Обновись или выключи навсегда. CISA ставит ультиматум: 18 месяцев на ликвидацию «мертвого» оборудования
NewsMakerДиректива 26-02 запрещает госорганам использовать технику с истекшим сроком жизни.
Американские гражданские ведомства получили жесткое требование от CISA пересобрать свой сетевой периметр. Регулятор настаивает на проверке всего сетевого оборудования , которое стоит на границе инфраструктуры и пропускает трафик. Устройства, для которых производители больше не выпускают обновления безопасности , нужно поэтапно вывести из эксплуатации. На замену и списание отводится от 12 до 18 месяцев.
В агентстве объясняют решение просто. Старые сетевые узлы накапливаются, обновления на них перестают выходить, уязвимости остаются открытыми. Такие точки все чаще используют атакующие. По наблюдениям CISA, группы, работающие в интересах государств, регулярно заходят во внутренние сегменты именно через подобные элементы на краю сети.
Термин edge devices объединяет целый набор пограничных компонентов. Сюда относятся балансировщики нагрузки , межсетевые экраны, маршрутизаторы, коммутаторы, беспроводные точки доступа, специализированные защитные шлюзы, пограничные IoT устройства, узлы программно определяемых сетей и другие физические или виртуальные элементы, которые направляют сетевые потоки. У таких систем часто есть расширенные права в инфраструктуре, поэтому их компрометация облегчает дальнейшее продвижение внутри контура.
По оценке CISA, злоумышленники все чаще делают ставку на платформы и прошивки без поддержки со стороны производителя. Если в таком продукте находят брешь, закрывать ее уже некому. Поскольку подобные решения стоят на периметре, их удобно атаковать как по новым, так и по давно известным уязвимостям.
Чтобы ведомствам было проще ориентироваться, регулятор подготовил отдельный список пограничных устройств с завершенной или близкой к завершению поддержкой. В перечне указываются названия продуктов, версии и даты окончания обслуживания. Документ задуман как рабочий ориентир при проверке собственной инфраструктуры и планировании замены.
Новая обязательная директива под номером 26-02 фиксирует конкретные действия и сроки. Все поддерживаемые производителем узлы, на которых стоит устаревшее программное обеспечение, нужно сразу обновить до актуальных версий. Параллельно требуется провести инвентаризацию, найти все решения без поддержки и направить отчет в CISA в течение 3 месяцев.
Устройства из опубликованного перечня с истекшим сроком поддержки нужно убрать из сетей и заменить на модели, которые продолжают получать обновления безопасности . На эту часть работ отведено до 12 месяцев. Остальные выявленные пограничные узлы без поддержки, даже если их нет в первоначальном списке, подлежат замене в срок до 18 месяцев.
Отдельный пункт касается процессов. Ведомствам предписано наладить постоянный учет жизненного цикла таких систем. Требуется регулярный поиск всех периметральных устройств и ведение актуального реестра с датами окончания поддержки. На запуск такого учета дается до 24 месяцев.
Исполняющий обязанности директора CISA Мадху Готтумуккала подчеркнул, что техника без обновлений напрямую повышает риск для федеральных информационных систем и не должна оставаться в корпоративных сетях. В агентстве считают, что плановая замена и постоянный контроль состояния таких узлов заметно усложняют злоумышленникам доступ к инфраструктуре.
Американские гражданские ведомства получили жесткое требование от CISA пересобрать свой сетевой периметр. Регулятор настаивает на проверке всего сетевого оборудования , которое стоит на границе инфраструктуры и пропускает трафик. Устройства, для которых производители больше не выпускают обновления безопасности , нужно поэтапно вывести из эксплуатации. На замену и списание отводится от 12 до 18 месяцев.
В агентстве объясняют решение просто. Старые сетевые узлы накапливаются, обновления на них перестают выходить, уязвимости остаются открытыми. Такие точки все чаще используют атакующие. По наблюдениям CISA, группы, работающие в интересах государств, регулярно заходят во внутренние сегменты именно через подобные элементы на краю сети.
Термин edge devices объединяет целый набор пограничных компонентов. Сюда относятся балансировщики нагрузки , межсетевые экраны, маршрутизаторы, коммутаторы, беспроводные точки доступа, специализированные защитные шлюзы, пограничные IoT устройства, узлы программно определяемых сетей и другие физические или виртуальные элементы, которые направляют сетевые потоки. У таких систем часто есть расширенные права в инфраструктуре, поэтому их компрометация облегчает дальнейшее продвижение внутри контура.
По оценке CISA, злоумышленники все чаще делают ставку на платформы и прошивки без поддержки со стороны производителя. Если в таком продукте находят брешь, закрывать ее уже некому. Поскольку подобные решения стоят на периметре, их удобно атаковать как по новым, так и по давно известным уязвимостям.
Чтобы ведомствам было проще ориентироваться, регулятор подготовил отдельный список пограничных устройств с завершенной или близкой к завершению поддержкой. В перечне указываются названия продуктов, версии и даты окончания обслуживания. Документ задуман как рабочий ориентир при проверке собственной инфраструктуры и планировании замены.
Новая обязательная директива под номером 26-02 фиксирует конкретные действия и сроки. Все поддерживаемые производителем узлы, на которых стоит устаревшее программное обеспечение, нужно сразу обновить до актуальных версий. Параллельно требуется провести инвентаризацию, найти все решения без поддержки и направить отчет в CISA в течение 3 месяцев.
Устройства из опубликованного перечня с истекшим сроком поддержки нужно убрать из сетей и заменить на модели, которые продолжают получать обновления безопасности . На эту часть работ отведено до 12 месяцев. Остальные выявленные пограничные узлы без поддержки, даже если их нет в первоначальном списке, подлежат замене в срок до 18 месяцев.
Отдельный пункт касается процессов. Ведомствам предписано наладить постоянный учет жизненного цикла таких систем. Требуется регулярный поиск всех периметральных устройств и ведение актуального реестра с датами окончания поддержки. На запуск такого учета дается до 24 месяцев.
Исполняющий обязанности директора CISA Мадху Готтумуккала подчеркнул, что техника без обновлений напрямую повышает риск для федеральных информационных систем и не должна оставаться в корпоративных сетях. В агентстве считают, что плановая замена и постоянный контроль состояния таких узлов заметно усложняют злоумышленникам доступ к инфраструктуре.