[[433997]]

美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA)發(fā)布了一份漏洞目錄，其中包括來(lái)自 Apple、Cisco、Microsoft 和 Google 的漏洞目錄，這些漏洞已被惡意網(wǎng)絡(luò)攻擊者積極利用，此外還要求聯(lián)邦機(jī)構(gòu)優(yōu)先考慮這些漏洞在“激進(jìn)”的時(shí)間范圍內(nèi)為這些安全漏洞應(yīng)用補(bǔ)丁。

這些漏洞造成顯著風(fēng)險(xiǎn)，機(jī)構(gòu)和聯(lián)邦企業(yè)，在周三發(fā)表的綁定操作指令(BOD)。積極修復(fù)已知被利用的漏洞以保護(hù)聯(lián)邦信息系統(tǒng)并減少網(wǎng)絡(luò)事件至關(guān)重要。

2017 年至 2020 年期間發(fā)現(xiàn)的大約 176 個(gè)漏洞以及 2021 年以來(lái)的 100 個(gè)漏洞已進(jìn)入初始列表，預(yù)計(jì)這些漏洞將在已知時(shí)更新為其他積極利用的漏洞，前提是這些漏洞已被分配為常見(jiàn)漏洞和暴露( CVE) 標(biāo)識(shí)符并具有明確的補(bǔ)救措施。

綁定指令要求在 2021 年發(fā)現(xiàn)的安全漏洞(被跟蹤為 CVE-2021-XXXXX 的漏洞)在 2021 年 11 月 17 日之前得到解決，同時(shí)將其余較舊漏洞的修補(bǔ)截止日期定為 2022 年 5 月 3 日。盡管 BOD 主要針對(duì)聯(lián)邦文職機(jī)構(gòu)，但 CISA 建議私營(yíng)企業(yè)和國(guó)家實(shí)體審查目錄并修復(fù)漏洞，以加強(qiáng)其安全性和彈性狀態(tài)。

新戰(zhàn)略還使該機(jī)構(gòu)從基于嚴(yán)重性的漏洞修復(fù)轉(zhuǎn)向那些構(gòu)成重大風(fēng)險(xiǎn)并在現(xiàn)實(shí)世界的入侵中被濫用的漏洞修復(fù)，因?yàn)閷?duì)手不一定總是只依靠“關(guān)鍵”弱點(diǎn)來(lái)實(shí)現(xiàn)他們的目標(biāo)，其中一些最廣泛和最具破壞性的攻擊鏈接了多個(gè)被評(píng)為“高”、“中”甚至“低”的漏洞。

Tripwire 戰(zhàn)略副總裁 Tim Erlin 說(shuō)：“該指令做了兩件事。首先，它建立了一個(gè)商定的正在被積極利用的漏洞列表;其次，它提供了修復(fù)這些漏洞的截止日期。通過(guò)提供一個(gè)通用的漏洞列表作為修復(fù)目標(biāo)，CISA 在優(yōu)先級(jí)排序方面有效地為機(jī)構(gòu)提供了公平的競(jìng)爭(zhēng)環(huán)境。不再由每個(gè)機(jī)構(gòu)來(lái)決定哪些漏洞是補(bǔ)丁的最高優(yōu)先級(jí)。”

本文轉(zhuǎn)載自微信公眾號(hào)「祺印說(shuō)信安」，作者何威風(fēng)。轉(zhuǎn)載本文請(qǐng)聯(lián)系祺印說(shuō)信安公眾號(hào)。