国土安全部命令联邦机构在15天内修补关键缺陷

美国国土安全部（DHS）已命令政府机构在首次检测后的15个日历日内，更快地堵塞其网络上发现的关键安全漏洞，比30天缩短。

国土安全部网络安全和基础设施安全局（CISA）本周发布了一项新的具有约束力的运营指令（BOD）19-02，指示联邦机构和部门在首次检测后15天内解决“严重”级别的漏洞，并在30天内解决“高”严重性缺陷。
修补安全漏洞的倒计时将从CISA每周网络卫生漏洞扫描中首次检测到时开始，而不是第一次向受影响机构报告。

“随着联邦机构通过增加可访问互联网的系统的部署，继续扩大其互联网存在，并运行互联和复杂的系统，联邦机构比以往任何时候都更需要迅速修复漏洞，否则这些漏洞可能会让恶意行为者通过爆炸来危害联邦网络itable，面向外部的系统，”CISA主管Chris Krebs在备忘录中写道。

“来自政府和行业合作伙伴的最新报告表明，发现和利用漏洞之间的平均时间正在减少，因为今天的对手更加熟练、持久，并且能够利用已知的漏洞”。

因此，为了将未经授权访问任何联邦信息内部系统的风险降至最低，并减少整体攻击面，CISA希望政府机构在黑客和网络犯罪分子利用这些系统之前，审查并修复面向互联网的系统上的关键漏洞。

最近成立的CISA机构定期向联邦机构报告网络卫生扫描结果和当前状态，告知他们检测到的漏洞，并根据CVSSv2分数进行分类。

未在规定时间内完成补救的机构，CISA将向机构发送额外提醒，要求其在三个工作日内向CISA提交完整的补救计划。

BOD 19-02取代BOD 15-01和#8212，联邦民用行政部门和机构互联网接入系统的关键脆弱性缓解要求（2015年5月21日）联邦机构有30天的时间修补关键漏洞。

这是中钢协今年发布的第二个董事会。继一系列DNS劫持事件之后，该机构今年早些时候发布了一项“紧急指令”，命令联邦机构在10天内审计各自网站域名和其他机构管理的域名的DNS记录。