La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha ordenado a las agencias del Poder Ejecutivo Civil Federal (FCEB) que fortalezcan la gestión del ciclo de vida de los activos para los dispositivos de red perimetrales y eliminen aquellos que ya no reciben actualizaciones de seguridad de los fabricantes de equipos originales (OEM) durante los próximos 12 a 18 meses.
La agencia dijo que la medida tiene como objetivo reducir la deuda técnica y minimizar el riesgo de compromiso, a medida que los actores de amenazas patrocinados por el estado convierten dichos dispositivos en una vía de acceso preferida para irrumpir en las redes objetivo.
Dispositivos perimetrales es un término general que abarca equilibradores de carga, firewalls, enrutadores, conmutadores, puntos de acceso inalámbrico, dispositivos de seguridad de red, dispositivos perimetrales de Internet de las cosas (IoT), redes definidas por software y otros componentes de red físicos o virtuales que enrutan el tráfico de red y mantienen acceso privilegiado.
«Los actores de amenazas cibernéticas persistentes están explotando cada vez más dispositivos periféricos no compatibles: hardware y software que ya no reciben actualizaciones de firmware u otros parches de seguridad de los proveedores», dijo CISA. «Ubicados en el perímetro de la red, estos dispositivos son especialmente vulnerables a los actores de amenazas cibernéticas persistentes que explotan una vulnerabilidad nueva o conocida».
Para ayudar a las agencias FCEB en este sentido, CISA dijo que ha desarrollado una lista de dispositivos perimetrales al final del soporte que actúa como un depósito preliminar con información sobre los dispositivos que ya han llegado al final del soporte o que se espera que lo pierdan. Esta lista incluirá el nombre del producto, el número de versión y la fecha de finalización del soporte.
La Directiva operativa vinculante 26-02 recientemente emitida, Mitigación del riesgo de dispositivos de borde con fin de soporte, requiere que las agencias de la FCEB emprendan las siguientes acciones:
- Actualice cada dispositivo perimetral respaldado por el proveedor que ejecute software de fin de soporte a una versión de software respaldada por el proveedor (Con efecto inmediato)
- Catalogar todos los dispositivos para identificar aquellos cuyo soporte finaliza e informar a CISA (Dentro de tres meses)
- Retire de las redes de la agencia todos los dispositivos perimetrales cuyo soporte finalice y que estén incluidos en la lista de dispositivos perimetrales y reemplácelos con dispositivos compatibles con proveedores que puedan recibir actualizaciones de seguridad. (Dentro de 12 meses)
- Retire todos los demás dispositivos periféricos identificados de las redes de la agencia y reemplácelos con dispositivos respaldados por proveedores que puedan recibir actualizaciones de seguridad. (Dentro de 18 meses)
- Establecer un proceso de gestión del ciclo de vida para permitir el descubrimiento continuo de todos los dispositivos de borde y mantener un inventario de aquellos que están o llegarán al final del soporte. (Dentro de 24 meses)
«Los dispositivos no compatibles representan un riesgo grave para los sistemas federales y nunca deben permanecer en las redes empresariales», afirmó el director interino de CISA, Madhu Gottumukkala. «Al gestionar proactivamente los ciclos de vida de los activos y eliminar la tecnología de fin de soporte, podemos fortalecer colectivamente la resiliencia y proteger el ecosistema digital global».