Este audio se genera automáticamente. Por favor háganos saber si tiene comentario.
La Agencia de Seguridad de Infraestructura y Ciberseguridad está dando a las agencias federales un año para dejar de usar dispositivos de borde que ya no reciben actualizaciones de seguridad de los proveedores.
La «amenaza inminente» para las agencias que representan los dispositivos de borde de fin de soporte (EOS), incluidos firewalls, enrutadores, dispositivos de seguridad de red y dispositivos de Internet de las cosas, «es sustancial y constante», dijo CISA en una directiva operativa vinculante que emitió el jueves.
CISA dijo que estaba «consciente de las campañas de explotación generalizadas por parte de actores de amenazas avanzadas dirigidas a dispositivos de borde EOS», que son puntos de entrada atractivos para los piratas informáticos «debido a su amplio alcance en la red de una organización y sus integraciones con sistemas de gestión de identidades».
El nuevo BOD requiere que las agencias actualicen inmediatamente cualquier dispositivo de borde que ejecute software obsoleto a una versión que aún reciba soporte del proveedor, siempre que hacerlo «no afecte negativamente a la funcionalidad de misión crítica». En un plazo de tres meses, las agencias deben informar a CISA qué dispositivos de la nueva Lista de dispositivos EOS Edge de la agencia están utilizando en sus redes.
Luego, las agencias tendrán 12 meses para desmantelar todos los dispositivos enumerados con fechas EOS en esa fecha límite o antes, informando a CISA mientras lo hacen. La directiva también otorga a las agencias 12 meses para inventariar todos los dispositivos de borde, ya sea que aparezcan o no en la lista de CISA, que perderán soporte durante el próximo año y proporcionar ese inventario a CISA.
En un plazo de 18 meses, las agencias deben eliminar todos los dispositivos EOS restantes y en un plazo de 24 meses, las agencias deben desarrollar procesos para rastrear dispositivos que no son, o pronto serán, no compatibles. Se les pedirá que dejen de usar esos dispositivos antes de su fecha EOS.
Si bien la directiva es vinculante sólo para las agencias federales, CISA espera que los gobiernos locales, las empresas y los aliados extranjeros también presten atención a su advertencia de desconectar los dispositivos de red no compatibles. La agencia está publicando una hoja informativa, desarrollada en colaboración con el FBI y el Centro Nacional de Seguridad Cibernética del Reino Unido, que ofrece consejos para proteger los dispositivos periféricos.
La directiva llega después de años de ciberataques a Estados-nación que comenzó con compromisos de dispositivos de borde y se convirtió en operaciones altamente disruptivas.
«Los dispositivos no compatibles nunca deben permanecer en las redes empresariales», dijo a los periodistas Nick Andersen, subdirector ejecutivo de ciberseguridad de CISA, durante una sesión informativa el jueves.
El enigma del cumplimiento
A pesar de su autoridad para instruir a las agencias para que completen ciertas tareas de ciberseguridad, CISA tiene una capacidad limitada para garantizar el cumplimiento de sus directivas por parte de las agencias. Andersen dijo que CISA trabajará con la Oficina de Gestión y Presupuesto de la Casa Blanca para «monitorear el cumplimiento, evaluar el progreso y brindar apoyo» a las agencias a medida que implementan la BOD. Pero no identificó ningún mecanismo para obligar a las agencias a cumplir los plazos.
“No se trata necesariamente de '¿puede CISA agitar un gran garrote y obligar a una agencia a hacer algo?'”, dijo Andersen.
Una de las tareas de CISA, añadió, es asesorar a las agencias sobre las ventajas y desventajas de seguir utilizando tecnología insegura para «brindar servicios ciudadanos esenciales».
Fuente