CISA

米国サイバーセキュリティ・インフラストラクチャ・セキュリティ局(CISA)は、連邦政府機関に対し、メーカーからのセキュリティ・アップデートを受けなくなったネットワーク・エッジ・デバイスを特定し、削除するよう求める拘束力のある新たな運用指令を発表した。

また、寿命の尽きたエッジ・デバイス(ルーター、ファイアウォール、ネットワーク・スイッチなど)は、新たに発見されたエクスプロイトに対して連邦政府のシステムを脆弱にし、”不釣り合いで容認できないリスク “にさらすと警告した。

「EOSエッジ・デバイスが稼働している機関の情報システムに対する悪用の差し迫った脅威は、実質的かつ恒常的であり、その結果、連邦政府の財産に対する重大な脅威となっている。CISAは、EOSエッジデバイスを標的とする高度な脅威行為者による悪用キャンペーンが広がっていることを認識している

Wiz

「これらのデバイスは、新たに発見されたパッチ未適用の脆弱性を狙ったサイバー攻撃に対して特に脆弱である。さらに、これらのデバイスは、製造元からサポートされたアップデートを受けられなくなり、連邦政府のシステムを不釣り合いかつ容認できないリスクにさらしている。

拘束力のある運用指令26-02(BOD 26-02)は、高度な脅威行為者による悪用を防ぐため、米国政府機関に対して、連邦政府ネットワーク上のサポート終了(EOS)ハードウェアおよびソフトウェアの廃止を義務付けている。

この指令は、アップデートが利用可能なサポート終了ソフトウェアを実行しているベンダーのサポート対象デバイスに対する即時対応と、CISAのサポート終了リストに掲載されているすべてのデバイスの3ヶ月以内のインベントリを要求している。

連邦政府機関はまた、指令の発行日前にサポート終了に達した機器を廃止するための12ヶ月の猶予がある。18カ月以内に、特定されたすべてのサポート終了エッジ・デバイスを、最新のセキュリティ・アップデートを受けたベンダー・サポート付き機器と交換しなければならない。

BOD 26-02はまた、エッジ・デバイスを特定するための継続的な発見プロセスを24カ月以内に確立し、サポート終了に近づいている機器とソフトウェアのインベントリを維持することも求めている。

これらの要件は、米国連邦政府民間行政機関(FCEB)にのみ適用されますが、CISAは、すべてのネットワーク防御者が、進行中の攻撃でネットワーク・エッジ・デバイスを標的とする脅威グループからシステム、データ、および運用を保護するために、このファクト・シートのガイダンスに従うことを推奨します。

3年前の2023年6月、CISAは拘束的運用指令23-02も発行し、連邦政府民間機関に対し、誤った設定やインターネットに露出した管理インターフェース(ルーター、ファイアウォール、プロキシ、ロードバランサーなど)の安全確保を義務付けた。

その数カ月前には、新しいランサムウェア脆弱性警告パイロット(RVWP)プログラムの一環として、重要インフラ組織にランサムウェア攻撃に脆弱なネットワーク・デバイスがある場合に警告を発すると発表した。

.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}

.ia_button {
width: 100%;
margin: 0px auto;
}
}


tines

ITインフラの未来はここにある

現代のITインフラは、手作業のワークフローでは対応できないほど高速に動いています。

この新しいTinesガイドでは、チームが隠れた手作業の遅延を削減し、自動応答によって信頼性を向上させ、すでに使用しているツールの上にインテリジェントなワークフローを構築して拡張する方法をご紹介します。