CISA發佈強制性指令,聯邦機構暴露在網路或其他類型設備,如果無法禁止公網訪問,那麼必須採用零信任架構實施存取控制。CISA將掃描網路上的設備和管理系統,如發現暴露設備將向對應機構通報。
美國網路安全與基礎設施安全局(CISA)發佈了今年第一個約束性操作指令(BOD),要求
聯邦民事部門發現問題後14天內,必須確保配置錯誤或暴露在網路上的網路設備安全性。
CISA此次發佈的指令BOD 23-02,適用於管理介面暴露在網上的網路設備,如路由器、防火牆、代理伺服器和負載等化器。這些網路設備的使用者可以獲得網路管理所需的存取權限。
CISA表示,BOD 23-02要求聯邦民事行政部門(FCEB)採取措施,減少不安全或配置錯誤的管理介面在某些設備類別上建立攻擊面。各部門必須準備將已識別的網路管理介面從網路中移除,或者透過實施零信任架構保護它們。零信任功能實施的策略執行點與介面本身分離。
CISA將掃描網路並通報問題設備
BOD 23-02規定,聯邦機構在收到CISA通知或獨立發現適用於該指令範圍內的網路管理介面後,需在14天時間採取以下行動之一:
- 僅允許內部網路訪問網路設備介面。CISA建議使用隔離管理網路。
- 實施零信任措施,透過與介面本身分離的執行策略實施存取控制。此為CISA推薦的措施。
CISA將進行大範圍掃描,識別符合BOD 23-02指令範圍的設備和管理後台,並將識別結果通報聯邦機構。
CISA將在未來六個月內編制一份聯邦民事行政部門BOD 23-02合規報告,提交給美國行政管理和預算局(OMB)局長和國土安全部(DHS)部長。並將按年度編制並提交該報告。
此外,CISA還將在兩年內更新該指令,以適應網路安全形勢的變化,並修改所提供的實施指南,協助各機構有效識別、監控和報告他們使用的網路管理介面。
本文轉載自BleepingComputer。