Az Egyesült Államok Kiberbiztonsági és Infrastruktúra-biztonsági Ügynöksége (CISA) új, kötelező érvényű irányelve (BOD 26-02) előírja a szövetségi ügynökségek számára, hogy távolítsák el azokat a hálózati peremeszközeiket, amelyek már nem kapnak gyári frissítéseket.

A CISA figyelmeztetése szerint azok a berendezések (routerek, tűzfalak, switch-ek), amelyek élettartamuk vége felé közelednek (EOS – end-of-support) „aránytalan és elfogadhatatlan kockázatnak” teszik ki a szövetségi rendszereket azáltal, hogy sérülékenyek az újonnan felfedezett sebezhetőségekkel szemben. Ezek az eszközök ugyanis széleskörben végrehajtott kihasználási kampányok célpontjai, közölte az Ügynökség előző hét csütörtökön.

Az irányelv azonnali intézkedést ír elő azon eszközök esetén, amelyeknél a gyártók még biztosítanak biztonsági frissítéseket, illetve három hónap áll rendelkezésre leltárt készíteni az összes EOS eszközről. A szövetségi ügynökségeknek 12 hónapjuk van eltávolítani azokat az eszközöket, amelyek támogatása még az irányelv kiadása előtt megszűnt és 18 hónap áll rendelkezésükre lecserélni ezen eszközöket gyári támogatású berendezésekre. Ezen felül a BOD 26-02 azt is előírja számukra, hogy hozzanak létre egy 24 hónapon át tartó folyamatos felderítési folyamatot a peremhálózati eszközök azonosítására és az EOS eszközök és szoftverek leltárjának naprakészen tartására.

Bár a direktíva követelményei kizárólag az Egyesült Államok szövetségi polgári végrehajtó hatalmi ágának (FCEB) ügynökségeire vonatkoznak, a CISA arra ösztönzi a világ összes többi hálózati védelmet nyújtó szervezetét, hogy kövessék a tájékoztatóban található útmutatót a fenyegetésekkel szembeni védelem erősítése érdekében.

(forrás, forrás)