Het aantal bekende, actief misbruikte kwetsbaarheden aanwezig in de netwerken van de Amerikaanse overheid is dankzij een 'catalogus' en patch-deadlines sterk afgenomen, zo heeft Eric Goldstein laten weten, vicedirecteur van het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security.

Twee jaar geleden kwam het CISA met de Known Exploited Vulnerabilities (KEV) catalogus. Een overzicht van kwetsbaarheden waarvan de overheidsinstantie had vastgesteld dat ze bij aanvallen gebruikt werden. Om het risico van actief misbruikte kwetsbaarheden te verminderen besloot het CISA destijds een zogenoemde "Binding Operational Directive" af te geven. Hierdoor moeten federale Amerikaans overheidsorganisaties kwetsbaarheden die op de lijst staan binnen een bepaalde tijd in hun omgevingen hebben verholpen.

De catalogus telt inmiddels meer dan duizend beveiligingslekken waarvan vaststaat dat aanvallers er misbruik van maken of maakten. Het aantal van deze kwetsbaarheden die meer dan 45 dagen in federale Amerikaanse overheidsnetwerken aanwezig zijn is sinds de start van de KEV-catalogus met 72 procent afgenomen, zo vertelde Goldstein tijdens een hoorzitting van het Amerikaanse Huis van Afgevaardigden (pdf).

Kwetsbaarheden in de catalogus worden gemiddeld negen dagen sneller door de overheidsinstanties gepatcht dan beveiligingslekken die niet op de lijst staan. In het geval van kwetsbaarheden die vanaf internet zijn te misbruiken is het verschil zelfs 36 dagen. Volgens Goldstein zijn de afgelopen twee jaar bij in totaal 102 overheidsinstanties twaalf miljoen kwetsbaarheden verholpen die in de KEV-catalogus voorkomen. Goldstein voegt toe dat de catalogus organisaties helpt bij het prioriteren van kwetsbaarheden die zo snel mogelijk moeten worden verholpen.