CISA, американский аналог нашего РКН, но с правом не блокировать, а требовать, выпустила директиву 26-04. Федеральным гражданским ведомствам предписано закрывать критические уязвимости, которые уже используются в атаках, за 72 часа. Раньше было 7–14 дней — теперь таймер сжали до трёх суток.
Формально это про внутреннюю безопасность США. Но реально — маркер для всех. Если американские госструктуры переходят на такой режим, значит количество активно эксплуатируемых zero-day и n-day перевалило за критическую массу. Сидеть и ждать очередного патч-вторника больше нельзя.
Для простого пользователя это значит, что вендоры (Cisco, Microsoft, Fortinet) теперь будут под ещё большим давлением — выпускать фиксы мгновенно или получать по шапке от регулятора. А для тех, кто админит свои сервера — готовьтесь к тому, что cycle time на апдейты придётся резать. Если раньше можно было отложить патч на неделю «до выходных», то теперь это прямой риск компрометации.
Ну и классика: уязвимости не ждут, пока у вас закончится спринт. CISA просто подтвердила то, что любой пентестер скажет вам за кофе — дыры закрывать надо вчера.
