Agenciile de securitate cibernetică din cadrul alianței Five Eyes, formată din Marea Britanie, Australia, Canada, Noua Zeelandă și Statele Unite, au emis recomandări îndemnând producătorii de dispozitive și aparate de rețea să îmbunătățească vizibilitatea forensic pentru a ajuta apărătorii să detecteze atacurile și să investigheze încălcările de securitate.
Astfel de dispozitive, incluzând firewall-uri, routere, gateway-uri de rețea privată virtuală (VPN), servere cu acces la internet și sisteme de tehnologie operațională (OT), precum și dispozitive Internet of Things (IoT), au fost intens vizate atât de atacatorii sponsorizați de stat, cât și de cei motivați financiar.
Dispozitivele de rețea sunt adesea vizate și compromis deoarece nu suportă soluțiile de Detecție și Răspuns la Endpoint (EDR), permițând actorilor de amenințare să obțină acces inițial la rețelele interne ale țintelor.
În multe cazuri, astfel de dispozitive lipsesc de actualizări regulate de firmware și autentificare puternică, vin cu vulnerabilități de securitate și configurații nesigure în mod implicit și oferă înregistrări limitate, reducând semnificativ capacitatea echipelor de securitate de a detecta încălcările de securitate.
Mai mult, fiind poziționate la marginea rețelei și gestionând aproape tot traficul corporativ, acestea atrag atenția ca ținte care facilitează monitorizarea traficului și colectarea de credențiale pentru un acces ulterior la rețea dacă rămân nesecurizate.
„Adversarii străini exploatează în mod obișnuit vulnerabilitățile de software din dispozitivele de rețea pentru a se infiltra în rețelele și sistemele de infrastructură critică. Daunele pot fi costisitoare, consumatoare de timp și catastrofale din punct de vedere reputațional pentru organizațiile din sectorul public și privat,” a declarat CISA.
„Producătorii de dispozitive sunt încurajați să includă și să activeze funcționalități standard de înregistrare și forensic care sunt robuste și sigure în mod implicit, astfel încât apărătorii rețelei să poată detecta mai ușor activitatea malefică și să investigheze în urma unei intruziuni,” a adăugat Centrul Național de Securitate Cibernetică al Marii Britanii (NCSC).
Agenciile de securitate cibernetică au sfătuit de asemenea apărătorii rețelei să ia în considerare aceste cerințe minime recomandate pentru vizibilitate forensic înainte de a alege dispozitive de rețea fizice și virtuale pentru organizațiile lor.
În ultimii ani, atacatorii au continuat să vizeze dispozitivele de rețea edge de la diferiți producători, inclusiv Fortinet, Palo Alto, Ivanti, SonicWall, TP-Link și Cisco.
În replică la activitatea actorilor de amenințare, CISA a emis mai multe alerte „Secure by Design”, una dintre ele în iulie 2024 solicitând producătorilor să elimine vulnerabilitățile de injecție de comenzi OS exploatare de către grupul de amenințări Velvet Ant susținut de statul chinez pentru a pătrunde în dispozitivele de rețea edge de la Cisco, Palo Alto și Ivanti.
De asemenea, agenția de securitate cibernetică din SUA a îndemnat producătorii de routere pentru birouri mici/foyeruri (SOHO) să-și securizeze dispozitivele împotriva atacurilor Volt Typhoon și vendorii de tehnologie să înceteze să livreze software și dispozitive cu parole implicite.
Leave a Reply