美国网络安全和基础设施安全局 (CISA)发布了一份漏洞目录,其中包括来自 Apple、Cisco、Microsoft 和 Google 的漏洞目录,这些漏洞已被恶意网络攻击者积极利用,此外还要求联邦机构优先考虑这些漏洞在“激进”的时间范围内为这些安全漏洞应用补丁。
这些漏洞造成显著风险,机构和联邦企业,在周三发表的绑定操作指令(BOD)。积极修复已知被利用的漏洞以保护联邦信息系统并减少网络事件至关重要。
2017 年至 2020 年期间发现的大约 176 个漏洞以及 2021 年以来的 100 个漏洞已进入初始列表,预计这些漏洞将在已知时更新为其他积极利用的漏洞,前提是这些漏洞已被分配为常见漏洞和暴露( CVE) 标识符并具有明确的补救措施。
绑定指令要求在 2021 年发现的安全漏洞(被跟踪为 CVE-2021-XXXXX 的漏洞)在 2021 年 11 月 17 日之前得到解决,同时将其余较旧漏洞的修补截止日期定为 2022 年 5 月 3 日。尽管 BOD 主要针对联邦文职机构,但 CISA 建议私营企业和国家实体审查目录并修复漏洞,以加强其安全性和弹性状态。
新战略还使该机构从基于严重性的漏洞修复转向那些构成重大风险并在现实世界的入侵中被滥用的漏洞修复,因为对手不一定总是只依靠“关键”弱点来实现他们的目标,其中一些最广泛和最具破坏性的攻击链接了多个被评为“高”、“中”甚至“低”的漏洞。
Tripwire 战略副总裁 Tim Erlin 说:“该指令做了两件事。首先,它建立了一个商定的正在被积极利用的漏洞列表;其次,它提供了修复这些漏洞的截止日期。通过提供一个通用的漏洞列表作为修复目标,CISA 在优先级排序方面有效地为机构提供了公平的竞争环境。不再由每个机构来决定哪些漏洞是补丁的最高优先级。”
本文转载自微信公众号「祺印说信安」,作者何威风。转载本文请联系祺印说信安公众号。
