网络安全和基础设施安全局(CISA)发布了具有约束力的指令22-01,标题为降低已知漏洞被利用的重大风险.本指令适用于所有在联邦信息系统中发现的软件和硬件,这些信息系统是在联邦机构所在地管理的,或由代表联邦机构的第三方托管的。

该指令中最受欢迎的必要行动之一是,CISA将保持一个目录以及必须纠正这些漏洞的时间表。根据计划,此目录将只列出已被证明构成最大风险的最重要的漏洞。

范围

在美国,有约束力的操作指令是联邦、行政部门、部门和机构必须遵守的指令。它们还强烈表明了CISA认为重要的那种网络安全措施,其他组织可能希望效仿。(不难想象,今天对联邦机构的要求,明天可能也会对联邦机构庞大的供应商网络提出要求。)

为此,CISA强烈建议私营企业和州、地方、部落和领土(SLTT)政府审查和监督其目录。CISA已经做了一项艰苦的工作,确定哪些地方应该首先修补,任何遵循其指导的人都可能发现他们的安全和弹性态势得到了改善。

的原因

毫不奇怪,针对美国实体的持续网络攻击是该指令的原因:“美国面临持续且日益复杂的恶意网络活动,威胁公共部门、私营部门,最终威胁到美国人民的安全和隐私。”

许多针对美国组织的攻击依赖于几个月甚至几年前就可以修补的漏洞,但实际上并没有。例如,今年早些时候,CISA与联邦调查局(FBI)和国家安全局(NSA)发布了一份联合咨询报告,敦促美国机构修补漏洞五老漏洞从2018年到2019年,经常被俄罗斯外国情报机构利用。

其思想是,由CISA目录提供的优先级支持的更好的补丁管理可以防止未来的攻击。

规则

所需的操作非常简单和直接——至少可以阅读。规则的执行可能会更加困难。规则是:

  • 计划.组织有60天的时间来制定漏洞管理计划。
  • 执行.CISA发出通知,时钟正在运行它所关心的漏洞。受影响的部门和机构有六个月的时间在2021年之前解决发放的CVE问题,两周时间解决其他问题。
  • 报告.组织必须通过持续诊断和缓解(CDM)联邦仪表板报告漏洞的状态。

虽然在2021年之前6个月对CVE来说可能是很长的时间,但这并不意味着它们比今年的脆弱性更重要。宽限期可能反映了组织在修复旧漏洞方面已经遇到的困难,或者“2021年前的一切”只是比2021年的10个月时间长得多的事实。六个月后,所有这些漏洞都被修复了,每个人的期限可能会短得多,只有两周时间来修复CISA认为足够严重的问题。

在某些情况下,目录已经列出了一个带有到期日期的漏洞,例如cve - 2019 - 11510.2019年8月,在补丁可用4个月后,Bad Packets执行的扫描发现共有14528个Pulse Secure VPN端点存在CVE-2019-11510漏洞。其中超过5000起发生在美国,包括军事、联邦、州和地方政府机构——这是在美国国家安全局和国家安全委员会发布警告之后发生的。

本CVE参考文献的注释栏中钢协的ED 21-03为进一步的指导和要求。在紧急指令中,截止日期是2021年4月23日。因此,它已经被要求为那些必须遵守紧急指令的组织打补丁。

补丁管理

因为补丁管理已经被证明是一项挑战,所以当您在寻找优先级规则时,拥有一个可以依靠的目录是非常有帮助的。另一方面,通过告诉组织需要做什么,他们可能会不经意地跳过必要的补丁,仅仅因为它们没有被列出。或者更糟的是,他们被列了出来,但负责修补的人没有找到他们。

无论如何,如果这是建立一个合规程序的第一步,所有在野外使用的漏洞在两周内得到修补,我们肯定会欢迎它。我们已经看到了影响,例如信息披露规则谷歌的零号项目就关于负责任的信息披露,并且希望看到这个指令对平均打补丁速度有类似的影响。

保持安全,大家好!