CISA下令修补数百个被恶意网络攻击者积极利用的漏洞,联邦机构还被要求在“激进”的时间框架内优先应用针对这些安全漏洞的补丁。在周三发布的具有约束力的操作命令(BOD)中,这些漏洞对机构和联邦企业构成重大风险。积极修复已知的被利用漏洞对于保护联邦信息系统和减少网络事件至关重要。2017年至2020年间发现的大约176个漏洞和2021年以来发现的100个漏洞已进入初始列表,预计这些漏洞将随着已知的其他被积极利用的漏洞进行更新,前提是已为它们分配了通用漏洞和披露(CVE)标识符显式修复。绑定指令要求在2021年发现的安全漏洞(被跟踪为CVE-2021-XXXXX)在2021年11月17日之前得到解决,同时为剩余的旧漏洞设置2022年5月的补丁截止日期为3天。虽然BOD主要针对联邦民用机构,但CISA建议私营企业和州实体审查目录并修复漏洞,以加强其安全性和弹性态势。新战略还使该机构从基于严重性的漏洞修复转向那些构成重大风险并在现实世界入侵中被滥用的漏洞,因为对手并不总是仅仅依靠“关键”弱点来实现他们的目标,其中一些最广泛和最具破坏性的攻击与多个评级为“高”、“中”甚至“低”的漏洞有关。“该指令做了两件事,”Tripwire战略副总裁TimErlin说。“首先,它建立了一个商定的被积极利用的漏洞列表;其次,它提供了修复这些漏洞的最后期限。通过提供一个通用的漏洞列表作为修复目标,CISA有效地为机构创造了公平的竞争环境在优先级方面。不再由每个机构来决定哪些漏洞是修补的最高优先级。”殷说新安》,作者何伟峰。转载本文请联系齐殷说新安公众号。
