CISA Orders Agencies to Patch by Risk, Not Severity
11/06/2026-18:00 11/06/2026-18:25 מחשבים וטכנולוגיה Security Aid דיווח
New CISA directive tells federal agencies to patch by real-world risk, not CVSS severity scoresNew CISA directive tells federal agencies to patch by real-world risk, not CVSS severity scores infosecurity-magazine.com
סיכום מאמרהסוכנות האמריקאית לאבטחת תשתיות וסייבר (CISA) הוציאה הנחיה חדשה לגופים פדרליים לתעדף תיקון פגיעויות אבטחה לפי רמת הסיכון האמיתית, ולא לפי ציון חומרת הפגיעות (CVSS). ההנחיה החדשה קובעת כי הגופים הפדרליים חייבים לתעדף תיקון פגיעויות על בסיס הסיכון שהן מהוות למערכות שלהם, ולא רק על בסיס ציון ה-CVSS. צעד זה נועד לסייע לגופים פדרליים למקד את מאמציהם בתיקון הפגיעויות שהן מהוות את הסיכון הגדול ביותר. ההנחיה החדשה מדגישה את החשיבות של הבנת הסיכון האמיתי שמהווה כל פגיעות אבטחה, וקובעת כי יש לתעדף את התיקון על בסיס מידע זה. בכך, CISA שואפת לשפר את האבטחה הסייברית של הגופים הפדרליים. ההנחיה החדשה נכנסה לתוקף מיידית ותחייב את הגופים הפדרליים לשנות את מדיניות התיקון שלהם בהתאם.
