相關連結:https://www.ithome.com.tw/news/130357

由於漏洞從揭露到遭受攻擊的時間間距愈來愈短,美國國土安全部頒布強制命令,要求聯邦機構必須在發現重大風險漏洞的15天內完成修補,而高度風險漏洞的修補期限則是30天。

18074c2c68b4065802945b776fa5c078.png

  美國國土安全部(DHS)在4月29日頒布了強制命令Binding Operational Directive 19-02(BOD 19-02),要求各美國聯邦機構必須在發現重大(Critical)風險漏洞的15天內修補該漏洞,而高度(High)風險漏洞的修補期限則是30天。

  BOD 19-02是用來取代DHS在2015年所頒布的BOD 15-01,前者命令名稱為《網路存取系統的漏洞整治要求》(Vulnerability Remediation Requirements for Internet-Accessible Systems),後者則是《網路存取系統的重大漏洞緩解要求》(Critical Vulnerability Mitigation Requirement for Federal Civilian Executive Branch Departments and Agencies’ Internet-Accessible Systems),當初的BOD 15-01規定美國聯邦機構必須在30天內緩解重大風險漏洞,而且對高度風險漏洞並無要求。

  不管是哪項命令,都是由國土安全部旗下的網路安全及基礎設施安全局(Cybersecurity and Infrastructure Security Agency,CISA)負責監督。

  DHS表示,隨著聯邦機構擴大網路存取系統的部署,這些系統愈來愈複雜,系統之間也有更多的互動;再加上各項研究都顯示,漏洞從揭露到遭受攻擊的時間間距愈來愈短,也讓儘速修補漏洞更顯重要。

  於是,BOD 19-02將重大風險漏洞的修補期限從30天縮短為15天,也將以往未加以規範的高度風險漏洞納入管理,修補期限為30天,亦將期限的計算從舉報日改為偵測到漏洞的當天。

  CISA原本就會定期針對網路配置與已知漏洞進行掃描,稱為「網路衛生」(Cyber Hygiene)行動,並會發表周報以供所有聯邦機構參考。而從今年3月起,Cyber Hygiene周報已不只列入重大風險漏洞,而是列舉所有從低到重大風險等級的安全漏洞。

  倘若聯邦機構無法在限期內完成修補,就必須在3天內提出修補限制、暫時補救措施及預計完成修補的時間。

上一個 回列表 下一個