Киберпериметр никогда не был мертв. Мы просто про него забыли.

Отрасль утешала себя мыслью о том, что периметр мертв. Это не так. Произошло нечто гораздо худшее. Мы проигнорировали периферию, позволили неподдерживаемому оборудованию прийти в негодность, фактически отдав наш периметр противникам, которые с радостью его приняли. Инициатива Winter SHIELD ФБР — это операционная сторона [...] — csoonline.com

Отрасль утешала себя мыслью о том, что периметр мертв. Это не так. Произошло нечто гораздо худшее. Мы проигнорировали периферию, позволили неподдерживаемому оборудованию прийти в негодность, фактически отдав наш периметр противникам, которые с радостью его приняли.

Инициатива Winter SHIELD ФБР — это операционная сторона медали, направленная на изменение ситуации и повышение киберустойчивости. Она показывает, как злоумышленники используют слабую аутентификацию, избыточные привилегии и необновленные периферийные устройства для закрепления своих позиций.

Директива BOD 26‑02 CISA — это структурная сторона, предписывающая удаление устаревшего периферийного оборудования, которое делает возможным такое закрепление.

Вместе это уведомление и директива являются признанием со стороны федерального правительства США в том, что руководители служб безопасности отстают в освоении основ киберустойчивости, и теперь всем нам необходимо наверстать упущенное.

Потому что, откровенно говоря, ситуация не просто плохая; она неустойчива. BOD 26‑02 вскрывает массовый управленческий провал во всех секторах: организации в каждой отрасли рассматривали жизненные циклы активов как предпочтение ИТ, а не как стратегическое требование.

Как мы все знаем, федеральное правительство редко опережает кривую модернизации. И сегодня оно все еще не впереди — но предпринимает шаги, чтобы догнать. Делая это, оно отметило, что слишком многие организации частного сектора также отстают в обеспечении безопасности своих периметров, и этим организациям — и их руководителям по безопасности — теперь также необходимо наверстать упущенное.

Институциональный провал: проблема «места для опоры»

Заблуждение об исчезнувшем периметре укоренилось отчасти из-за сдвига в стратегии безопасности, вызванного ростом облачных технологий. Здесь индустрия кибербезопасности разделяется на архитектурную теорию и тактическую реальность. Одна сторона настаивает на том, что в мире, основанном на облачных технологиях, единственным важным периметром является идентификация. Они утверждают, что если вы верифицировали пользователя, то канал связи становится неактуальным.

Но это игнорирует суровую правду. Чтобы злоумышленник смог войти, ему сначала нужно место, чтобы встать. Мы перепутали мобильность пользователя со стабильностью инфраструктуры. В то время как удаленному пользователю нужна временная сессия для работы, злоумышленнику нужен постоянный плацдарм, чтобы остаться. Пренебрегая периферией, организации непреднамеренно предоставили эту плацдарм-зону.

Наш растущий технологический долг — главное свидетельство этого провала. Мы гнались за программным обеспечением нулевого доверия, оставляя необновленное, устаревшее оборудование ржаветь у ворот. Эти устройства — не просто старое оборудование. Это подаренные активы, которые позволяют акторам, связанным с государством, полностью обойти средства контроля идентификации и находиться без мониторинга в самой основе сети.

Тактический аудит: Winter SHIELD и BOD 26‑02

Операция Winter SHIELD ФБР — это двухмесячный национальный блиц, направленный на укрепление основ, которые продолжают эксплуатировать злоумышленники. Это не обычная кампания по повышению осведомленности. Это концентрированный напор для выявления слабой аутентификации, избыточных прав администратора, необновленных периферийных устройств и отсутствия готовности к кризисам в организациях. Бюро использует это короткое окно, чтобы заставить обратить внимание на основы, которые слишком долго игнорировались.

BOD 26‑02 CISA завершает клещи, предписывая удаление тех самых устройств, которые ФБР выделяет как скомпрометированные. CISA дает правительственным структурам 18 месяцев на соблюдение.

Когда эти ведомства одновременно принимают меры по работе с периферией, это не рутинное обновление. Это признание того, что отставание стало уязвимостью.

Реальность для CISO: от осведомленности к исполнению

Это согласование требует переориентации позиции CISO. Если правительство больше не может мириться с риском неподдерживаемого периферийного оборудования, у предприятий нет оправданной причины держать его подключенным. Это требование выживания, которое требует полной видимости периферии и агрессивного устранения рисков.

Чтобы соответствовать ожиданиям, установленным Winter SHIELD, CISO должны предпринять следующие действия:

• Использовать надежную, основанную на оборудовании аутентификацию для всего привилегированного и удаленного доступа.
• Ограничивать права администратора только временным использованием и отслеживать каждое повышение прав.
• Обновлять все системы, доступные из Интернета, в течение 72 часов при обнаружении критического сбоя.
• Устранять постоянный доступ поставщиков и требовать мониторинга, ограниченных по времени подключений.
• Хранить журналы устройств в защищенном месте, где их нельзя изменить или удалить.
• Сохранять как минимум одну автономную резервную копию, которую злоумышленник не сможет изменить.
• Отключать ненужные службы, доступные из Интернета, особенно удаленный рабочий стол и общий доступ к файлам.
• Блокировать спуфинг электронной почты путем обеспечения строгой аутентификации домена.
• Отзывать локальные права администратора у пользователей и требовать временного повышения прав.
• Проводить регулярные кризисные учения с руководством для улучшения принятия решений под давлением.

BOD 26‑02 добавляет структурные требования, определяющие федеральное ожидание в отношении управления периметром:

• Вести полный учет всех периферийных устройств, включая межсетевые экраны, маршрутизаторы и устройства удаленного доступа.
• Определить каждое устройство, которое не поддерживается или вышло из срока службы.
• Удалять или заменять неподдерживаемые периферийные устройства по установленному графику и документировать выполнение.
• Создать процесс жизненного цикла, отслеживающий каждое устройство от покупки до вывода из эксплуатации.
• Обеспечить, чтобы все заменяемые устройства соответствовали текущим стандартам безопасности до их развертывания.
• Предоставлять постоянное подтверждение того, что на периметре не осталось неподдерживаемых устройств.

Простая реальность

Периметр никогда не исчезал. Его игнорировали. Неподдерживаемые межсетевые экраны, маршрутизаторы, устройства удаленного доступа и периферийные коробки всегда были предсказуемыми точками входа. Злоумышленники используют их для закрепления, горизонтального перемещения и сохранения присутствия. Пренебрежение периметром подрывает все остальные инвестиции, которые вы могли сделать.

ФБР может проводить двухмесячный спринт, но для CISO эти ожидания не заканчиваются, когда блиц завершается. Надежная аутентификация, строгий контроль привилегий, быстрое исправление уязвимостей и дисциплинированное ведение журналов — это не краткосрочные действия. Это пожизненные обязанности. А CISA сорвала пластырь и обнажила реальность рисков использования оборудования после окончания срока его службы. Если ваш периметр работает на оборудовании с истекшим сроком службы, вы больше не защищаетесь. Вы дарите доступ.

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

Автор – Christopher Burgess

Оригинал статьи