CISA, federal sivil kurumlara yanlış yapılandırılmış veya İnternet’e açık ağ ekipmanlarını keşfin ardından 14 gün içinde koruma altına alma emri veren bu yılın ilk bağlayıcı operasyonel direktifini (BOD) yayınladı.
Siber güvenlik kurumunun Bağlayıcı Operasyonel Direktifi 23-02, yetkili kullanıcılara ağ yönetim görevlerini yerine getirmeleri için gerekli erişimi sağlayan, İnternet’e maruz kalan yönetim arayüzlerine (örn. yönlendiriciler, güvenlik duvarları, proxy’ler ve yük dengeleyiciler) sahip ağ bağlantılı cihazlar için geçerlidir.
CISA, “Yönerge, federal sivil yürütme organı (FCEB) kurumlarının, belirli cihaz sınıflarında güvenli olmayan veya yanlış yapılandırılmış yönetim arabirimleri tarafından oluşturulan saldırı yüzeyini azaltmak için adımlar atmasını gerektiriyor” dedi.
Ajanslar, “Ajanslar, tanımlanmış ağ bağlantılı yönetim arayüzlerini internete açık olmaktan çıkarmaya veya arayüzün kendisinden ayrı bir politika uygulama noktası uygulayan Sıfır Güven yetenekleriyle korumaya hazırlıklı olmalıdır” diye ekledi.
BOD 23-02’de belirtildiği gibi, federal kurumların aşağıdaki eylemlerden birini gerçekleştirmeleri için CISA’dan bildirim almalarından veya direktifin kapsamına giren bir ağ bağlantılı yönetim arayüzünü bağımsız olarak keşfetmelerinden itibaren 14 günleri vardır:
- CISA, yalıtılmış bir yönetim ağının kullanılmasını tavsiye ederek, ağ ekipmanının arabirimine erişimi dahili ağla sınırlandırın.
- Arabirimin kendisinden ayrı bir ilke uygulama noktası aracılığıyla arabirime erişim denetimi uygulamak için Sıfır Güven önlemleri uygulayın (tercih edilen eylem şekli).
CISA, direktifin kapsamına giren cihazları ve arayüzleri belirlemek için taramalar yapacağını ve bulgularını kurumlara bildireceğini söylüyor.
Düzeltme sürecini kolaylaştırmak için CISA, federal kurumlara ihtiyaç duyulduğunda veya belirli cihazların durumunu gözden geçirmeleri istendiğinde teknik uzmanlık sağlayacak ve cihazların emniyete alınması konusunda rehberlik sağlayacaktır.
FCEB ajansları ayrıca, düzeltme çabaları için gerekli zaman çerçevesinin aşıldığı durumlarda düzeltme planları için özel bir raporlama arayüzüne ve standartlaştırılmış şablonlara erişebilecek.
Bundan sonraki altı ay içinde ve yıllık olarak CISA, FCEB BOD 23-02 uyum durumu hakkında bir rapor hazırlayacak ve hem Yönetim ve Bütçe Ofisi (OMB) Direktörüne hem de İç Güvenlik Bakanlığı (DHS) Sekreterine sunacaktır.
Ayrıca, iki yıl içinde CISA, yönergeyi siber güvenlik ortamındaki değişikliklere uyacak şekilde güncelleyecek ve kurumların kullandıkları ağ bağlantılı yönetim arayüzlerini etkili bir şekilde tanımlamasına, izlemesine ve raporlamasına yardımcı olmak için sağlanan uygulama kılavuzunu revize edecek.
Mart ayında CISA ayrıca, yeni bir Fidye Yazılımı Güvenlik Açığı Uyarı Pilotu (RVWP) programının bir parçası olarak kritik altyapı kuruluşlarını ağlarındaki fidye yazılımına karşı savunmasız cihazlar konusunda uyararak fidye yazılımı saldırılarını engellemelerine yardımcı olacağını duyurdu.