machen. Eine CVE, die die Ebene von Privilegien nicht erreichen könne, sei operativ unwirksam, selbst bei einem CVSS-Wert von 10. Das in der Richtlinie verwendete SSVC-Modell zeige, wie schwer die Auswirkung einer einzelnen CVE auf ihre Komponente sei, erfasse aber nicht, ob diese Komponente auf einem Pfad zur Privilegienebene liege und wo sich ein Engpass befinde, um diesen Pfad zu unterbrechen.