与AI抢时间:美CISA颁布国家级漏洞防御新规

admin
admin
admin
0
文章
0
评论
2026-06-26 06:28:19 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 美国CISA发布BOD26-04指令,建立基于资产暴露程度、KEV状态、利用自动化程度和技术影响四变量的风险评估模型,设定差异化修复时限(最高优先级3天、中高优先级7-14天、中优先级30-60天),推动漏洞管理从全面覆盖转向精准打击,以应对AI加速攻击的挑战。 综合评分: 85 文章分类: 漏洞分析,政策法规,安全运营,威胁情报,解决方案

cover_image

与AI抢时间:美CISA颁布国家级漏洞防御新规

原创

网安君 网安君

网络安全罗盘

2026年6月25日 17:30 北京

在小说阅读器读本章

去阅读

主要内容概览

近日,美国国土安全部下属的网络安全与基础设施安全局(CISA)发布了《根据风险确定漏洞更新的优先级指令》(BOD 26-04: Prioritizing Security Updates Based on Risk)。该指令整合、澄清并更新了漏洞修复的紧迫性级别和评判标准,将各机构的补丁工作重点放在最高风险的岗位上,并提升联邦民用机构的效率。

文件链接:https://www.cisa.gov/news-events/news/cisa-issues-new-directive-improving-how-federal-agencies-prioritize-mitigation-cyber-vulnerabilities

网安罗盘简评

1

背景分析

一是旧有补丁模式部分失效。此前实施的“一刀切”式漏洞修复指令(如BOD 19-02和BOD 22-01等)导致安全团队疲于奔命。2025年数据显示,CISA已知被利用漏洞(KEV)目录中仅26%被完全修复,漏洞解决的中位时间已攀升至43天,防守方已难以跟上漏洞爆发的节奏。

二是AI加速漏洞攻击时效。人工智能正在大幅缩短从漏洞发现、利用代码生成到批量攻击编排的时间窗口,传统按月或按季度排期的静态修复流程已无法应对。

2

主要举措

该指令最大的特点在于明确了面对海量漏洞告警,必须承认安全资源的有限性,将防御精力从“全面覆盖”转向“精准打击”,按攻击者的真实利用路径来分配资源。基于此,该指令建立了一套基于四个关键变量的动态风险分级模型,并设定了差异化的强制修复时限。

一是建立基于四变量的风险评估模型。

资产暴露程度:系统是否面向公众互联网开放。

KEV状态:漏洞是否已被列入CISA已知被利用漏洞目录。

利用自动化程度:攻击者能否通过脚本或工具实现全自动化利用。

技术影响:漏洞被利用后,攻击者是获得“部分控制”还是“完全控制”。

二是确立了差异化的漏洞修复时限。

基于上述四个变量,指令设定了不同情况的漏洞修复时限,包括以下类别。(判断对照情况见下表2)

最高优先级(3天):同时满足公网暴露、在KEV目录中、可自动化利用且能实现完全控制的漏洞,必须在3天内修复,并同步进行取证分析以排查是否已被入侵。

中高优先级(7天至14天):在KEV目录中但未暴露于公网,或仅能获得部分控制的漏洞,修复时限为7天或14天。

中优先级(30天至60天):不在KEV目录中但满足公网暴露、可自动化利用且能完全控制等条件的,修复时限为30天或60天。

低优先级(随系统升级修复):不在KEV目录中、未暴露于公网且无法被自动化的漏洞,允许推迟至下一次计划内的系统升级时再处理。

分阶段实施要求:指令要求联邦机构立即更新内部漏洞管理政策;60天内将流程与KEV目录对齐;180天内全面达到规定的修复时限要求。

3

行业影响研判

美国网络安全和基础设施安全局(CISA)发布的《基于风险优先级的漏洞修复》(BOD 26-04)指令,标志着美国联邦网络安全防御体系在AI时代的一次重大范式转变。

一是或重塑漏洞管理产品与理念。行业将从传统的“扫描-打分-派单”工单管理模式,向“动态风险治理”转型。这将催生对资产暴露面持续监测、自动化风险优先级排序(VPR)以及威胁情报关联分析等智能化安全产品的巨大需求。

二是将加速AI安全攻防技术的演进。面对AI驱动的自动化攻击,防守方将被迫全面引入AI技术来缩短响应时间。AI驱动的自动化漏洞验证、智能取证分诊以及自动化补丁编排工具等或将迎来爆发式增长。

三是推动全球合规标准的连锁反应。作为美国联邦政府的强制指令,BOD 26-04具有极强的行业风向标意义。它将促使全球关键基础设施、跨国企业以及欧盟等监管机构重新评估并收紧自身的漏洞修复SLA(服务等级协议),引发全球网络安全合规成本的上升与标准的升级。

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:网络安全罗盘 网安君 网安君《与AI抢时间:美CISA颁布国家级漏洞防御新规》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0