CISA命令移除不受支持的边缘设备以降低联邦网络风险

美国网络安全与基础设施安全局（CISA）已下令联邦民用行政部门（FCEB）加强对边缘网络设备的资产生命周期管理，并在未来12至18个月内移除那些不再从原始设备制造商（OEM）获得安全更新的设备。

该机构表示，此举旨在降低技术债务并将被国家支持的威胁行为者利用这些设备作为突破目标网络的首选入口的风险降至最低。

“边缘设备”是一个统称，涵盖负载均衡器、防火墙、路由器、交换机、无线接入点、网络安全设备、物联网（IoT）边缘设备、软件定义网络以及其他在网络流量路由和拥有特权访问的物理或虚拟网络组件。

CISA称：“持续的网络威胁行为者正日益利用不受支持的边缘设备——这些硬件和软件已不再收到厂商的固件或其他安全补丁更新。位于网络边界的这些设备尤其容易被持续的网络威胁行为者利用新漏洞或已知漏洞进行攻击。”

为帮助FCEB机构，CISA已制定了一份终止支持的边缘设备清单，作为初步库，提供已达到或预计将失去支持的设备信息。清单将包括产品名称、版本号和终止支持日期。

新发布的《绑定操作指令 26-02：降低终止支持边缘设备风险》要求FCEB机构采取以下行动——

• 立即将运行已终止支持软件的每台厂商支持的边缘设备更新至厂商支持的软件版本（立即生效）
• 在三个月内对所有设备进行目录编制，以识别终止支持的设备并向CISA报告（三个月内）
• 在12个月内退役所有在边缘设备清单中列出的终止支持的边缘设备，并用能够接收安全更新的厂商支持设备替换（12个月内）
• 在18个月内退役所有其他已识别的边缘设备，并用能够接收安全更新的厂商支持设备替换（18个月内）
• 在24个月内建立生命周期管理流程，以实现对所有边缘设备的持续发现并维护其终止支持状态的清单（24个月内）

CISA代理局长Madhu Gottumukkala表示：“不受支持的设备对联邦系统构成严重风险，绝不应留在企业网络中。通过主动管理资产生命周期并移除终止支持的技术，我们可以共同提升韧性，保护全球数字生态系统。”