CISA ve Uluslararası Siber Güvenlik Ortakları, kritik ağ kenar cihazlarını giderek daha sofistike siber saldırılardan korumayı amaçlayan kapsamlı bir rehberlik belgeleri sundu.
Avustralya, Kanada, Birleşik Krallık ve Japonya da dahil olmak üzere dokuz ülkeden siber güvenlik yetkililerini içeren bu koordineli çaba, güvenlik duvarları, yönlendiriciler, VPN ağ geçitleri ve diğer internete dönük ağ altyapısına yönelik artan tehdidi ele alıyor.
Ağ kenar cihazlarını korumak için rehberlik
Yeni yayınlanan rehber, Edge cihaz güvenliğinin farklı yönlerini ele alan dört tamamlayıcı yayından oluşmaktadır.
.png
)
Edge cihazları için güvenlik hususları
Kanada Siber Güvenlik Merkezi (CCCS), tehdit aktörlerinin kurumsal ağlara giriş puanı olarak nasıl kullandıklarını belgeliyor.
Örneğin, saldırganlar son zamanlarda Rasgele Kod yürütmek ve Domain Yönetici Hesaplarını uzlaştırmak için Fortinet Fortios Güvenlik Açıklıkları CVE-2024-21762 ve CVE-2022-42475’ten yararlandı.
Volt Typhoon gibi devlet destekli gruplar, kritik altyapıya sızmak için benzer kusurları silahlandırdılar, bu da tespit edilmeyen aylar boyunca sıklıkla kalıcılığı korudu.
Yöneticilere, sıfır gün risklerini azaltmak için cihaz yapılandırması sırasında bellek güvenli programlama dilleri uygulamaları talimatı verilir, bu da arabellek taşma güvenlik açıklarını denemelerde% 70’e kadar azalttığı gösterilmiştir.
Ağ segmentasyonu, sanal LAN’ları (VLAN’lar) ve yazılım tanımlı çevre (SDP) dağıtma önerileri ile iç varlıklardan kenar cihazlarını izole etmek için vurgulanmaktadır.
Telnet ve SSHV1 gibi eski protokoller, daha güçlü şifreleme ve bütünlük kontrolleri sağlayan SSHV2 veya TLS 1.3 lehine devre dışı bırakılmalıdır.
Dijital adli tıp izleme özellikleri
İngiltere’nin Ulusal Siber Güvenlik Merkezi (NCSC), Edge cihazlarının, dağıtılmış ağlar arasında kesin adli izlemeyi mümkün kılmak için ISO 8601 zaman damgaları ve küresel benzersiz tanımlayıcılar (GUID’ler) ile günlükler üretmesini zorunlu kılar.
Bu günlükler, derin paket analizi için .Pcap formatında Syslog protokolleri (RFC 5424) ve trafik meta verileri aracılığıyla kimlik doğrulama denemelerini (hem başarılı hem de başarısız), yapılandırma değişikliklerini kaydetmelidir.
Kuruluşlar, Mutual Sertifika Kimlik Doğrulaması ile TLS 1.2+ şifrelemesini kullanarak uzaktan günlüğü yapılandırmalı ve transit sırasında günlük bütünlüğünü sağlamalıdır.
Rehberlik, gizliliği korumak için TCP/514 veya TLS/6514 bağlantı noktalarını savunmak için müdahale riskleri nedeniyle UDP tabanlı Syslog’u açıkça yasaklamaktadır.
Kritik güvenlik etkinlikleri, kurcalamayı önlemek için yazılı okunan ve okuma yazma (solucan) depolama sistemlerinde 365 gün arşivlenen kritik güvenlik etkinlikleri ile günlükler en az 90 gün boyunca saklanmalıdır. Bu, denetim parkurlarının korunması için GDPR ve NIST SP 800-92 gereksinimleriyle uyumludur.
Azaltma Stratejileri: Yönetici Rehberlik
Yürütme rehberliği, kuruluşları onaylanmış güvenlik özellikleri için ISO 15408 (ortak kriterler) altında sertifikalı cihazlara öncelik vermeye çağırarak riskle bilgilendirilmiş tedariki vurgulamaktadır.
ASD’nin 2024 Tehdit Raporuna göre Edge Cihaz uzlaşmalarının% 34’ünü açıkladığı için, sözleşmeler ömrünün son (EOL) durumuna yaklaşan ürünleri hariç tutmalıdır.
Yöneticilere, çok alanlı riskleri ele almak için BT, OT ve Fiziksel Güvenlik Personeli’nden oluşan çapraz fonksiyonel kenar güvenlik ekipleri kurmaları tavsiye edilir.
Shodan veya Censys gibi araçları kullanan üç aylık saldırı yüzey incelemeleri, 2024’te kamu internet taramalarında görülebilen 212.000’den fazla kenar cihazını rapor ederek, uygunsuz maruz kalan cihazları tanımlamak için zorunludur.
Uygulayıcı rehberliği
Uygulayıcı kılavuzu, tüm kenar cihazlarını haritalamak ve 802.1x bağlantı noktası kimlik doğrulamasını zorlamak için NMAP komut dosyalarını kullanarak kapsamlı envanter yönetiminden başlayarak yedi temel hafifletmeyi detaylandırır.
HTTP/SNMPV1 gibi şifrelemeye sahip olmayan yüksek riskli hizmetleri devre dışı bırakarak STIG kriterlerinden türetilen güvenli yapılandırma taban çizgileri uygulanmalıdır.
İdari erişim için, kimlik bilgisi hırsızlığını önlemek için FIDO2 veya PIV/CAC jetonları üzerinden kimlik avına dayanıklı MFA gereklidir.
Yönetim arayüzleri, iPSec tünellerinin arkasındaki ana bilgisayarları atlayarak genel ağ trafiğinden izole etmelidir.
Erişim Kontrol Listeleri (ACL’ler), ASD analizinin kaba kuvvet saldırısı girişimlerinin% 89’una bağlandığı TOR çıkış düğümlerinden ve kurşun geçirmez barındırma sağlayıcılarından gelen bağlantıları engellemelidir.
Bu yönergeler toplu olarak, teknik yapılandırmalara, adli hazır bulunmaya ve organizasyonel yönetişime yönelik Edge cihaz güvenliği için derinlemesine bir savunma yaklaşımı oluşturur.
Bellek güvenli programlama, TLS şifreli günlüğe kaydetme ve kimlik avına dirençli MFA uygulayarak, kuruluşlar saldırı yüzeylerini önemli ölçüde azaltabilir.
Tehdit aktörleri, geleneksel güvenlik kontrollerini atlamak için ağ çevrelerini giderek daha fazla hedefledikçe bu çerçevelere sürekli bağlı kalır.
Canlı Kimlik Hırsızlık Saldırısı UN MASK & Anında Savunma – Ücretsiz Web Semineri