CISA 命令联邦机构紧急修补漏洞

美国网络安全和基础设施安全局 (CISA) 今天发布了一项命令，要求大多数联邦机构修补数百个已知的网络安全漏洞，该机构称这些漏洞正“被对手积极利用”。

具有约束力的操作指令 (BOD) 22-01，降低已知被利用漏洞的重大风险，建立了 CISA 管理的已知被利用漏洞的公共目录，并为联邦民事机构提供了一个特定的时间框架，他们必须在此时间内修复此类漏洞。

该指令适用于位于联邦信息系统上的所有硬件和软件，包括在机构场所管理或由第三方为机构托管的资源。

BOD 22-01 标志着 CISA 的第一个政府范围的要求，以修复影响面向互联网和非面向互联网资产的缺陷。 

CISA 敦促私营企业和州、地方、部落和领土 (SLTT) 政府优先修复 CISA 目录中列出的漏洞。

 CISA 主管 Jen Easterly表示： “作为联邦网络安全的运营负责人，我们正在利用我们的指令权力推动网络安全努力，以减轻我们知道被恶意网络行为者积极利用的那些特定漏洞。” 

她继续说道：“该指令明确要求联邦民事机构立即采取行动改善其漏洞管理实践，并大幅减少他们遭受网络攻击的风险。”

Sevco Security 的联合创始人 Greg Fitzgerald 在评论新指令时告诉 Infosecurity  Magazine：“这项授权是一个很好的第一步，它将让许多公司减少他们的攻击面。不幸的是，该命令解决的 300 个左右的漏洞只是杯水车薪，远不能解决未修补的漏洞问题。”

Fitzgerald 表示，CISA 应该解决的一个更紧迫的问题是修补 IT 团队已经放弃或遗忘的资产上的漏洞。 

“大多数组织都无法创建一个准确的 IT 资产清单来反映其整个攻击面，在现代企业中，攻击面超出了网络范围，包括云、个人设备、远程工作人员以及内部所有事物，”他说。 

“这让他们受到攻击者的支配，他们知道在哪里寻找被遗忘的包含可利用漏洞的 IT 资产。”