美國CISA改漏洞管理規則，最高風險漏洞3天內須修補

過去美國聯邦漏洞管理主要分成兩套規則：對外公開系統依漏洞嚴重度評分（CVSS）決定修補期限，重大漏洞通常須在30天內修補，高風險漏洞則為60天；已遭實際利用的漏洞（Known Exploited Vulnerabilities，KEV）則由CISA個別設定修補期限，多數介於14至21天之間。新版BOD 26-04則整合兩套規則，改以實際攻擊風險決定優先順序。

新版BOD 26-04改以4項指標判斷漏洞修補優先順序，包括受影響資產是否對外公開、漏洞是否已列入KEV目錄、攻擊是否可自動化執行，以及成功利用後攻擊者可取得部分或完整控制權。CISA依這些條件將漏洞修補期限分為3天、14天、60天及下次系統升級時處理等不同等級。

依照CISA所列出的圖表，若漏洞同時涉及多項高風險條件，例如影響對外公開系統、已遭實際利用並可自動化攻擊，或雖無法自動化攻擊但可讓攻擊者取得完整控制權，都會被歸納為重大風險，必須在3天內完成修補，且不限工作天。

CISA指出，美國正面臨持續且日益複雜的惡意網路攻擊，攻擊者長期利用未修補漏洞入侵政府與關鍵基礎設施系統，而AI的使用可能進一步縮短修補程式發布到漏洞遭利用之間的反應時間。因此，聯邦政府必須立即調整漏洞修補政策，將有限資源集中在最高風險系統，而非把所有漏洞與系統一視同仁。

CISA要求各機關須於60天內完成漏洞管理流程更新，並在180天內全面導入新制度。