[[433997]]

美國網(wǎng)絡安全和基礎設施安全局 (CISA)發(fā)布了一份漏洞目錄，其中包括來自 Apple、Cisco、Microsoft 和 Google 的漏洞目錄，這些漏洞已被惡意網(wǎng)絡攻擊者積極利用，此外還要求聯(lián)邦機構優(yōu)先考慮這些漏洞在“激進”的時間范圍內(nèi)為這些安全漏洞應用補丁。

這些漏洞造成顯著風險，機構和聯(lián)邦企業(yè)，在周三發(fā)表的綁定操作指令(BOD)。積極修復已知被利用的漏洞以保護聯(lián)邦信息系統(tǒng)并減少網(wǎng)絡事件至關重要。

2017 年至 2020 年期間發(fā)現(xiàn)的大約 176 個漏洞以及 2021 年以來的 100 個漏洞已進入初始列表，預計這些漏洞將在已知時更新為其他積極利用的漏洞，前提是這些漏洞已被分配為常見漏洞和暴露( CVE) 標識符并具有明確的補救措施。

綁定指令要求在 2021 年發(fā)現(xiàn)的安全漏洞(被跟蹤為 CVE-2021-XXXXX 的漏洞)在 2021 年 11 月 17 日之前得到解決，同時將其余較舊漏洞的修補截止日期定為 2022 年 5 月 3 日。盡管 BOD 主要針對聯(lián)邦文職機構，但 CISA 建議私營企業(yè)和國家實體審查目錄并修復漏洞，以加強其安全性和彈性狀態(tài)。

新戰(zhàn)略還使該機構從基于嚴重性的漏洞修復轉(zhuǎn)向那些構成重大風險并在現(xiàn)實世界的入侵中被濫用的漏洞修復，因為對手不一定總是只依靠“關鍵”弱點來實現(xiàn)他們的目標，其中一些最廣泛和最具破壞性的攻擊鏈接了多個被評為“高”、“中”甚至“低”的漏洞。

Tripwire 戰(zhàn)略副總裁 Tim Erlin 說：“該指令做了兩件事。首先，它建立了一個商定的正在被積極利用的漏洞列表;其次，它提供了修復這些漏洞的截止日期。通過提供一個通用的漏洞列表作為修復目標，CISA 在優(yōu)先級排序方面有效地為機構提供了公平的競爭環(huán)境。不再由每個機構來決定哪些漏洞是補丁的最高優(yōu)先級。”

本文轉(zhuǎn)載自微信公眾號「祺印說信安」，作者何威風。轉(zhuǎn)載本文請聯(lián)系祺印說信安公眾號。