美国网络安全和基础设施安全局(CISA)发布了来自 的漏洞目录Apple、Cisco、Microsoft 和 Google 的漏洞目录已被恶意网络攻击者积极利用。此外,联邦机构还要优先考虑这些漏洞“激进”的时间范围内为这些安全漏洞应用补丁。
这些漏洞在周三发布的绑定操作指令中造成了重大风险。(BOD)。为了保护联邦信息系统,减少网络事件,积极修复已知利用的漏洞至关重要。
2017 2020年至 2020年发现的176个漏洞和 2021年以来的 100 个漏洞已进入初始列表。预计这些漏洞将在已知时更新为其他积极使用的漏洞,前提是这些漏洞已分配为常见漏洞和暴露( CVE) 标识符并有明确的补救措施。
2021年发现的绑定指令要求安全漏洞(跟踪为 CVE-2021-XXXXX 漏洞)在 2021 年 11 月 17 日前解决,其余旧漏洞修补截止日期为 2022 年 5 月 3 日。BOD 主要针对联邦文职机构,但 CISA 建议私营企业和国家实体审查目录,修复漏洞,以增强其安全性和弹性。
新战略还将该机构从严重的漏洞修复转变为构成重大风险并在现实世界入侵中滥用的漏洞修复,因为对手不一定总是依赖它“关键”为了实现他们的目标,一些最广泛、最具破坏性的攻击链接被评为“高”、“中”甚至“低”的漏洞。
Tripwire 战略副总裁 Tim Erlin 说:“该指令做了两件事。首先,它建立了正在积极使用的漏洞清单;其次,它提供了修复这些漏洞的截止日期。通过提供一个通用的漏洞列表作为修复目标,CISA 在优先级排名方面有效地为机构提供了公平的竞争环境。补丁的最高优先级不再由每个机构决定。”
本文转载自微信公众号「祺印说信安」,作者何威风。转载本文请联系齐印说信安微信官方账号。