Агенциите за киберсигурност на Петте очи ( Обединеното кралство, Австралия, Канада, Нова Зеландия и САЩ) издадоха насоки, с които призовават производителите на крайни мрежови устройства и уреди да подобрят криминалистичната видимост , за да помогнат на защитниците да откриват атаки и да разследват нарушения.
Такива устройства, включително защитни стени, маршрутизатори, шлюзове за виртуални частни мрежи (VPN), сървъри и системи за оперативни технологии (OT), насочени към интернет, и устройства за интернет на нещата (IoT), са силно атакувани както от държавно спонсорирани, така и от финансово мотивирани нападатели.
Крайните устройства често са обект на атаки и са компрометирани, тъй като не поддържат решения за откриване и реагиране на крайни точки (Endpoint Detection and Response – EDR), което позволява на заплахите да получат първоначален достъп до вътрешните корпоративни мрежи на целите.
В много случаи тези устройства също така нямат редовни актуализации на фърмуера и силна автентикация, идват с уязвимости в сигурността и несигурни конфигурации по подразбиране и предоставят ограничено регистриране, което силно намалява способността на екипите по сигурността да откриват нарушения.
Освен това, тъй като са разположени на ръба на мрежата и обработват почти целия корпоративен трафик, те привличат вниманието като цели, които позволяват лесно наблюдение на трафика и събиране на данни за по-нататъшен достъп до мрежата, ако са оставени незащитени.
„Чуждестранните противници рутинно използват софтуерни уязвимости в крайните мрежови устройства, за да проникнат в мрежите и системите на критичната инфраструктура. Щетите могат да бъдат скъпи, отнемащи време и катастрофални за репутацията на организациите от публичния и частния сектор“, заяви CISA.
„Производителите на устройства се насърчават да включат и активират стандартни функции за регистриране и съдебна експертиза, които са надеждни и сигурни по подразбиране, така че защитниците на мрежата да могат по-лесно да откриват злонамерена дейност и да разследват след проникване“, добави Националният център за киберсигурност на Обединеното кралство (NCSC).
Агенциите за киберсигурност също така посъветваха мрежовите защитници да вземат под внимание тези препоръчителни минимални изисквания за криминалистична видимост, преди да изберат физически и виртуални мрежови устройства за своите организации.
През последните няколко години нападателите продължават да се насочват към крайни мрежови устройства от различни производители, включително Fortinet, Palo Alto, Ivanti, SonicWall, TP-Link и Cisco.
В отговор на активността на заплахите CISA издаде няколко предупреждения „Secure by Design“, като в едно от тях през юли 2024 г. поиска от доставчиците да премахнат уязвимостите за инжектиране на команди в операционната система Path OS, използвани от подкрепяната от китайската държава група за заплахи Velvet Ant за хакване на крайни мрежови устройства на Cisco, Palo Alto и Ivanti.
Американската агенция за киберсигурност също така призова производителите на рутери за малки офиси/домашни офиси (SOHO) да защитят устройствата си срещу атаки на Volt Typhoon, а доставчиците на технологии да спрат да доставят софтуер и устройства с пароли по подразбиране.