DHS為代理商提供了15天的安全漏洞修補截止日期

“嚴重”缺陷15天，“嚴重”嚴重缺陷30天。美國國土安全部(DHS)今天發(fā)布了一項具有約束力的運營指令，該指令對美國政府機構施加了嚴格的期限，在此期間，他們必須修補在互聯(lián)網(wǎng)可訪問系統(tǒng)中發(fā)現(xiàn)的安全漏洞。10個危險的app漏洞需要注意(免費PDF)根據(jù)今天發(fā)布的BOD 19-02，美國代理商有15個日歷日來修復一個評級為“關鍵”的安全漏洞，以及一個30天的嚴重等級為“高”級別的漏洞。

在DHS的Cyber?? Hygiene漏洞掃描系統(tǒng)在常規(guī)掃描期間檢測到安全漏洞的那一刻，用于修復任何缺陷的倒計時時鐘開始計時。當發(fā)生這種情況時，Cyber?? Hygiene將向受影響的政府機構的IT團隊發(fā)出警報，該團隊將不得不修復這些缺陷或面臨行政處罰。

如果在指定的時間范圍內(nèi)沒有修復漏洞，DHS將向代理商發(fā)送額外的提醒。代理商可以回復這些提醒，說明他們未能更新的原因，他們部署的中間緩解措施，并提供他們計劃何時修補易受攻擊的系統(tǒng)的估計。

DHS并不期望所有安全漏洞都會及時修復，甚至不會修補，因為眾所周知某些系統(tǒng)已停止接收安全更新。國土安全部將根據(jù)CVSSv2嚴重等級評估和排序漏洞，這是一個較舊的系統(tǒng)，與更常用的CVSSv3等級不同，這意味著任何已識別漏洞的嚴重等級將與大多數(shù)網(wǎng)絡安全專家認為“高”的嚴重等級大不相同今天“至關重要”。

在今天的指令之前，國土安全部要求各機構在30天內(nèi)解決“關鍵”缺陷，并沒有給政府機構任何修復被評為“高”的漏洞的截止日期。BOD 19-02今天由國土安全部新的網(wǎng)絡安全部門 -網(wǎng)絡安全和基礎設施安全局發(fā)布。

這是CISA今年發(fā)布的第二份具有約束力的操作指令。該機構此前發(fā)布了一項指令，其中包含有關美國政府機構如何保護其互聯(lián)網(wǎng)域免受伊朗威脅行為者犯下的DNS劫持事件的指導。