Укрепление границ сети:агентства Five Eyes консультируют предприятия по защите критически важных устройств

С ростом количества атак на периферийные устройства, позволяющих злоумышленникам совершать дальнейшие вторжения в корпоративные сети, пришло время всем активизировать меры по обеспечению безопасности, говорят агентства из альянса Five Eyes

Национальные разведывательные службы пяти стран предложили предприятиям советы по борьбе со шпионами в их собственной игре в серии документов, призванных помочь им защитить периферийные устройства и устройства, такие как межсетевые экраны, маршрутизаторы, шлюзы VPN (виртуальные частные сети), устройства Интернета вещей (IoT), серверы с выходом в Интернет и OT-системы (операционные технологии) с выходом в Интернет от кибератак.

Альянс Five Eyes объединяет спецслужбы Австралии, Канады, Новой Зеландии, Великобритании и США. Различные агентства подошли к задаче обеспечения безопасности периметра сети под разным углом и опубликовали свои отчеты во вторник.

"Иностранные злоумышленники регулярно используют уязвимости программного обеспечения в периферийных устройствах сети для проникновения в критически важные инфраструктурные сети и системы. Ущерб может быть дорогостоящим, трудоемким и катастрофическим для репутации организаций государственного и частного секторов", - заявило Агентство кибербезопасности и безопасности инфраструктуры США (CISA) во введении к руководству. «В этих руководящих документах подробно описаны различные соображения и стратегии для более безопасной и отказоустойчивой сети как до, так и после взлома».

Новые документы дополняют рекомендации США, которые помогают производителям создавать устройства, безопасные по своей конструкции. Канадский центр кибербезопасности (CCCS) был ведущим специалистом по вопросам безопасности для периферийных устройств, который не только предоставляет подробный список задач для корпоративных ИТ, но и содержит ссылки на конкретные рекомендации по безопасности для удаленных сотрудников и организаций, использующих модели «приносите свои собственные устройства» (BYOD), а также рекомендации для производителей периферийных устройств.

Решенная проблема

В не столь тонком выпаде в адрес производителей продуктов с плохо защищенными интерфейсами сетевого управления (NMI) он также отметил:"Продавцы могут усилить защиту своих продуктов, чтобы они оставались в безопасности, используя NMI, подключенные к Интернету. Это решаемая проблема, и клиенты должны требовать от поставщиков усиления защиты своих устройств для защиты NMI".

Спецификации цифрового криминалистического мониторинга продуктов сетевых устройств и приложений, разработанные Национальным центром кибербезопасности Великобритании (NCSC-UK), фокусируются на минимальных требованиях к криминалистической видимости. В нем подробно описано, что следует регистрировать, как журналы следует хранить и защищать, а также требования к сбору данных судебно-медицинской экспертизы в случае инцидента.

«Соблюдая минимальные уровни наблюдаемости и базовые показатели цифровой криминалистики, изложенные в этом руководстве, производители устройств и их клиенты будут лучше подготовлены к обнаружению и выявлению вредоносной активности против их решений», — говорится в сообщении. «Производителям устройств следует также использовать его для определения базового набора стандартных функций для включения в архитектуру сетевых устройств и устройств, чтобы облегчить судебно-медицинский анализ для сетевых защитников».

Австралия взяла на себя инициативу по двум документам:«Стратегии смягчения последствий для периферийных устройств:руководство для руководителей» и «Стратегии смягчения последствий для периферийных устройств:практическое руководство». В этих руководствах, подготовленных Австралийским центром кибербезопасности (ACSC) при Австралийском управлении сигналов, содержится краткое описание стратегий и лучших практик по снижению рисков, усилению защиты и эффективного управления периферийными устройствами, а также технические подробности о семи стратегиях смягчения последствий, которые персоналу по эксплуатации, закупкам и кибербезопасности следует внедрить для снижения риска для периферийных устройств.

«Австралийский центр кибербезопасности (ACSC) Австралийского управления сигналов (ASD) отметил тревожный рост числа инцидентов, связанных со взломом периферийных устройств», — говорится в руководстве практикующего специалиста. «Периферийные устройства доступны в Интернете, их обычно сложно отслеживать, и они могут получить доступ к другим ресурсам в сети, что обеспечивает привлекательную точку проникновения и цель для злоумышленников».

