事件经过
CISA 于 2026 年 6 月 10 日发布 BOD 26-04《基于风险优先考虑安全更新》,取代 BOD 19-02 和 BOD 22-01。该指令要求联邦民事机构在三天内修复满足四个风险标准中三个或以上的漏洞(资产暴露、KEV 状态、漏洞利用自动化、后漏洞利用影响),同时正式允许将低风险发现推迟到下一个升级周期。CISA 明确指出紧迫性源于 AI 驱动的威胁行为体能力,这些能力缩窄了补丁发布与主动利用之间的时间窗口。机构有 60 天时间更新补丁程序,180 天时间完成全面实施。
影响分析
这是多年来最重大的联邦漏洞管理改革:它将美国政府从基于时间的补丁管理转变为以 KEV 状态、EPSS 等效自动化信号和资产暴露为基础的风险情报模型——商业企业和关键基础设施运营商很可能将采用该模型作为事实上的行业标准。CISA 明确承认 AI 加速漏洞利用是主要威胁驱动因素,这表明 CISA 认为后 Mythos 世界是需要对补丁程序进行结构性变革的新常态。
建议行动
根据四项 BOD 26-04 标准(资产暴露、KEV 状态、漏洞利用自动化、技术影响)审查您客户端当前的漏洞管理政策,并确定与当今 SLA 结构的差距;联邦机构必须在 60 天内更新补丁程序,但商业同行应立即开始框架采用。