【安全资讯】美国CISA罕见批量废止10项紧急网络安全指令

概要：

美国网络安全和基础设施安全局（CISA）近期采取了一项罕见举措，一次性废止了10项在2019年至2024年间发布的紧急指令。这一行动标志着针对一系列曾构成重大威胁的已知漏洞的紧急响应阶段正式结束，相关缓解措施已常态化或并入更广泛的强制性操作指令中，凸显了网络安全威胁从应急响应到常态化治理的转变。

主要内容：

此次被废止的10项紧急指令（ED）曾针对多个影响广泛的关键漏洞发布，包括SolarWinds Orion供应链攻击、微软Exchange服务器漏洞、VMware产品漏洞以及影响Windows DNS、Netlogon和打印后台处理程序服务的高危漏洞。这些漏洞大多在被发现后遭到快速利用，对联邦政府网络构成了严重且迫切的威胁。

CISA表示，经过全面审查，这些指令所要求的应对行动已成功实施，或其核心要求现已纳入具有持续效力的《约束性操作指令22-01》中。该指令以CISA的“已知被利用漏洞”目录为基础，强制要求联邦文职机构在规定时限内修补目录中列出的漏洞。

根据BOD 22-01的规定，对于2021年之前的漏洞，机构通常有最多6个月的修补时间；而对于较新的漏洞，修补期限缩短至两周。对于极高风险的漏洞，CISA可设定更紧迫的时间表，例如近期曾要求机构在一天内修补Cisco设备中两个被积极利用的漏洞。此举旨在将针对已知高危漏洞的防护从临时应急状态，转变为联邦机构必须持续遵守的标准化、强制性安全基线。