[[433997]]

美國網絡安全和基礎設施安全局 (CISA)發布了一份漏洞目錄，其中包括來自 Apple、Cisco、Microsoft 和 Google 的漏洞目錄，這些漏洞已被惡意網絡攻擊者積極利用，此外還要求聯邦機構優先考慮這些漏洞在“激進”的時間范圍內為這些安全漏洞應用補丁。

這些漏洞造成顯著風險，機構和聯邦企業，在周三發表的綁定操作指令(BOD)。積極修復已知被利用的漏洞以保護聯邦信息系統并減少網絡事件至關重要。

2017 年至 2020 年期間發現的大約 176 個漏洞以及 2021 年以來的 100 個漏洞已進入初始列表，預計這些漏洞將在已知時更新為其他積極利用的漏洞，前提是這些漏洞已被分配為常見漏洞和暴露( CVE) 標識符并具有明確的補救措施。

綁定指令要求在 2021 年發現的安全漏洞(被跟蹤為 CVE-2021-XXXXX 的漏洞)在 2021 年 11 月 17 日之前得到解決，同時將其余較舊漏洞的修補截止日期定為 2022 年 5 月 3 日。盡管 BOD 主要針對聯邦文職機構，但 CISA 建議私營企業和國家實體審查目錄并修復漏洞，以加強其安全性和彈性狀態。

新戰略還使該機構從基于嚴重性的漏洞修復轉向那些構成重大風險并在現實世界的入侵中被濫用的漏洞修復，因為對手不一定總是只依靠“關鍵”弱點來實現他們的目標，其中一些最廣泛和最具破壞性的攻擊鏈接了多個被評為“高”、“中”甚至“低”的漏洞。

Tripwire 戰略副總裁 Tim Erlin 說：“該指令做了兩件事。首先，它建立了一個商定的正在被積極利用的漏洞列表;其次，它提供了修復這些漏洞的截止日期。通過提供一個通用的漏洞列表作為修復目標，CISA 在優先級排序方面有效地為機構提供了公平的競爭環境。不再由每個機構來決定哪些漏洞是補丁的最高優先級。”

本文轉載自微信公眾號「祺印說信安」，作者何威風。轉載本文請聯系祺印說信安公眾號。