北京
美國網絡安全與基礎設施安全局(CISA)近日發布了一份新的強制性操作指令,編號26-04。這份指令直接指向聯邦文職行政分支(FCEB)機構的安全更新時間表,把高風險漏洞的修補時限壓縮到了前所未有的短——某些情況下,只有3天。
指令的核心目標很明確:縮短攻擊者可以利用的時間窗口。CISA認為,公共部門面臨的網絡攻擊威脅正在加劇,加速修復那些已經進入高危列表的漏洞,是降低政府系統被穿透概率的最直接手段。與以往的安全建議不同,這份指令不是“推薦”而是“必須執行”,它有明確的問責色彩。
新指令26-04正式取代了此前兩份分別發布于2019年和2021年的舊版指令——BOD 19-02和BOD 22-01。CISA在聲明中用了一個很干脆的動詞:“取代并撤銷”。這意味著聯邦機構的漏洞管理辦法,從指導框架徹底切換到了一個新的緊耦合機制。
到底哪些漏洞需要3天內修補?CISA給出了四個判斷維度:第一,受影響的資產是否已經在互聯網上公開暴露;第二,該漏洞是否已列入CISA自己維護的“已知被利用漏洞”(KEV)目錄;第三,漏洞利用能否被自動化工具大規模執行;第四,攻擊者得手后是只能部分控制目標系統,還是能拿到完整控制權。
這四個維度的組合,直接決定了修補期限的長短。最短檔位是3天,針對的是那些公開暴露、KEV在列、可以自動化攻擊并且能讓攻擊者獲得完整控制權的漏洞。相比之下,如果漏洞利用無法自動化實現,或者即便成功也只能讓攻擊者拿到系統部分權限,修補時間可以放寬到兩周。CISA把這條線劃得很清楚——緊急程度是算出來的,不是憑感覺評的。
從適用范圍看,指令約束的對象是FCEB機構及其所運行的信息系統。這包括各個政府部門和行政機構,但明確排除了美國國防部下屬的某些軍事系統、私營企業、情報系統以及承包商。這是一個有邊界的硬性約束,不是面向全社會發的一份安全操作指南。但就像此前幾份指令一樣,業界普遍會把它視為一個風向標——聯邦政府怎么要求自己,常常會成為行業最佳實踐的參考原點。
指令要求的落地范圍也不局限于某個部署形態。所有聯邦自建機房內的系統、托管在第三方服務商處的系統,以及通過聯邦風險與授權管理計劃(FedRAMP)認證或未認證的云環境,全部被納入。沒有任何一個環境可以因為“不在自有數據中心”就獲得豁免。
時間表方面,CISA給出了明確的幾個執行節點。受到指令約束的機構需要在60天內,將漏洞管理流程調整為以CVE編號和KEV目錄數據作為修復決策的基礎。180天之內,所有相關機構都必須完全遵循新的修復時限要求,并開始持續監控和上報資產的詳細元數據。現在的當務之急,是相關機構應當立刻更新自身的漏洞管理政策,同步刷新資產清單,同時實現KEV狀態的自動化報告。
這份指令拋出的不只是時限壓力,還有一個隱含信號:防御的節奏要從攻擊之后轉向攻擊之前。Picus的一份白皮書提供了一個很有痛感的數字——安全團隊記錄的成功的攻擊活動,只占實際攻擊量的54%。而能夠觸發告警的比例更低,只有14%。剩下的攻擊行為,在整個環境里靜悄悄地移動,完全不被察覺。白皮書的核心觀點是,用入侵與攻擊模擬工具去持續測試SIEM和EDR規則,才能讓那些悄無聲息的威脅不至于反復滑過檢測節點。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
