CISA и ФБР выпускают руководство по обеспечению безопасности инфраструктуры связи
5 декабря 2024 г.3 декабря Федеральное бюро расследований, Агентство по кибербезопасности и безопасности инфраструктуры и международные партнеры выпустили руководство по укреплению систем против вторжений субъектов угроз, нацеленных на телекоммуникации. Руководство было подготовлено на основе недавних нарушений, связанных с китайским правительством.
Рекомендации появились спустя несколько недель после того, как ФБР и CISA выявили, что связанные с Китаем субъекты угроз «скомпрометировали сети нескольких телекоммуникационных компаний». Первоначально предполагалось, что нарушения были направлены против конкретных лиц, занимающих государственные или политические должности. Однако 3 декабря ФБР пояснило, что эти лица, возможно, не были предполагаемыми целями, а были «захвачены» в ходе операции. T-Mobile предположительно была одной из пострадавших компаний.
«Угрозы, связанные с Китайской Народной Республикой (КНР), нацелены на коммерческих поставщиков телекоммуникационных услуг, чтобы скомпрометировать конфиденциальные данные и заняться кибершпионажем», — заявил в пресс-релизе помощник директора киберотдела ФБР Брайан Ворндран. «Вместе с нашими межведомственными партнерами ФБР выпустило руководство по повышению видимости защитников сетей и защите устройств от эксплуатации КНР».
СМОТРЕТЬ: Прямой эфир: AWS re:Invent предлагает новую инфраструктуру ИИ, базовые модели и многое другое.
Руководство содержит рекомендации по улучшению видимости и усилению безопасности.
В руководстве основное внимание уделяется повышению прозрачности, определяемой как «способность организаций отслеживать, обнаруживать и понимать активность в своих сетях», а также повышению безопасности систем и устройств.
Усиление мониторинга включает в себя:
- Внедрение комплексных механизмов оповещения для обнаружения несанкционированных изменений в ваших сетях.
Использование надежного решения для мониторинга сетевого потока.
Ограничение воздействия трафика управления на Интернет, если это возможно, включая ограничение управления выделенными административными рабочими станциями.
«Усиление защиты систем и устройств» охватывает многие аспекты защиты устройств и сетевой архитектуры. Этот раздел рекомендаций разделен на два подраздела: протоколы и процессы управления и сетевая защита. Эти рекомендации включают:
- Использование сети управления по внешнему каналу, физически отделенной от сети потока рабочих данных.
Использование строгой стратегии ACL с запретом по умолчанию для управления входящим и исходящим трафиком.
Управление устройствами из доверенной сети, а не из Интернета.
Отправка всех журналов аутентификации, авторизации и учета (AAA) на централизованный сервер журналов с современными средствами защиты.
Отключение маршрутизации источника IP.
Хранение паролей с помощью безопасных алгоритмов хеширования.
Требование многофакторной аутентификации.
Ограничение продолжительности токенов сеанса и требование повторной аутентификации пользователей по истечении сеанса.
Использование управления доступом на основе ролей.
ФБР и CISA рекомендуют отключить множество настроек Cisco по умолчанию
В отчете также приводятся рекомендации по использованию устройств и функций, специфичных для Cisco. В нем говорится, что операционные системы Cisco «часто становятся целью и связаны с деятельностью этих субъектов киберугроз из КНР».
Для тех, кто использует продукцию Cisco, у ФБР и CISA есть подробный список рекомендаций по отключению служб и безопасному хранению паролей. А именно, специалисты по ИТ и безопасности в уязвимых организациях должны отключить службу Cisco Smart Install, доступ к Guest Shell, все незашифрованные возможности веб-управления и telnet.
При использовании паролей на устройствах Cisco пользователи должны:
- По возможности используйте пароли Type-8.
Избегайте использования устаревших типов хеширования или паролей при хранении паролей, таких как Type-5 или Type-7.
По возможности защитите ключ TACACS+ как зашифрованный пароль Type-6.
Руководство соответствует принципам «Проектируемая безопасность».
«Киберактивность, связанная с PRC, представляет серьезную угрозу для критической инфраструктуры, государственных учреждений и предприятий», — сказал исполнительный помощник директора CISA по кибербезопасности Джефф Грин. «Это руководство поможет телекоммуникационным и другим организациям обнаруживать и предотвращать компрометации со стороны PRC и других киберакторах».
Полный список рекомендаций можно найти в руководстве.
Оригинал