Standartlar, Düzenlemeler ve Uyumluluk
Düzenleyici Kurum, BGP Ele Geçirmeyi Hedefleyen Kural Oluşturma Teklifine İlişkin Bildirimi Onayladı
Chris Riotta (@chrisriotta) •
10 Haziran 2024
ABD Federal İletişim Komisyonu, Sınır Geçidi Protokolündeki büyük güvenlik açıklarını hedef alırken önde gelen internet sağlayıcılarına yönelik güvenlik talimatlarını uygulamaya devam ediyor.
Ayrıca bakınız: Asya Pasifik Web Semineri | Şirketlere NIS2 Uyumluluğunu Nasıl Sağlayacaklarını Göstermek
Düzenleyici kurum, Cuma günü, ABD’nin en büyük dokuz geniş bant sağlayıcısının gizli BGP güvenlik riski yönetimi planları oluşturmasını gerektiren kural koyma teklifini oybirliğiyle onayladı. Komisyon, BGP’nin ilk tasarımının “günümüzde yaygın olarak kullanılmaya devam ettiğini” ancak web üzerinden binlerce karmaşık, bağımsız olarak yönetilen sistem üzerinden gönderilen yönlendirme bilgilerine güven sağlamaya yardımcı olan kritik güvenlik özelliklerinden yoksun olduğunu belirtti.
Gizli güvenlik planları, otonom sistemler arasında internet yönlendirmesine genel anahtar ve sertifika altyapısı avukatı ekleyen Kaynak Ortak Anahtar Altyapısı aracılığıyla rota kaynağı yetkilendirmelerinin oluşturulması ve sürdürülmesine yönelik özel çabalar içermelidir. Uzmanlar yakın zamanda bilgisayar korsanlarının kritik hizmetleri kesintiye uğratmak için BGP açıklarını hedef aldığı konusunda uyardı.
FCC, Ukraynalı yetkililerin Rus birliklerinin ülkeyi işgal etmesinden 24 saatten daha kısa bir süre önce Rusya bağlantılı olduğu iddia edilen bir BGP’nin kaçırıldığını gözlemlemesinin ardından 2022’de BGP güvenliğine ilişkin bir soruşturma başlattı (bkz.: Düzenleyici Sınır Ağ Geçidi Protokolü Güvenlik İncelemesini Duyurdu). BGP, internet trafiğinin yönlendirilmesini kolaylaştıran ve veri paketlerinin doğru hedeflere gönderilmesini sağlayan önemli bir bileşendir, ancak küresel siber güvenlik göz önünde bulundurularak oluşturulmamıştır.
Önerilen güvenlik planlarının aynı zamanda RPKI uygulamasına yönelik hedefleri ve zaman çizelgelerini sağlaması da gerekecek ve yeni kurallara göre yıllık olarak güncellenip yeniden sunulmalıdır.
Güvenlik firmasının kamu politikasından sorumlu başkan yardımcısı Alissa Starzak, gizli planlara ilişkin ek ayrıntılar önerilen kurallar kapsamında bilinmemeye devam edecek, ancak “RPKI dağıtımına ilişkin bilgiler de dahil olmak üzere bir İSS’nin yönlendirme güvenliğinin durumu büyük ölçüde kamuya açık bilgilerdir” dedi. Bulut parlaması.
Starzak, Information Security Media Group’a önde gelen geniş bant sağlayıcılarının BGP güvenliğini nasıl uygulayabilecekleri hakkında şunları söyledi: “Şirketlerin gerçekleştirdiği eylemler kamuya açık olduğundan, makul düzeyde bir kamu şeffaflığı ve hesap verebilirliği vardır.”
Önerilen kural koyma, BGP’nin ele geçirilmesinin gerçek hayattaki örneklerinin, Facebook gibi sitelerin internetten etkili bir şekilde kaybolmasıyla nasıl sonuçlandığını detaylandırıyor ve “BGP’nin güvenliğinin yalnızca kamu güvenliği için değil, aynı zamanda ulusal güvenlik için de kritik olduğunu” ekliyor.
FCC ayrıca, daha küçük sağlayıcıların BGP planlarını hazırlayıp sürdürmelerini ve planlarını yıllık olarak komisyona sunmak yerine “bu tür planları komisyon talebinden sonraki 48 saat içinde sunmalarını” öneriyor. Önerilen kural koyma, daha küçük hizmet sağlayıcıların “internet yönlendirmesini güvence altına almak için daha büyük 1. Kademe sağlayıcılara göre nispeten daha az şirket içi kaynağa sahip olabileceğine” dikkat çekiyor.