美国网络安全与基础设施安全局(CISA)近日发布了一份新的强制性操作指令,编号26-04。这份指令直接指向联邦文职行政分支(FCEB)机构的安全更新时间表,把高风险漏洞的修补时限压缩到了前所未有的短——某些情况下,只有3天。
指令的核心目标很明确:缩短攻击者可以利用的时间窗口。CISA认为,公共部门面临的网络攻击威胁正在加剧,加速修复那些已经进入高危列表的漏洞,是降低政府系统被穿透概率的最直接手段。与以往的安全建议不同,这份指令不是“推荐”而是“必须执行”,它有明确的问责色彩。
新指令26-04正式取代了此前两份分别发布于2019年和2021年的旧版指令——BOD 19-02和BOD 22-01。CISA在声明中用了一个很干脆的动词:“取代并撤销”。这意味着联邦机构的漏洞管理办法,从指导框架彻底切换到了一个新的紧耦合机制。
到底哪些漏洞需要3天内修补?CISA给出了四个判断维度:第一,受影响的资产是否已经在互联网上公开暴露;第二,该漏洞是否已列入CISA自己维护的“已知被利用漏洞”(KEV)目录;第三,漏洞利用能否被自动化工具大规模执行;第四,攻击者得手后是只能部分控制目标系统,还是能拿到完整控制权。
这四个维度的组合,直接决定了修补期限的长短。最短档位是3天,针对的是那些公开暴露、KEV在列、可以自动化攻击并且能让攻击者获得完整控制权的漏洞。相比之下,如果漏洞利用无法自动化实现,或者即便成功也只能让攻击者拿到系统部分权限,修补时间可以放宽到两周。CISA把这条线划得很清楚——紧急程度是算出来的,不是凭感觉评的。
从适用范围看,指令约束的对象是FCEB机构及其所运行的信息系统。这包括各个政府部门和行政机构,但明确排除了美国国防部下属的某些军事系统、私营企业、情报系统以及承包商。这是一个有边界的硬性约束,不是面向全社会发的一份安全操作指南。但就像此前几份指令一样,业界普遍会把它视为一个风向标——联邦政府怎么要求自己,常常会成为行业最佳实践的参考原点。
指令要求的落地范围也不局限于某个部署形态。所有联邦自建机房内的系统、托管在第三方服务商处的系统,以及通过联邦风险与授权管理计划(FedRAMP)认证或未认证的云环境,全部被纳入。没有任何一个环境可以因为“不在自有数据中心”就获得豁免。
时间表方面,CISA给出了明确的几个执行节点。受到指令约束的机构需要在60天内,将漏洞管理流程调整为以CVE编号和KEV目录数据作为修复决策的基础。180天之内,所有相关机构都必须完全遵循新的修复时限要求,并开始持续监控和上报资产的详细元数据。现在的当务之急,是相关机构应当立刻更新自身的漏洞管理政策,同步刷新资产清单,同时实现KEV状态的自动化报告。
这份指令抛出的不只是时限压力,还有一个隐含信号:防御的节奏要从攻击之后转向攻击之前。Picus的一份白皮书提供了一个很有痛感的数字——安全团队记录的成功的攻击活动,只占实际攻击量的54%。而能够触发告警的比例更低,只有14%。剩下的攻击行为,在整个环境里静悄悄地移动,完全不被察觉。白皮书的核心观点是,用入侵与攻击模拟工具去持续测试SIEM和EDR规则,才能让那些悄无声息的威胁不至于反复滑过检测节点。
热门跟贴