Итоговый документ, подготовленный CISA, представляет собой обновленную версию руководства 2023 года по принципам безопасности при проектировании для производителей со ссылками на ресурсы по реализации.

«Продукты, разработанные с использованием принципов Secure by Design, отдают приоритет безопасности клиентов как основному бизнес-требованию, а не просто рассматривают ее как техническую функцию», — говорится на вводной веб-странице. "На этапе проектирования жизненного цикла разработки продукта компаниям следует внедрить принципы Secure by Design, чтобы значительно уменьшить количество уязвимостей, которые можно использовать, прежде чем выводить их на рынок для широкого использования или потребления. В готовом виде продукты должны быть защищены с помощью дополнительных функций безопасности, таких как многофакторная аутентификация (MFA), ведение журнала и единый вход (SSO), доступных без дополнительной оплаты".

Большое дело… если производители устройств соблюдают требования

Рекомендации для производителей особенно волнуют Фрэнка Диксона, вице-президента группы IDC по безопасности и доверию. «Это очень большое дело», — сказал он. «Это действительно огромная сумма, особенно если производители устройств капитулируют и соблюдают эти требования».

«Эти устройства имеют критически важное значение», — добавил он. «И некоторые из этих устройств имеют смехотворную уязвимость с точки зрения объема данных, [проходящих через них]». Несмотря на это, отметил он, многие из них не предлагают никакой информации о том, что происходит внутри, поэтому клиенты не могут оценить, хорошо ли производитель обновляет прошивку и проявляет инициативу.

Кэтелл Тилеманн, выдающийся вице-президент-аналитик Gartner, также довольна этими рекомендациями, но отметила, что это всего лишь начало.

«Рекомендации положительны, поскольку они показывают, что сообщество Five Eyes сотрудничает для внедрения лучших практик», — сказала она. И они продолжают «напоминать сообществу, что все, что подключено к Интернету, по умолчанию открыто и является потенциальной целью».

ОТ — это не ЭТО

Однако она не считает, что объединение подключенных к Интернету межсетевых экранов, маршрутизаторов, устройств IoT и OT-систем в одной рекомендации будет полезным для сообщества, и «они не называют их «периферийными устройствами», поскольку предполагается, что корпоративные ИТ — это центр вселенной, а «периферия» находится где-то там».

«Это может быть справедливо для межсетевых экранов, маршрутизаторов и VPN-шлюзов, но не для OT-систем», — продолжила она. "Эти OT-системы представляют собой киберфизические системы (CPS), которые поддерживают производство, создающее ценность, и критически важные среды. Они не являются периферией, они являются ядром операций".

Многие из них подключены к Интернету для поддержки удаленных операций и обслуживания, отметила она, поэтому "цель должна заключаться в том, чтобы давать советы о том, как безопасно удаленно подключаться к этим системам, а тон рекомендаций должен быть ориентирован на производственные реалии, где инструменты и процессы ИТ-безопасности не всегда являются хорошей идеей".

Диксон тоже считает, что это руководство является хорошим первым шагом, но добавляет:«Если мы разрешим ведение журнала и видимость для цифровой криминалистики, было бы также хорошо, если бы возникла проблема, мы действительно смогли исправить это устройство, своего рода запрет».

«В течение некоторого времени это была серьезная проблема», — сказал он. "Тот факт, что в нескольких странах "Пяти глаз" проводятся масштабные, скоординированные действия, чрезвычайно важен. Они сильные, громкие, уместные, это все хорошо. Честно говоря, я был настолько впечатлен тем, что они объявили об этом, что я просто сказал:"Слава Богу, мы наконец-то решаем эту проблему".

«Все, что нам нужно сделать, — это заставить пару действительно крупных организаций внедрить [руководство] в качестве требования для покупки некоторых из этих периферийных устройств в будущем, и [проблема] будет решена».

ПОДПИШИТЕСЬ НА НАШУ РАССЫЛКУ

От наших редакторов прямо на ваш почтовый ящик

Начните, введя свой адрес электронной почты ниже.