La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha ordenado a las agencias del poder ejecutivo civil federal (FCEB) que fortalezcan la gestión del ciclo de vida de los activos de los dispositivos de red perimetrales y eliminen los dispositivos que ya no reciben actualizaciones de seguridad de los fabricantes de equipos originales (OEM) en los próximos 12 a 18 meses.
La agencia dijo que este paso es para reducir la deuda técnica y minimizar el riesgo de violación, ya que los actores de amenazas patrocinados por el estado utilizan dichos dispositivos como ruta de acceso preferida para penetrar las redes objetivo.
Los dispositivos perimetrales son un término general que incluye equilibradores de carga, firewalls, enrutadores, conmutadores, puntos de acceso inalámbrico, dispositivos de seguridad de red, dispositivos perimetrales de Internet de las cosas (IoT), redes definidas por software y otros componentes de red físicos o virtuales que enrutan el tráfico de red y mantienen el acceso privilegiado.
«Los implacables ciberatacantes están explotando cada vez más dispositivos, hardware y software no compatibles que ya no reciben actualizaciones de firmware y otros parches de seguridad de los proveedores», dijo CISA. «Estos dispositivos ubicados en el perímetro de la red son particularmente vulnerables a ciberatacantes persistentes que explotan vulnerabilidades nuevas o conocidas».
Para ayudar a las agencias FCEB en este sentido, CISA dijo que ha creado la Lista de dispositivos perimetrales al final de su vida útil, que sirve como un depósito preliminar de información sobre los dispositivos que ya han llegado al final del soporte o que se espera que lleguen al final del soporte. Esta lista incluye el nombre del producto, el número de versión y la fecha de finalización del soporte.
La directiva operativa vinculante 26-02 recientemente publicada, «Mitigación de los riesgos de los dispositivos de borde al final de su vida útil», requiere que las agencias de la FCEB tomen las siguientes acciones:
Actualizar cada dispositivo perimetral respaldado por el proveedor que ejecute software de fin de vida útil a la versión de software respaldada por el proveedor (con efecto inmediato) Catalogar todos los dispositivos para identificar los dispositivos al final de su vida útil e informarlos a CISA (en un plazo de 3 meses) Retirar todos los dispositivos perimetrales que no cuentan con soporte y figuran en la lista de dispositivos perimetrales de la red de la agencia y reemplazarlos con dispositivos respaldados por el proveedor que puedan recibir actualizaciones de seguridad (en un plazo de 12 meses) Otros dispositivos perimetrales identificados Retirar todos los dispositivos de la red de revendedores y reemplazarlos con dispositivos respaldados por el proveedor Dispositivos que pueden recibir actualizaciones de seguridad (dentro de los 18 meses) Establecer un proceso de gestión del ciclo de vida para permitir el descubrimiento continuo de todos los dispositivos perimetrales y mantener un inventario de los dispositivos programados para su fin de vida útil (dentro de los 24 meses)
«Los dispositivos no compatibles representan un riesgo grave para los sistemas federales y nunca deben dejarse en las redes corporativas», afirmó Madhu Gotumukkara, director interino de CISA. «Al gestionar proactivamente los ciclos de vida de los activos y eliminar las tecnologías al final de su vida útil, podemos fortalecer colectivamente la resiliencia y proteger el ecosistema digital global».
Source link
