CISA ordena que agências federais protejam dispositivos de rede expostos à Internet
14 de Junho de 2023

A CISA emitiu a primeira diretiva operacional vinculativa (BOD) deste ano, ordenando que as agências civis federais assegurem equipamentos de rede mal configurados ou expostos à internet dentro de 14 dias após a descoberta.

A Diretiva Operacional Vinculativa 23-02 da agência de segurança cibernética se aplica a dispositivos em rede com interfaces de gerenciamento expostas à internet (por exemplo, roteadores, firewalls, proxies e balanceadores de carga) que concedem aos usuários autorizados o acesso necessário para realizar tarefas administrativas de rede.

"A Diretiva exige que as agências executivas civis federais (FCEB) tomem medidas para reduzir sua superfície de ataque criada por interfaces de gerenciamento inseguras ou mal configuradas em certas classes de dispositivos", disse a CISA.

"As agências devem estar preparadas para remover interfaces de gerenciamento em rede identificadas da exposição à internet ou protegê-las com capacidades de confiança zero que implementam um ponto de execução de política separado da própria interface", acrescentou a agência.

Conforme descrito na BOD 23-02, as agências federais têm 14 dias, a contar da notificação da CISA ou da descoberta independente de uma interface de gerenciamento em rede abrangida pela diretiva, para tomar uma das seguintes medidas: corrigir a vulnerabilidade, remover a interface de gerenciamento em rede da exposição à internet ou protegê-la.

A CISA diz que conduzirá varreduras para identificar dispositivos e interfaces abrangidos pela diretiva e notificará as agências sobre suas descobertas.

Para facilitar o processo de correção, a CISA fornecerá às agências federais experiência técnica quando necessário ou solicitado para revisar o status de dispositivos específicos e fornecer orientação sobre como proteger esses dispositivos.

As agências FCEB também terão acesso a uma interface de relatórios dedicada e modelos padronizados para planos de correção em casos em que o prazo exigido para os esforços de correção for excedido.

Dentro de seis meses e anualmente depois disso, a CISA irá compilar e enviar um relatório sobre o status de conformidade da FCEB BOD 23-02 tanto para o Diretor do Escritório de Orçamento e Administração quanto para o Secretário do Departamento de Segurança Interna.

Além disso, dentro de dois anos, a CISA atualizará a diretiva para acomodar as mudanças no cenário de segurança cibernética e revisará a orientação de implementação fornecida para ajudar as agências a identificar, monitorar e relatar efetivamente as interfaces de gerenciamento em rede que empregam.

Em março, a CISA também anunciou que alertaria organizações de infraestrutura crítica sobre dispositivos vulneráveis ​​a ransomware em sua rede para ajudá-las a bloquear ataques de ransomware como parte de um novo programa piloto de Aviso de Vulnerabilidade de Ransomware (RVWP).

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...