CISA發(fā)布了今年的第一個(gè)約束性操作指令（BOD），命令聯(lián)邦民事機(jī)構(gòu)在規(guī)定的時(shí)間范圍內(nèi)消除安全漏洞。根據(jù)CISA管理的漏洞目錄中規(guī)定的時(shí)間表修復(fù)每個(gè)漏洞。該目錄詳細(xì)列出對(duì)聯(lián)邦企業(yè)帶來(lái)重大風(fēng)險(xiǎn)的已利用漏洞，并要求在6個(gè)月內(nèi)修復(fù)具有2021年之前分配的通用漏洞和暴露 （CVE） ID編號(hào)的漏洞，并在即日起兩周內(nèi)修復(fù)所有其他漏洞。在聯(lián)邦企業(yè)面臨嚴(yán)重風(fēng)險(xiǎn)的情況下，可能會(huì)調(diào)整這些默認(rèn)時(shí)間表。與指令一同發(fā)布的需要修復(fù)的漏洞清單上有近300個(gè)漏洞，涉及幾乎所有的IT大廠。Accellion, Adobe，Apple，Apache, Android, Arcadyan, Arm, Atlassian, BQE，Cisco，Citrix, D-Link, DNN, Docker, DrayTek, Drupal, ExifTool, Exim, EyesOfNetwork, F5, ForgeRock, Fortinet，Google，IBM, ImageMagick, Ivanti, Kaseya, LifeRay, McAfee, Micro Focus, Microsoft, Mozilla、Nagios、Netgear、Netis、Oracle、PlaySMS、Progress、Pulse Secure、Qualcomm、rConfig、Realtek、Roundcube、SaltStack、SAP、SIMalliance、SolarWinds、Sonatype、SonicWall、Sophos、Sumavision、Symantec、TeamViewer、Telerik、Tenda、ThinkPHP、Trend marco、TVT、Unraid、vBulletin、VMware、WordPress、Yealink、Zoho （ManageEngine）和ZyXEL全都在列。

　　編號(hào)為BOD 22-01的（減少已知被利用漏洞的重大風(fēng)險(xiǎn)）約束性操作指令適用于面向互聯(lián)網(wǎng)和非面向互聯(lián)網(wǎng)的聯(lián)邦信息系統(tǒng)的軟件和硬件，包括由聯(lián)邦機(jī)構(gòu)或代表機(jī)構(gòu)的第三方管理的系統(tǒng)。

　　該指令的目標(biāo)是幫助聯(lián)邦機(jī)構(gòu)和公共/私營(yíng)部門(mén)組織通過(guò)改進(jìn)他們的漏洞管理實(shí)踐和減少他們對(duì)網(wǎng)絡(luò)攻擊的暴露面來(lái)積極應(yīng)對(duì)持續(xù)的威脅活動(dòng)。

　　CISA局長(zhǎng)Jen Easterly說(shuō)：“今天在保護(hù)聯(lián)邦民用網(wǎng)絡(luò)的約束性操作指令（BOD） 22-01為緩解已知的被利用的漏洞建立了時(shí)間框架，并要求改進(jìn)漏洞管理程序。”

　　“BOD適用于聯(lián)邦民事機(jī)構(gòu)；然而，所有組織都應(yīng)該采納這個(gè)指令，并優(yōu)先減輕我們公共目錄上列出的漏洞，這些漏洞正被積極地用于利用公共和私人組織。”

　　各機(jī)構(gòu)被要求在兩周內(nèi)修補(bǔ)2021年的漏洞

　　CISA公布了數(shù)百個(gè)被利用的安全漏洞的目錄，如果威脅行為者成功地濫用這些漏洞，政府系統(tǒng)將面臨重大風(fēng)險(xiǎn)。

　　各機(jī)構(gòu)被命令按照CISA設(shè)定的時(shí)間表，對(duì)已知被利用的漏洞目錄中列出的安全漏洞進(jìn)行補(bǔ)救：

　　在2021年11月17日之前的兩周內(nèi)，應(yīng)該修補(bǔ)今年被利用的漏洞。

　　在2020年底之前被利用的漏洞應(yīng)在2022年5月3日之前的6個(gè)月內(nèi)修復(fù)。

　　目前，該目錄包括2017-2020年到2021年之間識(shí)別的200多個(gè)漏洞，如果符合以下條件，CISA將定期更新新發(fā)現(xiàn)的漏洞：

　　該漏洞具有指定的公共漏洞和暴露（CVE） ID。

　　有可靠的證據(jù)表明，這種脆弱性在野外得到了積極的利用。

　　針對(duì)該漏洞有一個(gè)明確的補(bǔ)救措施，例如供應(yīng)商提供的更新。

　　具體措施要求包括：

　　1、建立一個(gè)持續(xù)修復(fù)漏洞的流程，CISA 通過(guò)將其納入CISA管理的已知被利用漏洞目錄，在 CISA 根據(jù)該指令設(shè)定的時(shí)間范圍內(nèi)對(duì)聯(lián)邦企業(yè)構(gòu)成重大風(fēng)險(xiǎn)；

　　2、根據(jù)本指令的要求，分配執(zhí)行機(jī)構(gòu)行動(dòng)的角色和職責(zé)；

　　3、定義必要的行動(dòng)，以便對(duì)本指令要求的行動(dòng)迅速做出反應(yīng)；

　　4、建立內(nèi)部驗(yàn)證和執(zhí)行程序，以確保遵守本指令；

　　5、設(shè)置內(nèi)部跟蹤和報(bào)告要求，以評(píng)估對(duì)本指令的遵守情況，并根據(jù)需要向 CISA 提供報(bào)告。

　　他們還必須通過(guò)CyberScope或CDM聯(lián)邦儀表盤(pán)提交補(bǔ)丁狀態(tài)的季度報(bào)告，對(duì)于在2022年10月1日之前還沒(méi)有遷移出CyberScope的機(jī)構(gòu)，將改為每?jī)芍軋?bào)告一次。

　　CISA表示：“以前被用于利用公共和私人組織的漏洞，是各種惡意網(wǎng)絡(luò)行為者的頻繁攻擊載體。”

　　“這些漏洞對(duì)機(jī)構(gòu)和聯(lián)邦企業(yè)構(gòu)成了重大風(fēng)險(xiǎn)。積極補(bǔ)救已知的被利用的漏洞，以保護(hù)聯(lián)邦信息系統(tǒng)，減少網(wǎng)絡(luò)事件是至關(guān)重要的?！?/p>