Cơ quan An ninh Mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã ban hành Chỉ thị Hoạt động Ràng buộc (BOD) 26-04, có tiêu đề “Ưu tiên Cập nhật Bảo mật Dựa trên Rủi ro”. Chỉ thị này yêu cầu tất cả các cơ quan thuộc Nhánh Hành pháp Liên bang Dân sự (FCEB) phải khắc phục các lỗ hổng bị khai thác đã biết nguy hiểm nhất chỉ trong vòng ba ngày làm việc.
BOD 26-04: Một Bước Đột Phá Trong Quản Lý Lỗ Hổng
Chỉ thị này, được ban hành vào ngày 10 tháng 6 năm 2026, đánh dấu khung thời gian vá lỗi nghiêm ngặt nhất từng được chính phủ Hoa Kỳ yêu cầu và thay đổi cơ bản cách các cơ quan liên bang tiếp cận việc quản lý lỗ hổng bảo mật.
Một Chỉ thị Hoạt động Ràng buộc là một yêu cầu bắt buộc theo 44 U.S.C. § 3552(b)(1), cho phép Bộ trưởng Bộ An ninh Nội địa thiết lập các chính sách an ninh mạng cho tất cả các cơ quan dân sự liên bang.
BOD 26-04 thay thế và thu hồi hai chỉ thị trước đó là BOD 19-02 và BOD 22-01, hợp nhất các hướng dẫn khắc phục lỗ hổng vào một khuôn khổ duy nhất, dựa trên mức độ rủi ro. Chỉ thị này không áp dụng cho các hệ thống an ninh quốc gia hoặc các hệ thống do Cộng đồng Tình báo vận hành.
Chuyển Đổi Sang Quản Lý Lỗ Hổng Dựa Trên Rủi Ro
Chỉ thị mới này hướng các cơ quan liên bang chuyển từ việc tập trung vào việc vá lỗi sang quản lý lỗ hổng dựa trên rủi ro. Quá trình đánh giá mỗi lỗ hổng dựa trên bốn tiêu chí chính:
- Sự tồn tại của lỗ hổng trong danh mục CVE đã biết bị khai thác (Known Exploited Vulnerabilities – KEV).
- Khả năng khai thác tự động bởi kẻ tấn công.
- Mức độ tác động kỹ thuật của lỗ hổng.
- Sự tiếp xúc công khai của lỗ hổng.
CISA công bố trạng thái KEV, khả năng tự động hóa khai thác và dữ liệu tác động kỹ thuật cho mỗi CVE thông qua Chương trình Vulnrichment. Đồng thời, các cơ quan tự đánh giá mức độ phơi nhiễm công khai bằng cách sử dụng Hướng dẫn Giảm thiểu Phơi nhiễm Internet của CISA.
Khung Thời Gian Khắc Phục Linh Hoạt Dựa Trên Rủi Ro
Mức độ khẩn cấp của việc khắc phục tỷ lệ thuận với số lượng tiêu chí rủi ro cao mà một lỗ hổng đáp ứng. Theo Bảng 1 của chỉ thị, một lỗ hổng đáp ứng đủ bốn tiêu chí sau: tiếp xúc công khai, nằm trong danh mục KEV, có thể tự động hóa bởi kẻ tấn công và cho phép kiểm soát toàn bộ hệ thống, phải được vá trong vòng 3 ngày. Kèm theo đó là yêu cầu bắt buộc về phân tích pháp y để xác định xem hệ thống có bị xâm nhập hay không.
Khi chỉ một vài tiêu chí được đáp ứng, thời gian khắc phục sẽ kéo dài lên 14 hoặc 60 ngày. Các lỗ hổng không tiếp xúc công khai trong danh mục KEV cũng như không thể tự động hóa sẽ được hoãn lại đến đợt nâng cấp hệ thống tiếp theo.
Lộ Trình Triển Khai BOD 26-04
CISA đã cấu trúc quá trình triển khai BOD 26-04 thành ba giai đoạn:
Giai Đoạn I: Triển Khai Ngay Lập Tức
Các cơ quan phải cập nhật chính sách quản lý lỗ hổng của mình, theo dõi danh mục KEV và tự động hóa báo cáo thông qua Bảng điều khiển Chẩn đoán và Giảm thiểu Liên tục (CDM).
Giai Đoạn II: Trong Vòng 60 Ngày
Các cơ quan phải căn chỉnh toàn bộ quy trình quản lý lỗ hổng của mình với cơ sở dữ liệu CVE và danh mục KEV.
Giai Đoạn III: Trong Vòng 180 Ngày
Các cơ quan phải tuân thủ đầy đủ các khung thời gian khắc phục trong Bảng 1 và liên tục gắn thẻ tất cả các tài sản có thể truy cập công khai bằng siêu dữ liệu, bao gồm tổ chức, môi trường và loại tài sản.
Động Lực Thúc Đẩy Chỉ Thị Mới
CISA đặc biệt viện dẫn việc trí tuệ nhân tạo (AI) ngày càng được các tác nhân đe dọa sử dụng như một động lực chính của chỉ thị. Cảnh báo rằng AI có thể rút ngắn đáng kể khoảng thời gian giữa việc phát hành bản vá và việc khai thác tích cực.
Cơ quan này lưu ý rằng các tác nhân quốc gia thường xuyên khai thác các lỗ hổng đã biết bị khai thác để xâm nhập cơ sở hạ tầng quan trọng, đánh cắp dữ liệu nhạy cảm và phá vỡ hoạt động liên bang. Bằng cách tập trung nỗ lực vá lỗi vào các lỗ hổng có rủi ro cao nhất, BOD 26-04 nhằm mục đích giảm thiểu bề mặt tấn công quan trọng nhất của chính phủ liên bang, đồng thời cho phép sự linh hoạt đối với các vấn đề có rủi ro thấp hơn.
Đánh Giá Lại Định Kỳ và Hỗ Trợ Liên Tục
CISA sẽ tiến hành đánh giá lại định kỳ dựa trên dữ liệu về các khung thời gian khắc phục và cung cấp hướng dẫn liên tục cho các cơ quan thông qua các chỉ thị khẩn cấp và tương tác trực tiếp tại địa chỉ [email protected].
Để cập nhật những thông tin mới nhất về an ninh mạng và phân tích lỗ hổng, độc giả có thể theo dõi CISA qua các kênh chính thức.
Nguồn tham khảo:
