Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã ra lệnh cho các cơ quan thuộc Chi nhánh Hành pháp Dân sự Liên bang (FCEB) tăng cường quản lý vòng đời tài sản đối với các thiết bị mạng edge và loại bỏ những thiết bị không còn nhận được các bản cập nhật bảo mật từ các nhà sản xuất thiết bị gốc (OEM) trong vòng 12 đến 18 tháng tới.
Cơ quan này cho biết động thái này nhằm giảm technical debt và giảm thiểu rủi ro bị xâm nhập, khi các tác nhân đe dọa được nhà nước bảo trợ đang biến các thiết bị này thành một phương thức truy cập ưa thích để đột nhập vào mạng mục tiêu.
Edge devices là một thuật ngữ chung bao gồm các load balancers, firewalls, routers, switches, wireless access points, network security appliances, IoT edge devices, software-defined networks và các thành phần mạng vật lý hoặc ảo khác có chức năng định tuyến lưu lượng mạng và giữ quyền truy cập đặc quyền.
"Các tác nhân đe dọa mạng dai dẳng ngày càng khai thác các edge devices không được hỗ trợ -- phần cứng và phần mềm không còn nhận được các bản cập nhật của nhà cung cấp cho firmware hoặc các bản vá bảo mật khác," CISA cho biết. "Nằm ở vành đai mạng, các thiết bị này đặc biệt dễ bị tấn công bởi các tác nhân đe dọa mạng dai dẳng khai thác một lỗ hổng mới hoặc đã biết."
Để hỗ trợ các cơ quan FCEB về vấn đề này, CISA cho biết họ đã phát triển một danh sách edge device end-of-support hoạt động như một kho lưu trữ sơ bộ với thông tin về các thiết bị đã đạt hoặc dự kiến sẽ mất hỗ trợ. Danh sách này sẽ bao gồm tên sản phẩm, số phiên bản và ngày end-of-support.
Chỉ thị Vận hành Ràng buộc 26-02 của CISA
Chỉ thị Vận hành Ràng buộc mới ban hành 26-02, Giảm thiểu Rủi ro từ các Thiết bị Edge End-of-Support, yêu cầu các cơ quan FCEB thực hiện các hành động sau:
- Cập nhật từng thiết bị edge được nhà cung cấp hỗ trợ đang chạy phần mềm end-of-support lên phiên bản phần mềm được nhà cung cấp hỗ trợ (Có hiệu lực ngay lập tức)
- Lập danh mục tất cả các thiết bị để xác định những thiết bị đã end-of-support và báo cáo cho CISA (Trong vòng ba tháng)
- Loại bỏ tất cả các edge devices đã end-of-support và được liệt kê trong danh sách edge device khỏi mạng của cơ quan và thay thế bằng các thiết bị được nhà cung cấp hỗ trợ có thể nhận các bản cập nhật bảo mật (Trong vòng 12 tháng)
- Loại bỏ tất cả các edge devices đã xác định khác khỏi mạng của cơ quan và thay thế bằng các thiết bị được nhà cung cấp hỗ trợ có thể nhận các bản cập nhật bảo mật (Trong vòng 18 tháng)
- Thiết lập quy trình quản lý vòng đời để cho phép khám phá liên tục tất cả các edge devices và duy trì một kho lưu trữ về những thiết bị đang/sẽ đạt end-of-support (Trong vòng 24 tháng)
"Các thiết bị không được hỗ trợ gây ra rủi ro nghiêm trọng cho các hệ thống liên bang và không bao giờ nên tồn tại trên mạng doanh nghiệp," Quyền Giám đốc CISA Madhu Gottumukkala cho biết. "Bằng cách chủ động quản lý vòng đời tài sản và loại bỏ công nghệ end-of-support, chúng ta có thể cùng nhau tăng cường khả năng phục hồi và bảo vệ hệ sinh thái kỹ thuật số toàn cầu."
