Обновись или выключи навсегда. CISA ставит ультиматум: 18 месяцев на ликвидацию «мертвого» оборудования

Американские гражданские ведомства получили жесткое требование от CISA пересобрать свой сетевой периметр. Регулятор настаивает на проверке всего сетевого оборудования, которое стоит на границе инфраструктуры и пропускает трафик. Устройства, для которых производители больше не выпускают обновления безопасности, нужно поэтапно вывести из эксплуатации. На замену и списание отводится от 12 до 18 месяцев.

В агентстве объясняют решение просто. Старые сетевые узлы накапливаются, обновления на них перестают выходить, уязвимости остаются открытыми. Такие точки все чаще используют атакующие. По наблюдениям CISA, группы, работающие в интересах государств, регулярно заходят во внутренние сегменты именно через подобные элементы на краю сети.

Термин edge devices объединяет целый набор пограничных компонентов. Сюда относятся балансировщики нагрузки, межсетевые экраны, маршрутизаторы, коммутаторы, беспроводные точки доступа, специализированные защитные шлюзы, пограничные IoT устройства, узлы программно определяемых сетей и другие физические или виртуальные элементы, которые направляют сетевые потоки. У таких систем часто есть расширенные права в инфраструктуре, поэтому их компрометация облегчает дальнейшее продвижение внутри контура.

По оценке CISA, злоумышленники все чаще делают ставку на платформы и прошивки без поддержки со стороны производителя. Если в таком продукте находят брешь, закрывать ее уже некому. Поскольку подобные решения стоят на периметре, их удобно атаковать как по новым, так и по давно известным уязвимостям.

Чтобы ведомствам было проще ориентироваться, регулятор подготовил отдельный список пограничных устройств с завершенной или близкой к завершению поддержкой. В перечне указываются названия продуктов, версии и даты окончания обслуживания. Документ задуман как рабочий ориентир при проверке собственной инфраструктуры и планировании замены.

Новая обязательная директива под номером 26-02 фиксирует конкретные действия и сроки. Все поддерживаемые производителем узлы, на которых стоит устаревшее программное обеспечение, нужно сразу обновить до актуальных версий. Параллельно требуется провести инвентаризацию, найти все решения без поддержки и направить отчет в CISA в течение 3 месяцев.

Устройства из опубликованного перечня с истекшим сроком поддержки нужно убрать из сетей и заменить на модели, которые продолжают получать обновления безопасности. На эту часть работ отведено до 12 месяцев. Остальные выявленные пограничные узлы без поддержки, даже если их нет в первоначальном списке, подлежат замене в срок до 18 месяцев.

Отдельный пункт касается процессов. Ведомствам предписано наладить постоянный учет жизненного цикла таких систем. Требуется регулярный поиск всех периметральных устройств и ведение актуального реестра с датами окончания поддержки. На запуск такого учета дается до 24 месяцев.

Исполняющий обязанности директора CISA Мадху Готтумуккала подчеркнул, что техника без обновлений напрямую повышает риск для федеральных информационных систем и не должна оставаться в корпоративных сетях. В агентстве считают, что плановая замена и постоянный контроль состояния таких узлов заметно усложняют злоумышленникам доступ к инфраструктуре.