美国网络安全和基础设施安全局(CISA)发布了一项新的约束性操作指令(BOD),指示该国的联邦机构在六个月后跟踪其网络上的资产和漏洞。
为此,联邦民事行政部门(FCEB)企业的任务是两组活动:资产发现和漏洞枚举,这被视为“更好地了解联邦民用网络面临的风险”的重要步骤。
这包括每 7 天执行一次自动资产发现,并在 2023 年 4 月 3 日之前每 14 天对这些发现的资产启动漏洞枚举,此外还能够在收到 CISA 的请求后 72 小时内按需执行此操作。
对于 Android 和 iOS 设备以及驻留在机构本地网络之外的其他设备,也设置了类似的基线漏洞枚举义务。
“这样做将确保资产管理和漏洞检测实践,这将加强其组织的网络弹性,”CISA说,并补充说这将有助于缩小攻击面的差距。
它说,BOD 23-01的目标是维护网络资产的最新清单,识别软件漏洞,跟踪机构的资产覆盖范围和漏洞签名,并在定义的时间间隔内将这些信息共享给CISA。
“威胁行为者继续针对我们国家的关键基础设施和政府网络,以利用未知,未受保护或保护不足的资产中的弱点,”CISA主任Jen Easterly在一份声明中说。“了解您的网络上有什么是任何组织降低风险的第一步。
虽然该指令是联邦民事机构的授权,但CISA还敦促所有企业,包括私营实体和州政府,审查和实施严格的资产和漏洞管理计划。
