İngiltere, Avustralya, Kanada, Yeni Zelanda ve ABD’deki beş göz siber güvenlik ajansı, savunucuların saldırıları tespit etmesine ve ihlalleri araştırmasına yardımcı olmak için adli görünürlüğü artırmak için ağ kenar cihazları ve aletleri yapımcılarını teşvik eden rehberlik yayınladı.
Güvenlik duvarları, yönlendiriciler, sanal özel ağlar (VPN) ağ geçitleri, internete dönük sunucular ve operasyonel teknoloji (OT) sistemleri ve Nesnelerin İnterneti (IoT) cihazları dahil olmak üzere bu tür cihazlar hem devlet destekli hem de finansal olarak motive edilen saldırganlar tarafından büyük ölçüde hedeflenmiştir. .
Kenar cihazları genellikle hedeflenir ve tehlikeye girer, çünkü uç nokta algılama ve yanıt (EDR) çözümlerini desteklemezler, bu da tehdit aktörlerinin hedeflerin dahili işletme ağlarına ilk erişim elde etmelerini sağlar.
Birçok durumda, bu tür cihazlarda düzenli ürün yazılımı yükseltmeleri ve güçlü kimlik doğrulaması yoktur, varsayılan olarak güvenlik açıkları ve güvensiz yapılandırmalar ile birlikte gelir ve sınırlı bir günlüğü sağlar, güvenlik ekiplerinin ihlalleri tespit etme yeteneğini ciddi şekilde azaltır.
Dahası, ağın kenarında konumlandırılmış ve neredeyse tüm kurumsal trafiği ele alarak, teminatsız bırakılırsa, trafiği izlemeyi ve ağa daha fazla erişim için kimlik bilgilerini toplamayı kolaylaştıran hedefler olarak dikkat çekerler.
Cisa, “Yabancı düşmanlar, kritik altyapı ağlarına ve sistemlerine sızmak için ağ kenar cihazlarındaki yazılım güvenlik açıklarından rutin olarak yararlanıyor. Hasar, kamu ve özel sektör kuruluşları için pahalı, zaman alıcı ve tetikte bir katastrofik olabilir.” Dedi.
İngiltere Ulusal Siber Güvenlik Merkezi (NCSC), “Cihaz üreticileri, varsayılan olarak sağlam ve güvenli olan standart günlüğü ve adli özellikleri dahil etmeye ve etkinleştirmeye teşvik ediliyor, böylece ağ savunucuları kötü niyetli etkinlikleri daha kolay tespit edebilir ve bir saldırıdan sonra araştırabilir.”
Siber güvenlik ajansları ayrıca ağ savunucularına kuruluşları için fiziksel ve sanal ağ cihazlarını seçmeden önce adli görünürlük için önerilen bu asgari gereksinimleri dikkate almalarını tavsiye etti.
Son birkaç yılda, saldırganlar Fortinet, Palo Alto, Ivanti, Sonicwall, TP-Link ve Cisco gibi çeşitli üreticilerin kenar ağ cihazlarını hedeflemeyi tuttu.
Tehdit oyuncusu etkinliğine yanıt olarak CISA, Temmuz 2024’te satıcılardan biri, Çin devlet destekli kadife karınca tehdidi grubunun Cisco, Palo’ya hacklemesi için yolcuları ortadan kaldırmasını isteyen birden fazla “tasarımla güvenli” uyarılar yayınladı. Alto ve Ivanti Network Edge Cihazları.
ABD Siber Güvenlik Ajansı ayrıca, küçük ofis/ev ofis (SOHO) yönlendiricilerinin üreticilerini, Volt Typhoon saldırılarına ve teknoloji satıcılarına karşı cihazlarını varsayılan şifrelerle nakliye yazılımını ve cihazları durdurmaya çağırdı.