Агентство CISA дает федеральным агентствам 18 месяцев на удаление устаревших периферийных устройств из сетей из-за смены тактики атак. Обязательная директива требует инвентаризации и замены неподдерживаемого сетевого оборудования, представляющего существенный риск. — csoonline.com
Агентство по обеспечению кибербезопасности и защите инфраструктуры (CISA) предоставило федеральным агентствам 18 месяцев на удаление всех устаревших периферийных устройств из своих сетей. Это стало ответом на фундаментальный сдвиг в тактике атак со стороны государственных субъектов, когда злоумышленники эксплуатируют сетевую инфраструктуру, а не конечные точки.
Обязательная оперативная директива BOD 26-02 требует от агентств федеральной гражданской исполнительной власти (FCEB) провести инвентаризацию, по возможности обновить и в конечном итоге заменить межсетевые экраны, маршрутизаторы, VPN-шлюзы, балансировщики нагрузки и устройства сетевой безопасности, которые больше не получают обновлений безопасности от поставщиков. CISA предупредило, что угроза от этих неподдерживаемых устройств «существенна и постоянна».
«Неподдерживаемые устройства представляют серьезный риск для федеральных систем и никогда не должны оставаться в корпоративных сетях», — заявил исполняющий обязанности директора CISA Мадху Готтумуккала в директиве.
Директива требует от агентств FCEB немедленно обновить любое периферийное устройство с устаревшим программным обеспечением до версий, поддерживаемых поставщиком, где это возможно. В течение трех месяцев агентства должны провести инвентаризацию всех неподдерживаемых периферийных устройств, используя список CISA EOS Edge Device List, и сообщить о результатах. В течение 12 месяцев агентства должны начать удаление устройств, срок поддержки которых истек. 18-месячный срок обязывает полностью удалить и заменить все неподдерживаемые периферийные устройства.
Почему периферийные устройства стали основными целями
«Периферийные устройства фундаментально отличаются от традиционных ИТ-активов, поскольку они часто устарели, являются заказными, зависят от OEM-производителей и специфических процессов», — рассказал CSO Авинаш Дев Нагумантри, директор-аналитик Gartner. «Это затрудняет их обнаружение, установку исправлений и замену при ограниченных бюджетах, одновременно поддерживая бесперебойную работу».
Сетевые периферийные устройства стали одним из основных векторов первоначального доступа для кибершпионских групп, связанных с государством, и программ-вымогателей. Исследования показывают резкое увеличение числа случаев эксплуатации уязвимостей периферийных устройств: активность эксплуатации уязвимостей сетевого периметра увеличилась в 8 раз. В отчете 2025 Mandiant M-Trends отмечается, что 21% атак программ-вымогателей использовали эксплуатацию уязвимостей в качестве вектора первоначального доступа.
CISA задокументировало кампании государственных субъектов, нацеленные на устройства от Cisco, Fortinet, Palo Alto Networks, Ivanti, Juniper и других поставщиков. Агентство отметило, что эти устройства стали привлекательными целями из-за их положения на границе сети, интеграции с системами управления идентификацией и привилегированного доступа для бокового перемещения. После компрометации они позволяют злоумышленникам перехватывать сетевой трафик, собирать учетные данные и извлекать конфиденциальные данные, уклоняясь от традиционных средств обнаружения конечных точек.
Нагумантри отметил, что периферийные устройства, защищающие критически важную инфраструктуру, могут иметь физические последствия при компрометации, подвергая риску высокоценные системы в таких секторах, как водоснабжение и транспорт. «Государственные субъекты все чаще используют периферийные устройства в качестве точек входа в инфраструктуру, угрожая критически важным операциям частного сектора».
Директива последовала за двумя недавними экстренными директивами. В сентябре CISA выпустило Экстренную директиву 25-03 после того, как злоумышленники использовали уязвимости нулевого дня в Cisco Adaptive Security Appliances, развернув постоянное вредоносное ПО, которое пережило перезагрузки. В октябре еще одна экстренная директива последовала за компрометацией среды разработки F5 Networks, где злоумышленники извлекли исходный код BIG-IP.
Трудности внедрения
Сунил Варки, советник Beagle Security, предупреждает о сложности внедрения. «Операционная реальность удаления устаревших систем не является простой», — сказал Варки. «Устаревшие устройства продолжают существовать не по дизайну, а по необходимости».
Он указал на заброшенные системы, которые остаются активными и встроены в рабочие процессы, но не имеют четкого владельца, а также на среды операционных технологий, где новые аппаратные или программные версии недоступны, несовместимы или не сертифицированы. Процесс требует обнаружения активов, оценки рисков, закупки, перепроектирования конфигурации, миграции данных, тестирования и управляемых переключений во избежание сбоев обслуживания.
«Распространенной проблемой будет наличие «заброшенных» или «призрачных» систем — устройств, которые активны, встроены в рабочие процессы, но больше не имеют четкого владельца», — сказал Варки. «Эти системы часто сохраняются, потому что «они всегда работали», даже когда никто полностью не понимает их функцию».
Последствия для частного сектора
Хотя директива применяется только к федеральным гражданским агентствам, CISA настоятельно рекомендует частным организациям принять аналогичные меры. Кампании по эксплуатации, нацеленные на федеральные сети, представляют аналогичные риски для критически важной инфраструктуры и коммерческих предприятий.
Нагумантри рекомендовал организациям рассматривать периферийные и киберфизические системы как активы уровня 0, обеспечивать строгую аутентификацию, внедрять сегментацию сети, требовать обновлений прошивки, поддерживаемых поставщиком, и централизовать ведение журналов для ограничения радиуса поражения. Для частного сектора он выступал за структурированное управление жизненным циклом с безопасным по дизайну оборудованием, непрерывный мониторинг и контролируемые обновления с возможностью отката.
Варки увидел в директиве катализатор модернизации, выходящей за рамки соответствия требованиям. «Хотя краткосрочное воздействие будет сложным, результатом станет более безопасная, подотчетная и защищенная инфраструктура — лучше соответствующая сегодняшним угрозам и завтрашним операционным потребностям».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Gyana Swain