美國網路安全暨基礎設施安全局(CISA)已下令聯邦民用行政部門(FCEB)機構在未來 12 至 18 個月內
強化邊緣網路設備的資產生命週期管理,並移除不再獲得原廠安全更新的裝置。
CISA 表示,此舉旨在降低技術債並減少遭入侵的風險,因為國家級威脅行為者已將這類設備視為滲透目標網路的首選途徑。
邊緣設備成為攻擊首選目標
邊緣設備包括負載平衡器、防火牆、路由器、交換器、無線存取點、網路安全設備、物聯網裝置、軟體定義網路(SDN),以及其他負責路由網路流量並擁有特權存取權的實體或虛擬網路元件。
CISA 指出,持續性網路威脅行為者越來越常利用不受支援的邊緣設備,這些硬體和軟體已不再接收廠商的韌體或安全性修補程式。由於這些設備位於網路邊界,特別容易遭攻擊者利用新漏洞或已知漏洞入侵。
為協助聯邦機構處理此問題,CISA 已建立終止支援邊緣設備清單(End-of-Support Edge Device List),作為初步資料庫,記錄已達到或預計失去支援的設備資訊,包括產品名稱、版本號碼及終止支援日期。
約束性作業指令要求機構限期完成
CISA 新發布的「
約束性作業指令 26-02:降低終止支援邊緣設備風險」(Binding Operational Directive 26-02,BOD 26-02)要求聯邦機構採取以下行動:
- 立即生效:將執行終止支援軟體的廠商支援邊緣設備更新至廠商支援版本
- 三個月內:編制設備清冊,識別終止支援的設備並向CISA報告
- 12 個月內:從機構網路中除役清單所列的終止支援邊緣設備,並以可接收安全更新的廠商支援設備替換
- 18 個月內:從機構網路中除役所有其他已識別的終止支援邊緣設備,並以廠商支援設備替換
- 24 個月內:建立生命週期管理流程,持續發現所有邊緣設備,並維護已達到或即將達到終止支援狀態的設備清冊
CISA 代理局長 Madhu Gottumukkala 表示,不受支援的設備對聯邦系統構成嚴重風險,絕不應保留在企業網路中。透過主動管理資產生命週期並移除終止支援的技術,能共同強化韌性,保護全球數位生態系統。
本文轉載自 TheHackerNews。