Решение США внести потребительские маршрутизаторы иностранного производства в Перечень контролируемых устройств (Covered List) Федеральной комиссии по связи (FCC) вызвало предсказуемые дебаты о цепочках поставок, геополитике и доверии. Это обоснованные опасения. Но если быть честными в отношении того, где на самом деле находится риск сегодня, правда в том, что запрет в большей степени касается решений о закупках завтрашнего дня, чем сегодняшней угрозы безопасности. Это важно, поскольку злоумышленники не ждут циклов закупок. Маршрутизаторы незаметно стали одной из самых привлекательных точек опоры как в корпоративных, так и в домашних сетях. Они расположены на периферии, часто доступны из интернета и после развертывания часто игнорируются. В наших собственных исследованиях маршрутизаторы стабильно входят в число наиболее рискованных устройств, обладая высокой плотностью уязвимостей и растущей ролью в реальной эксплуатации. В то время как решение FCC фокусируется на месте производства устройства, проблема, с которой организациям необходимо бороться, заключается в том, как эти устройства создаются, управляются и обслуживаются. «Сделано в» не равно «безопасно» — даже близко нет. Многие из наблюдаемых нами слабых мест проистекают из знакомых, измеримых проблем, таких как устаревшие программные компоненты, медленные циклы установки исправлений, слабые учетные данные, открытые интерфейсы управления и длительный срок службы, который выходит далеко за рамки поддержки поставщика. При анализе прошивок мы регулярно обнаруживаем общие компоненты, которые отстают от текущих версий на годы, неся известные уязвимости, которые злоумышленники могут и используют. И что крайне важно, ничего из этого не изменится от того, что новое устройство запрещено к импорту. Более крупным упущением в этом разговоре является установленная база. Миллионы маршрутизаторов уже находятся в домах, филиалах и средах удаленных сотрудников. Они останутся там на годы. Их редко обновляют или контролируют, а гибридная работа сделала их частью корпоративной поверхности атаки нравится это организациям или нет. Взломанный домашний маршрутизатор может быть использован для перехвата трафика, сбора учетных данных или в качестве точки перехода в корпоративные системы. Таким образом, хотя запрет может в узком смысле снизить будущую подверженность риску, он ничего не делает для устранения риска, который организации уже несут сегодня, и который неизбежно распространится на будущее. Существует также риск того, что обсуждение политики приведет к ложному чувству прогресса. Фокусировка на происхождении поставщика может создать впечатление, что риск снижается на структурном уровне, тогда как на самом деле основные проблемы остаются неизменными. Безопасность — это не то, что импортируют. Это то, что постоянно проверяется. Сетевая инфраструктура должна рассматриваться как часть активной поверхности атаки, а не как фоновая сантехника. Это означает ведение точного учета маршрутизаторов в корпоративных и удаленных средах, включая версии прошивок и подверженность угрозам. Управление жизненным циклом также должно быть приоритетным, а это означает замену устройств с истекшим сроком службы, принудительное обновление прошивок и требование прозрачности от поставщиков в отношении программных компонентов, а также графика выпуска исправлений. Чтобы устранить легкие победы для злоумышленников, следует отключать интерфейсы управления, доступные из интернета, применять уникальные учетные данные и сегментацию, чтобы один скомпрометированный маршрутизатор не приводил автоматически к более широкому доступу. Наконец, следует признать, что решение FCC поднимает важные вопросы о доверии и устойчивости в цепочках поставок технологий, но если оно заставит организации поверить, что проблема решена, оно рискует стать отвлекающим фактором. Настоящая работа менее заметна, менее политизирована и гораздо более операционна. Она заключается в устранении условий, которые делают маршрутизаторы такой легкой и постоянной мишенью в первую очередь. И эта работа давно назрела.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Rik Ferguson
