La CISA ordonne aux agences de déconnecter les « dispositifs de gestion en réseau » d’Internet
Alors que les acteurs de la menace sont devenus plus sophistiqués dans leur façon de cibler les systèmes d’information fédéraux, la Cybersecurity and Infrastructure Security Agency a publié mardi une nouvelle directive ordonnant aux agences de déconnecter les appareils qu’elles utilisaient pour gérer les réseaux à partir d’Internet.
Dans une directive opérationnelle contraignante, la CISA a déclaré que les acteurs malveillants s’attaquent à « certaines classes de périphériques réseau pour obtenir un accès illimité aux réseaux organisationnels, ce qui conduit à des compromis à grande échelle ».
En conséquence, l’agence fédérale de cybersécurité a ordonné aux agences de la branche exécutive fédérale de supprimer d’Internet tous les «dispositifs de gestion en réseau», les rendant accessibles uniquement à partir d’un réseau interne, ou de déployer des capacités de confiance zéro dans leur architecture réseau afin qu’un administrateur d’agence peut appliquer des contrôles d’accès distincts de l’interface.
Conformément à la pression plus large de l’administration Biden pour une sécurité zéro confiance dans l’ensemble du gouvernement, la préférence de la CISA est que les agences adoptent l’approche zéro confiance. La CISA a publié en avril une deuxième version de son modèle de maturité Zero Trust.
La CISA classe les « dispositifs de gestion en réseau » comme les dispositifs qui résident sur ou prennent en charge les systèmes d’information fédéraux tels que les routeurs, les commutateurs, les pare-feu, les concentrateurs VPN, les proxys, les équilibreurs de charge et les interfaces de gestion de serveur hors bande qui se connectent également à un plus grand Internet et utilisent des protocoles réseau. pour la gestion à distance. Cela inclut des protocoles tels que le protocole de transfert hypertexte (HTTP), le protocole de transfert hypertexte sécurisé (HTTPS), le protocole de transfert de fichiers (FTP) et autres.
CISA donne un exemple courant d’une telle configuration : « Une agence utilise un routeur qui gère le trafic à l’intérieur de son réseau. L’interface de gestion Web du routeur, utilisée par un administrateur d’agence, est accessible via HTTPS. L’interface de gestion est accessible par une entité directement à partir de l’Internet public. Dans cet exemple, l’interface de gestion correspondrait à la portée du BOD et sera soumise aux actions requises. »
« Alors que les agences et les organisations ont acquis une meilleure visibilité de leurs réseaux et amélioré la détection et la réponse aux terminaux, les acteurs de la menace ont ajusté leurs tactiques pour échapper à ces protections en ciblant les périphériques réseau prenant en charge l’infrastructure réseau sous-jacente. Les récentes campagnes de menaces soulignent le grave risque pour l’entreprise fédérale posé par des périphériques réseau mal configurés », indique la directive.
Alors que les acteurs de la menace ciblent des appareils réseau mal configurés, non sécurisés ou obsolètes, le risque est encore plus grand s’ils sont connectés et accessibles à partir de l’Internet public, explique la CISA.
CISA recherchera ces appareils d’agence connectés à Internet et informera les agences. Dans les 14 jours suivant cette notification ou une découverte indépendante, les agences seront tenues de déconnecter les appareils d’Internet ou de prendre des mesures correctives mettant en œuvre des capacités de confiance zéro.
En plus de cela, la CISA a ordonné aux agences de mettre en œuvre des contrôles techniques pour les appareils existants et nouvellement ajoutés afin de prendre la même mesure de les restreindre à un réseau interne ou de les renforcer avec des contrôles d’accès zéro confiance.
Pour aider les agences civiles à répondre aux exigences de la directive, la CISA a publié des directives de mise en œuvre accompagnées d’informations supplémentaires et de questions fréquemment posées.