强化网络边缘：五眼机构为企业提供保护关键设备的建议

五眼联盟的机构表示，随着边缘设备攻击的增加，攻击者进一步入侵企业网络，现在是每个人加强安全游戏的时候了

五个国家的国家情报部门在一系列文件中为企业提供了打击间谍活动的建议，旨在帮助企业保护防火墙、路由器、VPN（虚拟专用网络）网关、物联网（IoT）设备、面向互联网的服务器和面向互联网的 OT（运营技术）系统等网络边缘设备和设备免受网络攻击。

五眼联盟汇集了澳大利亚、加拿大、新西兰、英国和美国的情报机构。各个机构都从不同的角度应对保护网络边缘的挑战，并于周二发布了报告。

美国网络安全和基础设施安全局（CISA）在指南简介中表示：“外国对手经常利用网络边缘设备中的软件漏洞渗透关键基础设施网络和系统。这种损害可能代价高昂、耗时，并且对公共和私营部门组织的声誉造成灾难性影响。” “这些指导文件详细介绍了在妥协之前和之后建立更安全、更有弹性的网络的各种考虑因素和策略。”

这些新文件是美国指南的补充，帮助制造商构建设计安全的设备。加拿大网络安全中心 (CCCS) 是边缘设备安全注意事项方面的领导者，该中心不仅提供了企业 IT 待办事项的详细列表，还链接到针对远程工作人员和自带设备 (BYOD) 模型的组织的安全性具体指南，以及针对边缘设备制造商的指南。

已解决的问题

在对网络管理接口 (NMI) 安全性较差的产品制造商进行不那么微妙的攻击时，它还指出，“供应商可以强化其产品，以便通过暴露在互联网上的 NMI 保持安全。这是一个已解决的问题，客户应该要求供应商强化其设备以保护 NMI。”

由英国国家网络安全中心 (NCSC-UK) 主导的网络设备和应用程序产品数字取证监控规范重点关注取证可见性的最低要求。它详细说明了应记录的内容、应如何存储和保护日志以及发生事件时取证数据采集的要求。

它表示：“通过遵循本指南中概述的最低水平的可观察性和数字取证基线，设备制造商及其客户将能够更好地检测和识别针对其解决方案的恶意活动。” “设备制造商还应该使用它来建立标准功能的基线，以纳入网络设备和设备的架构中，以方便网络防御者进行取证分析。”

澳大利亚在两份文件上处于领先地位：边缘设备的缓解策略：执行指南和边缘设备的缓解策略：从业者指南。这些指南由澳大利亚信号局的澳大利亚网络安全中心（ASD 的 ACSC）牵头，提供了有关有效保护、强化和管理边缘设备的缓解策略和最佳实践的摘要，以及运营、采购和网络安全人员实施的七种缓解策略的技术细节，以降低边缘设备的风险。

该从业者指南称：“澳大利亚信号局 (ASD) 的澳大利亚网络安全中心 (ACSC) 注意到，涉及边缘设备泄露的事件数量不断增加，令人担忧。” “边缘设备暴露在互联网上，通常难以监控，并且能够访问网络上的其他资产，从而为恶意行为者提供了有吸引力的入口点和目标。”

由 CISA 主导的最终文件是 2023 年针对制造商的安全设计原则指南的更新，其中包含实施资源的链接。

介绍性网页称：“采用安全设计原则设计的产品将客户的安全性作为核心业务需求优先考虑，而不仅仅是将其视为技术功能。” “在产品开发生命周期的设计阶段，公司应实施“设计安全”原则，以显着减少可利用缺陷的数量，然后再将其推向市场广泛使用或消费。开箱即用的产品应具有额外的安全功能，例如多因素身份验证 (MFA)、日志记录和单点登录 (SSO)，无需额外付费。

如果设备制造商遵守的话，这是一件大事

针对制造商的指导尤其让 IDC 安全与信任集团副总裁弗兰克·迪克森 (Frank Dickson) 感到兴奋。 “这是一件超级大事，”他说。 “这确实是巨大的，特别是如果设备制造商屈服并遵守这些要求的话。”

“这些设备对于任务至关重要，”他补充道。 “其中一些设备在[流经它们的]数据量方面存在大量漏洞。”尽管如此，他指出，许多产品无法了解内部情况，因此客户无法评估制造商在更新固件和积极主动方面是否做得很好。

Gartner 杰出副总裁分析师 Katell Thielemann 也对这一指导感到满意，但指出这只是一个开始。

“这些建议是积极的，因为它们表明五眼联盟正在合作提出最佳实践，”她说。他们继续“提醒社区，任何连接互联网的东西默认都是暴露的，并且是潜在的目标。”

OT 不是 IT

然而，她认为将互联网连接的防火墙、路由器、物联网设备和 OT 系统集中在一份公告中对社区没有帮助，而且“也不称它们为‘边缘设备’，因为它假设企业 IT 是宇宙的中心，而‘边缘’就在那里。”

“对于防火墙、路由器和 VPN 网关来说可能是这样，但对于 OT 系统则不然，”她继续说道。 “这些 OT 系统是网络物理系统 (CPS)，支持价值创造生产和关键任务环境。它们不是边缘；它们是运营的核心。”

她指出，许多系统都连接到互联网以支持远程操作和维护，因此“目标应该是就如何安全地远程访问这些系统提供建议，并且建议的基调应该针对 IT 安全工具和流程并不总是一个好主意的生产现实。”

迪克森也认为该指南是一个很好的第一步，但他补充说，“如果我们允许数字取证的日志记录和可见性，那么如果出现问题，我们实际上能够在该设备上进行修复，某种拦截，那就太好了。”

“一段时间以来，这一直是一个大问题，”他说。 “事实上，多个五眼国家采取了大规模、协调一致的行动，这一事实极其重要。它强有力、响亮、适当，都是好事。坦率地说，他们宣布这一点给我留下了深刻的印象，我只是说，‘感谢上帝，我们终于解决了这个问题。’

“我们需要做的就是让几个真正的大型组织实施[指南]作为未来购买某些边缘设备的要求，[问题]就会得到解决。”

订阅我们的时事通讯

从我们的编辑直接发送到您的收件箱

请在下面输入您的电子邮件地址开始使用。