战略与政策

美网络安全与基础设施安全局要求加强网络设备安全管理

日期:2023-07-21

|  来源:【字号:

2023年6月13日,美国网络安全与基础设施安全局(CISA)发布了2023年首项约束性操作指令(BOD)23-02,要求联邦民事部门发现问题后14天内,采取措施确保配置错误或暴露在互联网上的网络设备的安全性。

该指令适用于管理界面暴露在互联网上的网络设备(如路由器、防火墙、代理服务器和负载均衡器)。这些网络设备的用户可获得进行网络管理所需的访问权限。

CISA表示,该指令要求联邦民事行政部门采取措施,减少某些类别设备上不安全或配置错误的管理界面造成的攻击。各部门必须准备将已识别的网络管理界面从互联网中移除,或者通过实施零信任技术保护它们。

BOD 23-02规定,联邦机构在收到CISA通知或独自发现该指令规定范围内的网络管理界面后,需在14天内采取以下行动之一:①仅允许通过内部网络访问网络设备接口。CISA建议对网络进行隔离管理;②实施零信任措施,通过一个与界面本身分离的策略执行点实施访问控制。

CISA将进行大范围扫描,识别符合指令范围内的设备和管理后台,并将识别结果通报联邦机构。为促进整改,CISA将视需要或应请求向联邦机构提供专业技术知识,帮助审查特定设备的状态,并提供设备安全方面的指导。如果整改工作无法在规定时段内完成,联邦民事行政部门可以通过专用报告接口,使用标准模板提供整改计划。

CISA将在未来六个月内编制一份联邦民事行政部门BOD 23-02合规情况报告,提交给美国管理和预算办公室(OMB)主任和国土安全部(DHS)部长。之后,CISA将按年度编制并提交该报告。

此外,CISA还将在两年内更新该指令,以适应网络安全形势的变化,并修改所提供的实施指南,帮助各机构有效识别、监控和报告他们使用的网络管理界面。

信息来源:

https://www.cisa.gov/news-events/news/cisa-directs-federal-agencies-secure-internet-exposed-management-interfaces

https://www.bleepingcomputer.com/news/security/cisa-orders-federal-agencies-to-secure-internet-exposed-network-devices/

https://www.secrss.com/articles/55638


附件: