美國網路安全暨基礎設施安全局(CISA)於今日宣布,推出新的「漏洞通報表單」,讓研究人員、廠商及產業夥伴能夠回報已知遭利用的漏洞(KEV)。這項新的通報功能,強化了 CISA 快速識別、驗證及分享 KEV,也就是關鍵威脅資訊的能力。
CISA 的 KEV 通報表單,與我們的「漏洞揭露政策(VDP)平台」及「協調漏洞揭露(CVD)計畫」相符,這些計畫共同鼓勵善意的安全研究,並促進網路風險的透明協調修復。公眾向 CISA 通報,對國家的網路安全態勢至關重要,有助於確保已被利用的漏洞能夠被及早發現、負責任地溝通,並在聯邦、私人及關鍵基礎設施網路中快速緩解。
CISA 的代理網路安全執行助理局長 Chris Butera 表示:「CISA 每天都與識別並回報已遭利用漏洞的安全研究人員及產業夥伴合作。這項新的通報功能,強化了 CISA 識別、驗證並快速分享關鍵威脅資訊的能力。早期偵測及協調漏洞揭露,是我們大規模降低風險最有力的工具之一。CISA 強烈鼓勵研究人員及組織分享漏洞威脅,協助我們保護美國人每天依賴的系統。」
KEV 目錄是一個權威性的漏洞來源,其中包含已確認為積極遭利用且有明確修復指南的漏洞。除了這個新的線上表單外,組織或個人仍可透過電子郵件 vulnerability@cisa.dhs.gov 進行 KEV 的通報。
組織及研究人員可透過以下連結存取 KEV 目錄並提交資訊:CISA.gov/known-exploited-vulnerabilities-catalog。
作為國家級的網路防禦機構及關鍵基礎設施安全的全國協調者,網路安全暨基礎設施安全局領導全國性的努力,以管理、發掘並降低美國人每時每刻所依賴的數位及實體基礎設施的風險。
