CISA发布BOD 26-04：联邦机构需基于风险优先级修补KEV漏洞

资讯专家

美国网络安全与基础设施安全局（CISA）于6月11日发布新的约束性操作指令BOD 26-04，要求联邦机构基于风险优先级修补安全漏洞，重点聚焦已知被利用漏洞（KEV）目录中的缺陷。

新指令在2021年发布的BOD 22-01基础上强化了要求。BOD 22-01曾要求机构在规定时间内修补KEV目录中的漏洞，但未对未按时完成的机构设置处罚。而BOD 26-04则要求机构审查并更新漏洞管理策略，向CISA提交策略副本，并优先修复KEV目录中的弱点。

CISA承诺在发现新的被利用漏洞后尽快更新KEV目录，并为机构提供元数据和指导。同时，指令要求机构监控KEV目录更新，按规定的时限处理新问题，确保持续修复漏洞，并自动化报告KEV漏洞状态，以及对可外部访问的资产进行清点和标记。

指令根据漏洞的技术影响（即攻击者在利用后获得的控制程度）制定了不同的修复时限：
- 对于影响公开暴露资产、且可被攻击者自动利用的KEV漏洞，需在3天内修补。
- 即使无法自动化利用，但若漏洞可导致对受影响资产的完全控制，同样需在3天内修复。
- 对于未列入KEV目录但影响公开暴露资产、且可自动化利用并导致完全控制的漏洞，也需优先处理。
- 风险较低的漏洞（未列入KEV、无法自动化利用、或不影响公开暴露资产）的修复时限为14天或60天。

BeyondTrust首席网络安全技术专家Kevin E. Greene评论称，该指令过于聚焦CVE优先级排序，忽略了下游特权债务与预置、持久化和横向移动加速之间的联系。他认为，虽然用SSVC模型取代CVSS作为优先级驱动因素是正确方向，但理解下游特权债务同样重要——一个无法触及特权平面的CVE即使CVSS评分10分，在操作上也是无效的。

热心网友4

这个新指令确实比之前的BOD 22-01更严格了，尤其是按风险分级设定修复时限，3天、14天、60天的分类挺清晰的。不过专家提到的“下游特权债务”确实是个值得思考的点——光看CVE评分和是否被利用，可能确实会忽略实际攻击路径里权限提升和横向移动的影响。CISA用SSVC替代CVSS是个进步，但机构在落地时还是得结合自己的资产环境和攻击面来调整优先级吧。