美国网络安全暨基础架构管理局(CISA)昨(3)日发布今年第1次约束性作业指引(binding operational directive,BOD),要求联邦政府各部会应在一定期间内,修补去年及今年内遭到开采的软、硬件漏洞,新漏洞得在2周内修补完成。
BOD是为确保美国联邦政府信息及信息系统之安全,针对联邦政府、行政部门、各部会发布的强制指令。名为《降低已知被开采漏洞之重大风险》、编号22-01的BOD指出,过去曾被开采以黑入公、私部门机构的漏洞,是各类黑客经常使用的攻击渠道,因此有必要积极修补已知曾遭开采的漏洞,以确保联邦政府信息系统安全,减少网络攻击事件。
CISA也创建了一个对美国政府有重大风险的已知被开采漏洞数据库。该数据库包含美国政府使用的产品之已知、且传出被黑的数百项安全漏洞,影响产品从Accellion文件分享平台FTA、SolarWinds、SonicWall VPN产品SMA1000、F5 BIG-IP、到iOS、Android、Exchange Server、Azure Open Management Infrastructure (OMI)、Google Chrome、Pulse Connect Secure、Oracle WebLogic、Apache HTTP Server等。
目前这个数据库包含200个、在2017年到2020年发现的漏洞,而今年发现的则有90个,但是有许多漏洞虽是今年以前发现,却是今年被开采。
CISA要求,今年内被开采的漏洞,应在2周内,即2021年11月17日修补。而2020年底以前遭开采的漏洞,则应在6个月内,即2022年5月3日以前修补完成。
这项指引也要求联邦政府机关从现在起60天之内,检讨与更新内部漏洞管理程序。而且未来也必须每季1次通过自动系统,报告这份指引的执行情况,若不使用自动系统的单位,从明年10月起就得2周交一次报告。