與新一代 美國網路安全和基礎設施安全局週三發布了一項新指令,要求聯邦民事機構更快、更有效率地修補軟體。 「具有約束力的操作指令」(BOD)根據四個緊急程度設定了修復錯誤的速度,關鍵週轉時間僅為三天。
CISA 網路安全執行助理主任 Chris Butera 週三告訴記者,該指令的目標是幫助各機構確定優先順序,以便他們能夠首先解決問題最嚴重的漏洞,同時花更多時間修復風險不太嚴重的錯誤。該指令出台之際,私人公司和政府正試圖評估網路安全的程度,估計人工智慧的脆弱性和利用潛力可能會被釋放。
布特拉週三表示:“鑑於人工智慧的進步,威脅行為者能夠發現並利用(聯邦)資產中的漏洞,因此優先關注風險最大資產的 IT 和安全功能現在尤為重要。” “防御者無法花費數週時間來修補可集體自主使用的系統。”
CISA 評估修補程式緊迫性的標準包括考慮漏洞是否存在於公開暴露的系統中、該 bug 是否列在 CISA 已知可利用漏洞清單中、攻擊者是否可以自動執行利用漏洞的所有步驟,以及攻擊者將獲得多少存取權限。根據新指令,所有四點都適用的漏洞必須在三天內修補,該機構還必須執行「取證篩選」過程,以確定係統是否已受到損害。
該指令取代了 CISA 先前關於修復緊急漏洞時間表的兩項指令(一項從 2019 年開始,一項從 2021 年開始)。這些指令建立了一個框架,其中最關鍵的錯誤必須在發現後 15 天內修復,另一類高緊急漏洞必須在 30 天內修復。兩者都鼓勵在可能的情況下更快地修復嚴重缺陷。甚至在人工智慧時代到來之前,2021 年,CISA 就寫道,「威脅行為者會極其迅速地利用他們選擇的漏洞:在這 4% 的已知漏洞(漏洞)中,42% 在披露的第 0 天使用,50% 在 2 天內使用,75% 在 28 天內使用。
美國聯邦網路安全在過去十年中取得了顯著改善,但由於資金短缺和優先事項相互競爭,它仍然經常落後。 CISA 的布特拉表示,該機構考慮到這些限制,制定了更廣泛的新評估標準和指南。例如,他指出,最緊急漏洞的三天期限並不是 24 小時,因為如此短的時間框架對大多數機構來說是不可行的。
新的人工智慧功能已經改變了漏洞偵測和錯誤搜尋的格局。由於這為修補帶來了新的緊迫性,許多研究人員實際上已經開始得出結論,修補是不夠的,全世界的軟體開發社群必須努力採用新的、架構或系統的方法來一次性使整個類別的漏洞失效。
雲端安全公司 Edera 執行長 Emily Long 表示:“CISA 指令的核心是正確的,但它只解決了一半的挑戰。” “如果你的架構不限制攻擊者在違規後所能達到的範圍,那麼你只會在同一條走廊上跑得更快。修補永遠很重要,但我們應該更多地談論遏製而不是設計。”
CISA 的 Butera 似乎在周三承認了這一進展。他說,新指令「是解決新興人工智慧模型日益增長的潛力的第一步」。 “但還有更多工作要做。”
