CISA命令联邦机构定期跟踪网络资产和漏洞

美国网络安全和基础设施安全局（CISA）发布了一项新的具有约束力的操作指令（BOD），指示美国联邦机构在六个月后跟踪其网络上的资产和漏洞。

为此，联邦民事行政部门（FCEB）的企业承担了两组活动的任务：资产发现和漏洞列举，这被视为“提高对联邦民事网络面临风险的认识”的重要步骤。

这包括每七天执行一次自动资产发现，并在2023年4月3日前每14天对发现的资产启动一次漏洞枚举，此外，还可以在收到CISA请求后的72小时内按需执行。

Android和iOS设备以及驻留在机构内部网络之外的其他设备也有类似的基线漏洞枚举义务。

CISA表示：“这样做将确保资产管理和漏洞检测实践，从而加强其组织的网络抵御能力，”并补充道，这将有助于弥补攻击表面的漏洞。

它表示，BOD 23-01的目标是保持网络资产的最新库存，识别软件漏洞，跟踪机构的资产覆盖范围和漏洞特征，并在规定的时间间隔内将这些信息共享给CISA。

CISA局长Jen Easterly在一份声明中表示：“威胁行为体继续针对我们国家的关键基础设施和政府网络，利用未知、未受保护或未受保护的资产中的弱点”。“了解网络中的内容是任何组织降低风险的第一步”。

虽然该指令是联邦民事机构的授权，但CISA也敦促所有企业，包括私人实体和州政府，审查并实施严格的资产和漏洞管理计划。