Overheid VS moet end-of-support firewalls en vpn's binnen jaar vervangen

In dit artikel:

Het Amerikaanse cyberagentschap CISA heeft Binding Operational Directive 26-02 opgelegd, waarmee federale overheidsorganisaties gedwongen worden verouderde edge-apparaten (firewalls, VPN-servers, routers, load balancers en vergelijkbare hardware) te vervangen. CISA, samen met DHS, de FBI en het Britse NCSC, waarschuwt dat door staten gesteunde aanvallers kwetsbaarheden in dergelijke apparaten misbruiken om netwerken binnen te dringen en gevoelige gegevens te stelen.

Praktisch moeten instanties eerst alle nog wel ondersteunde edge-apparaten updaten, tenzij dat cruciale missiefuncties bedreigt. CISA publiceerde een voorlopige "EOS Edge Device List": binnen drie maanden moeten organisaties controleren of ze die apparaten gebruiken en dit rapporteren. Apparaten op die lijst moeten binnen een jaar vervangen zijn door hardware die nog security-updates ontvangt. Binnen 1,5 jaar geldt die vervangingplicht voor álle end-of-support edge-apparaten, ook als ze niet op de lijst staan. Binnen twee jaar moeten federale instanties processen hebben om tijdig EOS-apparatuur in hun netwerken te detecteren en vóór of op de EOS-datum te vervangen.

Doel is het verminderen van aanvalsoppervlak door het verwijderen van systemen die geen beveiligingsupdates meer krijgen.