为什么每个人都需要认真对待最新的CISA指令

政府机构随时发布公告和指令。通常，这些只与政府部门相关，这意味着没有其他人真正关注。很容易理解为什么你会认为CISA的指令与你的组织无关。

但是，以最新的CISA指令为例，这将是一个错误。在本文中，我们将解释为什么，即使您在私营或非政府部门，您仍然应该仔细查看具有CISA约束力的操作指令22-01。

我们概述了中钢协为何被迫发布这一指令，以及为何这一坚定行动对所有组织都有影响–；政府内外。当然，在网络安全问题上采取行动并不像轻触开关那么简单，所以请继续阅读，了解如何解决CISA指令背后的核心问题。

好吧，那么CISA指令到底是什么？

让我们后退一步以获得一些背景。就像任何使用技术的组织一样，美国政府机构–；联邦机构–；不断受到恶意行为者的网络攻击，从普通罪犯到敌国。

因此，美国国土安全部成立了网络安全和基础设施安全局CISA，以帮助协调联邦机构的网络安全。

CISA表示，它是联邦网络安全的运营领导者，保护联邦政府网络。但每个机构都有自己的运营和技术团队，不受CISA直接控制–；这就是CISA指令的用武之地。

CISA指令旨在迫使联邦机构的技术团队采取CISA认为必要的某些行动，以确保网络安全运营。这些指令通常涉及特定的高风险漏洞，但有些指令更为笼统，例如BD 18-01概述了机构应采取的改善电子邮件安全性的具体步骤。

指令BD 22-01说了什么？

具有约束力的操作指令22-01是更广泛的指令之一–；事实上，它非常广泛，指的是300多个漏洞。中钢协迈出了戏剧性的一步–；这不仅仅是另一条普通的通信信息。

根据该指令，CISA列出了一系列其认为在数万个已知漏洞中最常被利用的漏洞。这些漏洞中有一些是非常古老的。

在此漏洞目录中，每个条目都指定了联邦机构需要补救漏洞的固定日期。指令本身包含进一步的详细说明和时间表–；包括建立定期审查BD 22-01所附清单的流程——这意味着该清单将在未来扩大。

清单上的漏洞示例

让我们来看一下列表中的一些漏洞示例。CISA总结了其认为最严重、最易被利用的漏洞–；换句话说，如果不解决最有可能导致伤害的漏洞。

这个列表涵盖的范围非常广泛，从基础设施到应用程序–；包括移动应用–；甚至涵盖了一些最值得信赖的安全解决方案。它包括微软、SAP和TrendMicro等供应商，以及流行的开源技术解决方案，包括Linux和Apache。

列表中的一个漏洞示例与Apache HTTP服务器有关，其中一系列2.4版版本受到记分板漏洞的影响–；CVE-2019-0211。它允许攻击者通过在操作记分板的权限较低的进程中运行代码来发起攻击，从而使攻击者能够在父进程的权限下执行任意代码。

另一个例子是流行的协作工具Atlassian Confluence。在这里，攻击者可以通过将宏代码注入Atlassian Widget连接器来发起远程代码执行攻击。同样，CISA列出了该漏洞，因为该组织认为该漏洞被普遍利用。

Yes! This CISA directive applies to you too…

好吧，CISA的指令不能在美国联邦政府以外的技术团队中执行，但这并不意味着这里没有什么可学的。

首先，退后一步，想想CISA的理由，然后再简单地驳回其最新指令。我们知道，网络安全攻击是司空见惯的，而且无论是在州或联邦环境中操作，成本都是巨大的；或者作为私人企业。

CISA只是在万不得已的情况下发布了这份名单。该机构对经常袭击政府目标的攻击者感到非常愤怒，以至于被迫发布一项具有约束力的指令，列出必须解决的漏洞。它之所以这么做，仅仅是因为已知的漏洞被解锁的情况非常普遍。

这些漏洞并不是政府服务独有的–；任何技术环境都可能受到影响。

问题是：就像政府的技术环境一样，你的技术产业可能充满了需要修复的漏洞。CISA清单将是开始解决问题的绝佳场所。

最重要的是，这些不仅仅是潜在的可利用漏洞。

如果你仔细阅读该指令，这些都是漏洞——目前——正在被野生利用，这意味着利用代码对每个人来说都是现成的，或者分布在互联网上不那么有趣的角落。不管怎样，这些都不再只是一种假设的威胁。

CISA指令的隐藏信息

不是你–；或者政府的技术团队–；是疏忽或无知。这只是一个现实问题。在实践中，技术团队并没有抽出时间来持续修复漏洞。大型、明显、已知的漏洞（如CISA指令中列出的漏洞）可能会等待攻击者利用，这仅仅是因为技术团队从未修复过它。

发生这种情况的原因多种多样，忽视很少是其中之一。资源的缺乏可以说是最大的原因之一，因为技术团队过于紧张，无法进行充分的测试、修补和缓解。

修补程序也会带来干扰：面对利益相关者的抵制，紧急修补程序可能会很快变得不那么紧迫。因此，CISA指令真正要说的是，实际情况意味着存在大量漏洞，这些漏洞根本没有得到解决，并导致成功利用漏洞。

作为回应，CISA仅仅因为对网络犯罪的绝望程度，就制定了一份你可以称之为紧急名单的清单。换句话说，这种情况是站不住脚的；CISA指令是急诊科的辅助工具，是一种尝试烧灼损伤的方法。

抑制干扰，也能提高安全性

开始解决最关键、最易被利用的漏洞是显而易见的答案，这就是CISA列表的目的。紧随其后的是在这个问题上投入更多资源–；花更多时间修复漏洞是值得的一步。

但这些显而易见的步骤很快就遇到了障碍：修复和修补会导致中断，而找到前进的道路是一项挑战。如果找不到克服这些破坏性影响的方法，情况可能会继续变得如此糟糕，以至于我们需要像CISA指令这样的措施。重塑安全运作才是答案。

技术团队能做什么？它需要以一种将修补相关中断降至最低的方式进行大规模的重新设计。例如，冗余和高可用性有助于减轻漏洞管理带来的一些最糟糕的破坏性影响。

利用最先进的安全技术也有帮助。漏洞扫描程序可以突出最紧迫的问题，以帮助确定优先级。TuxCare的实时补丁是另一个伟大的工具–；因为实时补丁完全消除了重新启动的需要，这意味着可以从根本上消除补丁中断。

这就是CISA指令的真正含义。。。

无论你是在政府还是在私营部门，都需要重新思考，因为脆弱性堆积得如此之快。CISA指令突显了情况已经变得多么糟糕。但是简单地应用更多的创可贴是不起作用的。你会补救的，很快就会回到原来的状态。

所以，把CISA指令作为一个警告信号。是的，检查您是否正在使用列表中的任何软件和服务，并相应地进行修补。但是，最重要的是，想想如何改进你的SecOps–；通过以更少的中断进行补救，确保您对漏洞的响应更迅速。补丁速度更快，中断更少。