De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft agentschappen van de Federal Civilian Executive Branch (FCEB) opdracht gegeven om het levenscyclusbeheer van assets voor edge-netwerkapparaten te versterken en de apparaten die geen beveiligingsupdates meer ontvangen van Original Equipment Manufacturers (OEM’s) de komende twaalf tot achttien maanden te verwijderen.
Het agentschap zei dat deze stap bedoeld is om de technische schulden terug te dringen en het risico op compromissen te minimaliseren, aangezien door de staat gesponsorde dreigingsactoren dergelijke apparaten gebruiken als een voorkeurstoegangsroute voor het inbreken in doelnetwerken.
Edge-apparaten is een overkoepelende term die load balancers, firewalls, routers, switches, draadloze toegangspunten, netwerkbeveiligingsapparatuur, Internet of Things (IoT) edge-apparaten, softwaregedefinieerde netwerken en andere fysieke of virtuele netwerkcomponenten omvat die het netwerkverkeer routeren en geprivilegieerde toegang hebben.
“Aanhoudende cyberdreigingsactoren maken steeds vaker misbruik van niet-ondersteunde edge-apparaten – hardware en software die niet langer leveranciersupdates voor firmware of andere beveiligingspatches ontvangen”, aldus CISA. “Gepositioneerd aan de rand van het netwerk, zijn deze apparaten bijzonder kwetsbaar voor aanhoudende cyberbedreigingsactoren die een nieuwe of bekende kwetsbaarheid exploiteren.”
Om FCEB-agentschappen hierbij te helpen, zei CISA dat het een lijst met end-of-support edge-apparaten heeft ontwikkeld die fungeert als een voorlopige opslagplaats met informatie over apparaten die al het einde van de ondersteuning hebben bereikt of die naar verwachting de ondersteuning zullen verliezen. Deze lijst bevat de productnaam, het versienummer en de datum waarop de ondersteuning eindigt.
De onlangs uitgegeven bindende operationele richtlijn 26-02, Mitigating Risk From End-of-Support Edge Devices, vereist dat FCEB-agentschappen de volgende acties ondernemen:
- Update elk door de leverancier ondersteund edge-apparaat waarop software voor het einde van de ondersteuning wordt uitgevoerd naar een door de leverancier ondersteunde softwareversie (Met onmiddellijke ingang)
- Catalogiseer alle apparaten om de apparaten te identificeren waarvoor de ondersteuning is beëindigd, en rapporteer aan CISA (Binnen drie maanden)
- Stel alle edge-apparaten buiten gebruik die niet meer ondersteund worden en die in de edge-apparaatlijst van bureaunetwerken staan vermeld, en vervang ze door door de leverancier ondersteunde apparaten die beveiligingsupdates kunnen ontvangen (Binnen 12 maanden)
- Stel alle andere geïdentificeerde edge-apparaten buiten dienst van bureaunetwerken en vervang ze door door de leverancier ondersteunde apparaten die beveiligingsupdates kunnen ontvangen (Binnen 18 maanden)
- Zet een levenscyclusbeheerproces op om continue detectie van alle edge-apparaten mogelijk te maken en een inventaris bij te houden van de apparaten die het einde van de ondersteuning bereiken/zullen bereiken (Binnen 24 maanden)
“Niet-ondersteunde apparaten vormen een ernstig risico voor federale systemen en mogen nooit op bedrijfsnetwerken blijven staan”, zegt Madhu Gottumukkala, waarnemend directeur van de CISA. “Door de levenscycli van assets proactief te beheren en end-of-support-technologie te verwijderen, kunnen we collectief de veerkracht versterken en het wereldwijde digitale ecosysteem beschermen.”
