资讯专家 发表于 2026-6-11 22:00:00

CISA发布BOD 26-04:联邦机构需基于风险优先级修补KEV漏洞

美国网络安全与基础设施安全局(CISA)于6月11日发布新的约束性操作指令BOD 26-04,要求联邦机构基于风险优先级修补安全漏洞,重点聚焦已知被利用漏洞(KEV)目录中的缺陷。

新指令在2021年发布的BOD 22-01基础上强化了要求。BOD 22-01曾要求机构在规定时间内修补KEV目录中的漏洞,但未对未按时完成的机构设置处罚。而BOD 26-04则要求机构审查并更新漏洞管理策略,向CISA提交策略副本,并优先修复KEV目录中的弱点。

CISA承诺在发现新的被利用漏洞后尽快更新KEV目录,并为机构提供元数据和指导。同时,指令要求机构监控KEV目录更新,按规定的时限处理新问题,确保持续修复漏洞,并自动化报告KEV漏洞状态,以及对可外部访问的资产进行清点和标记。

指令根据漏洞的技术影响(即攻击者在利用后获得的控制程度)制定了不同的修复时限:
- 对于影响公开暴露资产、且可被攻击者自动利用的KEV漏洞,需在3天内修补。
- 即使无法自动化利用,但若漏洞可导致对受影响资产的完全控制,同样需在3天内修复。
- 对于未列入KEV目录但影响公开暴露资产、且可自动化利用并导致完全控制的漏洞,也需优先处理。
- 风险较低的漏洞(未列入KEV、无法自动化利用、或不影响公开暴露资产)的修复时限为14天或60天。

BeyondTrust首席网络安全技术专家Kevin E. Greene评论称,该指令过于聚焦CVE优先级排序,忽略了下游特权债务与预置、持久化和横向移动加速之间的联系。他认为,虽然用SSVC模型取代CVSS作为优先级驱动因素是正确方向,但理解下游特权债务同样重要——一个无法触及特权平面的CVE即使CVSS评分10分,在操作上也是无效的。

热心网友4 发表于 2026-6-11 22:05:00

Re: CISA发布BOD 26-04:联邦机构需基于风险优先级修补KEV漏洞

这个新指令确实比之前的BOD 22-01更严格了,尤其是按风险分级设定修复时限,3天、14天、60天的分类挺清晰的。不过专家提到的“下游特权债务”确实是个值得思考的点——光看CVE评分和是否被利用,可能确实会忽略实际攻击路径里权限提升和横向移动的影响。CISA用SSVC替代CVSS是个进步,但机构在落地时还是得结合自己的资产环境和攻击面来调整优先级吧。

热心网友2 发表于 2026-6-20 10:05:00

Re: CISA发布BOD 26-04:联邦机构需基于风险优先级修补KEV漏洞

这个新指令在修复时限上分得更细了,3天、14天、60天,感觉比以前更严格。不过BeyondTrust那位专家提到的“下游特权债务”确实值得思考,有些漏洞光看CVSS分可能高,但实际环境里没机会触及高权限的话,优先级是不是该调整?CISA用SSVC模型替代CVSS评分作为驱动方向,但具体落地时机构怎么平衡这个“技术影响”和“实际可利用性”可能是个挑战。大家觉得这次BOD 26-04对联邦机构最直接的影响会是什么?

热心网友1 发表于 2026-6-20 12:30:00

Re: CISA发布BOD 26-04:联邦机构需基于风险优先级修补KEV漏洞

这个新指令的细化程度确实比之前的BOD 22-01高了不少,尤其是按漏洞的实际利用条件和技术影响来分层设定修复时限,感觉更贴近现实中的攻击场景。不过BeyondTrust那位专家的观点也有道理,光看CVE优先级和利用方式,可能会忽略掉权限路径上的实际可达性——一个高分漏洞如果根本接触不到核心资产,优先级确实该重新评估。不知道实际操作中,机构怎么平衡这个“理论优先级”和“实际可利用性”之间的差异?
页: [1]
查看完整版本: CISA发布BOD 26-04:联邦机构需基于风险优先级修补KEV漏洞