DHS為代理商提供了15天的安全漏洞修補截止日期

“嚴(yán)重”缺陷15天，“嚴(yán)重”嚴(yán)重缺陷30天。美國國土安全部(DHS)今天發(fā)布了一項具有約束力的運營指令，該指令對美國政府機構(gòu)施加了嚴(yán)格的期限，在此期間，他們必須修補在互聯(lián)網(wǎng)可訪問系統(tǒng)中發(fā)現(xiàn)的安全漏洞。10個危險的app漏洞需要注意(免費PDF)根據(jù)今天發(fā)布的BOD 19-02，美國代理商有15個日歷日來修復(fù)一個評級為“關(guān)鍵”的安全漏洞，以及一個30天的嚴(yán)重等級為“高”級別的漏洞。

在DHS的Cyber?? Hygiene漏洞掃描系統(tǒng)在常規(guī)掃描期間檢測到安全漏洞的那一刻，用于修復(fù)任何缺陷的倒計時時鐘開始計時。當(dāng)發(fā)生這種情況時，Cyber?? Hygiene將向受影響的政府機構(gòu)的IT團隊發(fā)出警報，該團隊將不得不修復(fù)這些缺陷或面臨行政處罰。

如果在指定的時間范圍內(nèi)沒有修復(fù)漏洞，DHS將向代理商發(fā)送額外的提醒。代理商可以回復(fù)這些提醒，說明他們未能更新的原因，他們部署的中間緩解措施，并提供他們計劃何時修補易受攻擊的系統(tǒng)的估計。

DHS并不期望所有安全漏洞都會及時修復(fù)，甚至不會修補，因為眾所周知某些系統(tǒng)已停止接收安全更新。國土安全部將根據(jù)CVSSv2嚴(yán)重等級評估和排序漏洞，這是一個較舊的系統(tǒng)，與更常用的CVSSv3等級不同，這意味著任何已識別漏洞的嚴(yán)重等級將與大多數(shù)網(wǎng)絡(luò)安全專家認為“高”的嚴(yán)重等級大不相同今天“至關(guān)重要”。

在今天的指令之前，國土安全部要求各機構(gòu)在30天內(nèi)解決“關(guān)鍵”缺陷，并沒有給政府機構(gòu)任何修復(fù)被評為“高”的漏洞的截止日期。BOD 19-02今天由國土安全部新的網(wǎng)絡(luò)安全部門 -網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局發(fā)布。

這是CISA今年發(fā)布的第二份具有約束力的操作指令。該機構(gòu)此前發(fā)布了一項指令，其中包含有關(guān)美國政府機構(gòu)如何保護其互聯(lián)網(wǎng)域免受伊朗威脅行為者犯下的DNS劫持事件的指導(dǎo)。