DHS為代理商提供了15天的安全漏洞修補(bǔ)截止日期

“嚴(yán)重”缺陷15天，“嚴(yán)重”嚴(yán)重缺陷30天。美國(guó)國(guó)土安全部(DHS)今天發(fā)布了一項(xiàng)具有約束力的運(yùn)營(yíng)指令，該指令對(duì)美國(guó)政府機(jī)構(gòu)施加了嚴(yán)格的期限，在此期間，他們必須修補(bǔ)在互聯(lián)網(wǎng)可訪問系統(tǒng)中發(fā)現(xiàn)的安全漏洞。10個(gè)危險(xiǎn)的app漏洞需要注意(免費(fèi)PDF)根據(jù)今天發(fā)布的BOD 19-02，美國(guó)代理商有15個(gè)日歷日來(lái)修復(fù)一個(gè)評(píng)級(jí)為“關(guān)鍵”的安全漏洞，以及一個(gè)30天的嚴(yán)重等級(jí)為“高”級(jí)別的漏洞。

在DHS的Cyber?? Hygiene漏洞掃描系統(tǒng)在常規(guī)掃描期間檢測(cè)到安全漏洞的那一刻，用于修復(fù)任何缺陷的倒計(jì)時(shí)時(shí)鐘開始計(jì)時(shí)。當(dāng)發(fā)生這種情況時(shí)，Cyber?? Hygiene將向受影響的政府機(jī)構(gòu)的IT團(tuán)隊(duì)發(fā)出警報(bào)，該團(tuán)隊(duì)將不得不修復(fù)這些缺陷或面臨行政處罰。

如果在指定的時(shí)間范圍內(nèi)沒有修復(fù)漏洞，DHS將向代理商發(fā)送額外的提醒。代理商可以回復(fù)這些提醒，說(shuō)明他們未能更新的原因，他們部署的中間緩解措施，并提供他們計(jì)劃何時(shí)修補(bǔ)易受攻擊的系統(tǒng)的估計(jì)。

DHS并不期望所有安全漏洞都會(huì)及時(shí)修復(fù)，甚至不會(huì)修補(bǔ)，因?yàn)楸娝苤承┫到y(tǒng)已停止接收安全更新。國(guó)土安全部將根據(jù)CVSSv2嚴(yán)重等級(jí)評(píng)估和排序漏洞，這是一個(gè)較舊的系統(tǒng)，與更常用的CVSSv3等級(jí)不同，這意味著任何已識(shí)別漏洞的嚴(yán)重等級(jí)將與大多數(shù)網(wǎng)絡(luò)安全專家認(rèn)為“高”的嚴(yán)重等級(jí)大不相同今天“至關(guān)重要”。

在今天的指令之前，國(guó)土安全部要求各機(jī)構(gòu)在30天內(nèi)解決“關(guān)鍵”缺陷，并沒有給政府機(jī)構(gòu)任何修復(fù)被評(píng)為“高”的漏洞的截止日期。BOD 19-02今天由國(guó)土安全部新的網(wǎng)絡(luò)安全部門 -網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局發(fā)布。

這是CISA今年發(fā)布的第二份具有約束力的操作指令。該機(jī)構(gòu)此前發(fā)布了一項(xiàng)指令，其中包含有關(guān)美國(guó)政府機(jī)構(gòu)如何保護(hù)其互聯(lián)網(wǎng)域免受伊朗威脅行為者犯下的DNS劫持事件的指導(dǎo)。