2021年11月3日,美國網絡安全與基礎設施安全局(Critical Infrastructure Security Agency, CISA)發布編號為22-01的約束性作業指令(binding operational directive, BOD):《減輕已知被利用安全漏洞重大危害》(Reducing the Significant Risk of Known Exploited Vulnerabilities),要求聯邦政府各部門在規定的時間內,對相關漏洞采取修補措施。
BOD是為保障美國聯邦信息安全而發布的強制性指令,對聯邦政府及各部門具有拘束力,并由美國國土安全部負責監督執行。美國政府認為,其一直面臨持續的高強度網絡攻擊,特別是各類行為體利用漏洞發動網絡攻擊,對美國國家安全和公眾隱私構成嚴重威脅,因此美國政府必須加強防護,對已知被利用漏洞采取強有力的補救措施,減少網絡安全事件發生,切實維護聯邦信息系統安全。
一方面,該指令賦予CISA相關職責,要求CISA在其官方網站管理維護已知被利用漏洞目錄,并將更新情況和應對措施及時向聯邦政府各部門進行預警通報。此外,該指令還要求CISA發布添加到漏洞目錄的門檻和要求,并根據網絡安全整體情況的變化對指令進行審查,結合漏洞管理最新實踐,研究補充完善指令的措施。
另一方面,該指令要求聯邦政府各部門密切配合CISA的工作。各部門要根據該指令要求,對本部門內部漏洞管理程序進行審查和更新,并在指令發布60日內,對目錄中的漏洞采取修補措施。同時,各部門漏洞管理及修補情況要向CISA進行報告。
美國政府高度重視漏洞管理,并以國家漏洞數據庫(NVD)建設為抓手,建成了較為完善的漏洞管理體系,形成了一套協調有序開展漏洞挖掘分析、漏洞編號(CVE)、脆弱性測量與評分等的運營管理機制。與以往重視漏洞的分級與評分策略相比,22-01指令的發布,標志著CISA將對已知被利用漏洞采取補救措施作為重點工作,在網絡安全防護上發揮更加積極主動的作用。
