CISA 命令聯邦機構緊急修補漏洞

美國網絡安全和基礎設施安全局 (CISA) 今天發布了一項命令，要求大多數聯邦機構修補數百個已知的網絡安全漏洞，該機構稱這些漏洞正“被對手積極利用”。

具有約束力的操作指令 (BOD) 22-01，降低已知被利用漏洞的重大風險，建立了 CISA 管理的已知被利用漏洞的公共目錄，并為聯邦民事機構提供了一個特定的時間框架，他們必須在此時間內修復此類漏洞。

該指令適用于位于聯邦信息系統上的所有硬件和軟件，包括在機構場所管理或由第三方為機構托管的資源。

BOD 22-01 標志著 CISA 的第一個政府范圍的要求，以修復影響面向互聯網和非面向互聯網資產的缺陷。 

CISA 敦促私營企業和州、地方、部落和領土 (SLTT) 政府優先修復 CISA 目錄中列出的漏洞。

 CISA 主管 Jen Easterly表示： “作為聯邦網絡安全的運營負責人，我們正在利用我們的指令權力推動網絡安全努力，以減輕我們知道被惡意網絡行為者積極利用的那些特定漏洞。” 

她繼續說道：“該指令明確要求聯邦民事機構立即采取行動改善其漏洞管理實踐，并大幅減少他們遭受網絡攻擊的風險。”

Sevco Security 的聯合創始人 Greg Fitzgerald 在評論新指令時告訴 Infosecurity  Magazine：“這項授權是一個很好的第一步，它將讓許多公司減少他們的攻擊面。不幸的是，該命令解決的 300 個左右的漏洞只是杯水車薪，遠不能解決未修補的漏洞問題。”

Fitzgerald 表示，CISA 應該解決的一個更緊迫的問題是修補 IT 團隊已經放棄或遺忘的資產上的漏洞。 

“大多數組織都無法創建一個準確的 IT 資產清單來反映其整個攻擊面，在現代企業中，攻擊面超出了網絡范圍，包括云、個人設備、遠程工作人員以及內部所有事物，”他說。 

“這讓他們受到攻擊者的支配，他們知道在哪里尋找被遺忘的包含可利用漏洞的 IT 資產。”