您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。
News Detail Banner
> 首頁 > 資安新聞

資安新聞

美國土安全部縮短官方機構修補重大漏洞期限

美國國土安全部(Department of Homeland Security, DHS)於4/29頒布強制命令(Binding Operational Directive 19-02, BOD 19-02),要求各聯邦機構必須在發現重大(Critical)風險漏洞的15天內修補該漏洞,而高(High)風險漏洞的修補期限則是30天。

BOD 19-02是取代DHS在2015年所頒布之BOD 15-01,當初BOD 15-01規定美國聯邦機構必須在30天內緩解重大風險漏洞,惟對高風險漏洞並無明確要求。DHS表示,隨著聯邦機構擴大網路存取系統的部署,系統日益複雜,系統間存在更多互動;加上各項研究均顯示,漏洞從揭露到遭受攻擊之時間間距越來越短,致儘速修補漏洞更顯重要。因此BOD 19-02將重大風險漏洞的修補期限從30天縮短為15天,並將以往未加以規範的高風險漏洞納入管理,修補期限為30天,亦將期限計算從舉報日改為偵測到漏洞當天。

不論是BOD 19-02或BOD 15-01,都是由國土安全部旗下的網路安全及基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)負責監督。CISA會定期針對網路配置與已知漏洞進行掃描,稱為Cyber Hygiene行動,並提供掃描結果給所有聯邦機構。從今年3月起,Cyber Hygiene行動已不只掃描重大風險漏洞,而是將所有從低到重大風險等級的安全漏洞均納入掃描範圍。若聯邦機構無法在規定限期內完成漏洞修補,就必須在3天內提出未能及時修補原因、暫時補救措施及預計完成修補時間給CISA。
 

Reference

資料來源:
https://www.zdnet.com/article/dhs-gives-agencies-15-day-deadline-to-patch-security-flaws/
https://cyber.dhs.gov/bod/19-02/#when-do-the-15-and-30-day-clocks-start-for-remediation
https://www.ithome.com.tw/news/130357
完整命令請參閱:
https://cyber.dhs.gov/assets/report/bod-19-02.pdf
技術服務中心整理

Publish Date
2019/5/3 0:00:00