美國聯邦新版資安指令上路，業界：三天完成鑑識調查才是真正難關

美國網路安全暨基礎設施安全局（CISA）本週正式發布新版聯邦漏洞修補強制指令「約束性操作指令 26-04」（BOD 26-04，Binding Operational Directive 26-04），要求所有聯邦文職行政部門機構針對最高風險漏洞，必須在三天內完成修補。然而，多位資安業界高階主管在指令發布後隨即指出，真正的挑戰並非修補本身，而是指令同步要求的鑑識分類（forensic triage）調查。機構必須在同樣的三天內，證明受影響系統在修補前未曾遭到入侵。

BOD 26-04 是什麼？

BOD 26-04 是 CISA 針對聯邦文職行政部門機構發布的強制性資安指令，取代先前兩項管轄聯邦漏洞修補的舊版指令。這是自 2021 年 CISA 推出已知遭利用漏洞（KEV）目錄以來，聯邦漏洞管理政策最重大的一次變革。指令的核心設計從「一律盡快修補」轉向「依風險分級、優先處理最危險的漏洞」，並首度將人工智慧（AI）驅動的自動化攻擊能力納入風險評估框架。

四大因子決定修補優先順序

BOD 26-04 的核心是一套風險矩陣式分級模型，以四項條件評估每個漏洞的威脅程度：該漏洞是否已列入 CISA 的 KEV 目錄、受影響資產是否對外公開暴露、攻擊者能否透過自動化方式完整執行整個攻擊流程，以及成功入侵後是否能取得受害系統的部分或完整控制權。

同時符合上述所有條件的漏洞，聯邦機構必須在三天內完成修補，並執行鑑識分類調查，確認受影響資產是否在修補前已遭入侵。對於僅符合部分條件的漏洞，指令提供了不同的修補時限選項；風險較低的漏洞則可遞延至下次系統升級時一併處理。

根據 CISA 網路安全業務代理執行助理署長 Chris Butera 的說明，在一項初步分析中，某大型聯邦文職機構的漏洞實例裡，僅有 1% 落入三天修補類別，超過 60% 則可遞延至下次系統升級處理。此一設計旨在讓機構「聰明修補、而非疲於修補」。

修補流程不是瓶頸，調查才是

指令發布後，威脅情報平台 SOCRadar 資訊安全長（CISO）Ensar Seker 率先點出業界長期忽視的盲點：許多組織修補漏洞後便直接結案，卻從未調查在完成修補之前，系統是否已遭攻擊者入侵。這種做法的風險在於，修補動作只是關上了大門，但攻擊者可能早已潛伏在系統內部。

資安分析公司 Command Zero 共同創辦人暨首席產品長 Alfred Huger 對此看法更為直接。他指出，修補作業是多數資安團隊已有既定流程的日常工作，但鑑識調查截然不同。針對每一個面向網際網路且列入 KEV 目錄的漏洞，要在三天內證明系統未遭入侵，等同於每次都必須展開一場完整的入侵調查。他說，「幾乎沒有組織配置足夠的分析師，能夠同時處理這麼多調查案件。這項指令將區分出已將鑑識分類自動化的團隊，與仍靠人工手動執行的團隊。」

誰能達標？關鍵在資產可視性與自動化程度

Seker 認為，能否在三天期限內持續達標，「很大程度取決於組織的資產可視性與營運成熟度」。他具體列出四項關鍵能力：精確的資產清冊、持續運作的漏洞掃描機制、成熟的修補協調能力，以及完整的事件應變劇本（incident response playbook）。具備上述能力的組織，應有機會符合新規要求。

反之，仍在應對影子 IT（Shadow IT）、資產所有權分散，或暴露面管理不完整問題的組織，三天期限將構成嚴峻挑戰。Seker 直言，這項指令「實質上提高了整體營運準備度的門檻」。

整套框架的隱憂：元資料品質能否跟上？

Contrast Security 資訊安全長 David Lindner 從另一個角度提出更根本的質疑。BOD 26-04 的風險分級邏輯高度依賴 CISA 為每一個通用漏洞揭露（CVE）條目，持續提供準確、即時且完整的漏洞元資料，涵蓋利用自動化程度與技術影響評估。Lindner 直指：「整個指令所建立的風險分級框架，都依賴這份元資料必須準確、即時且完整。目前的品質尚未足以支撐這套指令的執行需求。」

CISA 承諾將透過漏洞資訊豐富化計畫（Vulnrichment Program）向 CVE 資料庫補充相關資訊，並於 60 天內發布標準化資產標記資料結構描述（schema）。然而，資料品質能否在各機構須達標的 180 天期限前同步到位，目前仍是未知數。

AI 加速攻擊，政策跟上現實

Black Kite 首席研究與情報長 Ferhat Dikbiyik 則對指令給予正面評價，認為最具前瞻意義之處，在於明確將「AI 自動化漏洞利用」列入修補優先級的評估因子。他表示，CISA 正在針對攻擊者能夠在修補程式釋出前即完成武器化的威脅環境制定政策。Huger 亦補充，「可自動化」一詞的出現，代表 CISA 正式承認攻擊者的工具擴散速度已超越人工修補的速度，並據此重新設計了期限標準。

執行時間表

BOD 26-04 即日起生效。各聯邦文職行政部門機構須立即審查並更新漏洞管理政策，包括建立以 KEV 為基礎的修補流程、明確職責分工，以及設置內部追蹤與回報機制。各機構有 60 天時間完成漏洞管理流程升級，並在 180 天內建置齊備所有確保能在指令規定時限內完成修補所需的執行能力。CISA 亦將每年檢視修補時限，評估是否需要因應攻擊者能力的演進而進一步收緊。

本文轉載自 DarkReading。