Η CISA δίνει εντολή στις ομοσπονδιακές υπηρεσίες να ασφαλίζουν συσκευές δικτύου που εκτίθενται στο Διαδίκτυο
Η CISA εξέδωσε τη φετινή πρώτη δεσμευτική επιχειρησιακή οδηγία (BOD) που δίνει εντολή στις ομοσπονδιακές μη στρατιωτικές υπηρεσίες να προστατεύουν τον εσφαλμένο ή εκτεθειμένο στο Διαδίκτυο εξοπλισμό δικτύωσης εντός 14 ημερών από την ανακάλυψη.
Η υπηρεσία κυβερνοασφάλειας
Δεσμευτική Επιχειρησιακή Οδηγία 23-02
ισχύει για δικτυωμένες συσκευές με διεπαφές διαχείρισης εκτεθειμένες στο Διαδίκτυο (π.χ. δρομολογητές, τείχη προστασίας, διακομιστή μεσολάβησης και εξισορροπητές φορτίου) που παρέχουν στους εξουσιοδοτημένους χρήστες την απαραίτητη πρόσβαση για την εκτέλεση διοικητικών καθηκόντων δικτύου.
“Η Οδηγία απαιτεί από τις ομοσπονδιακές υπηρεσίες μη στρατιωτικής εκτελεστικής εξουσίας (FCEB) να λαμβάνουν μέτρα για να μειώσουν την επιφάνεια επίθεσης που δημιουργείται από ανασφαλείς ή εσφαλμένες διεπαφές διαχείρισης σε ορισμένες κατηγορίες συσκευών”, CISA
είπε
.
“Οι υπηρεσίες πρέπει να είναι προετοιμασμένες να αφαιρέσουν αναγνωρισμένες δικτυωμένες διεπαφές διαχείρισης από την έκθεση στο διαδίκτυο ή να τις προστατεύσουν με δυνατότητες Zero-Trust που εφαρμόζουν ένα σημείο επιβολής πολιτικής ξεχωριστό από τη διεπαφή”, η υπηρεσία
προστέθηκε
.
Όπως περιγράφεται στο BOD 23-02, οι ομοσπονδιακές υπηρεσίες έχουν στη διάθεσή τους 14 ημέρες είτε από τη λήψη ειδοποίησης από την CISA είτε από την ανεξάρτητη ανακάλυψη μιας δικτυωμένης διεπαφής διαχείρισης που εμπίπτει στο πεδίο εφαρμογής της οδηγίας για να προβούν σε μία από τις ακόλουθες ενέργειες:
- Περιορίστε την πρόσβαση στη διεπαφή του εξοπλισμού δικτύου στο εσωτερικό δίκτυο, με την CISA να συνιστά τη χρήση απομονωμένου δικτύου διαχείρισης.
- Εφαρμόστε μέτρα Zero Trust για την επιβολή ελέγχου πρόσβασης στη διεπαφή μέσω ενός σημείου επιβολής πολιτικής χωριστού από την ίδια τη διεπαφή (η προτιμώμενη πορεία δράσης).
Η CISA λέει ότι θα πραγματοποιήσει σαρώσεις για τον εντοπισμό συσκευών και διεπαφών που εμπίπτουν στο πεδίο εφαρμογής της οδηγίας και θα ενημερώσει τις υπηρεσίες για τα ευρήματά της.
Για τη διευκόλυνση της διαδικασίας αποκατάστασης, η CISA θα παρέχει στις ομοσπονδιακές υπηρεσίες τεχνική εμπειρογνωμοσύνη όταν χρειάζεται ή της ζητηθεί να επανεξετάσουν την κατάσταση συγκεκριμένων συσκευών και να παρέχουν καθοδήγηση σχετικά με την ασφάλιση των συσκευών.
Οι υπηρεσίες FCEB θα έχουν επίσης πρόσβαση σε μια αποκλειστική διεπαφή αναφορών και τυποποιημένα πρότυπα για σχέδια αποκατάστασης σε περιπτώσεις υπέρβασης του απαιτούμενου χρονοδιαγράμματος για τις προσπάθειες αποκατάστασης.
Εντός έξι μηνών και ετησίως μετά από αυτό, η CISA θα συντάσσει και θα υποβάλλει έκθεση σχετικά με την κατάσταση συμμόρφωσης FCEB BOD 23-02 τόσο στον Διευθυντή του Γραφείου Διαχείρισης και Προϋπολογισμού (OMB) όσο και στον Γραμματέα του Υπουργείου Εσωτερικής Ασφάλειας (DHS).
Επιπλέον, εντός δύο ετών, η CISA θα επικαιροποιήσει την οδηγία για να αντιμετωπίσει τις αλλαγές στο τοπίο της κυβερνοασφάλειας και θα αναθεωρήσει την
καθοδήγηση εφαρμογής
παρέχεται για να βοηθήσει τους οργανισμούς να εντοπίζουν, να παρακολουθούν και να αναφέρουν αποτελεσματικά τις δικτυωμένες διεπαφές διαχείρισης που χρησιμοποιούν.
Τον Μάρτιο, η CISA ανακοίνωσε επίσης ότι θα προειδοποιήσει τους κρίσιμους οργανισμούς υποδομής για συσκευές ευάλωτες σε
ransomware
στο δίκτυό τους για να τους βοηθήσει να αποκλείσουν επιθέσεις ransomware ως μέρος ενός νέου προγράμματος Ransomware Vulnerability Warning Pilot (RVWP).
