2025年2月4日,英国、澳大利亚、加拿大、新西兰和美国的“五眼”网络安全机构联合发布指导文件,呼吁网络边缘设备制造商提高取证可视性,以帮助防御者检测攻击并调查违规行为。相关文件包括《网络设备和器具生产商的数字取证和保护监测规范指南》和《边缘设备的安全注意事项(ITSM.80.101)》。边缘设备(如防火墙、路由器、VPN网关、OT系统和IoT设备)因缺乏端点检测和响应(EDR)解决方案、定期固件更新及强身份验证,成为国家支持和经济动机攻击者的主要目标。这些设备通常配置不安全,日志记录有限,使其容易被利用以访问内部网络。CISA指出,外国对手常利用边缘设备漏洞渗透关键基础设施,造成巨大损失。NCSC建议制造商默认启用强大的日志记录和取证功能,以支持网络防御。此外,CISA发布多项“安全设计”警报,要求供应商修复漏洞并停止使用默认密码,以应对日益复杂的网络威胁。
关于《网络设备和器具生产商的数字取证与保护监测规范指南》
2025年2月,英国国家网络安全中心(NCSC)联合澳大利亚信号局(ASD)、美国网络安全和基础设施安全局(CISA)等多家国际网络安全机构,发布了《网络设备和器具生产商的数字取证与保护监测规范指南》。该指南旨在为网络设备和器具制造商提供最低法医可见性要求,帮助网络防御者在攻击发生前后更好地保护组织网络。
背景与目标
网络设备和器具(如路由器、防火墙、网络存储设备等)是恶意攻击者的主要目标,因其在网络流量管理和处理中扮演关键角色。攻击者常利用设备漏洞和不安全设计功能获取并维持访问权限,导致严重的安全风险。为应对这一挑战,指南呼吁制造商在设计阶段默认启用强大的日志记录和取证功能,以支持网络防御者检测恶意活动并进行调查。
日志记录要求
指南详细列出了设备和器具应支持的日志记录功能,包括:
身份验证事件:记录用户名、认证方法、源IP地址及会话标识符。
技术支持事件:记录供应商工具的使用情况。
服务级日志:记录HTTP/HTTPS请求、交互式会话等关键信息。
进程与文件操作:记录进程创建、退出、模块加载及文件系统的创建、修改和删除。
DNS查询与固件更新:记录DNS查询响应及固件更新的成功与失败尝试。
配置变更与日志操作:记录设备配置变更及日志文件的清除或轮换操作。
日志应采用ISO 8601格式的时间戳,并支持远程传输,使用TLS加密保护。设备和器具还应默认生成心跳消息,以证明其正常运行。
取证数据采集要求
易失性数据收集:设备和器具应支持收集当前运行状态的数据,包括进程信息、网络连接、ARP条目、DHCP租用表等。这些数据应触发日志生成,便于自动分析和人工调查。
非易失性数据收集:设备和器具应支持对全部存储数据的收集,系统所有者应能够解密并检查存储内容。制造商需确保数据提取接口的安全性,防止未经授权的访问。
该指南为网络设备和器具制造商提供了明确的安全设计方向,强调日志记录和取证功能的重要性。通过遵循这些建议,制造商及其客户能够更好地检测和应对恶意活动,提升网络安全的整体水平。
关于《边缘设备的安全注意事项:保护网络边界的关键措施》
2025年2月,加拿大情报机构、澳大利亚信号局(ASD)、美国网络安全和基础设施安全局(CISA)等多家国际网络安全机构联合发布了一份关于边缘设备安全的指导文件(ITSM.80.101),旨在帮助组织应对日益复杂的网络威胁。边缘设备作为连接内部网络与外部互联网的关键组件,其安全性直接关系到整个网络的安全。然而,由于配置错误、漏洞利用和攻击技术的不断演进,边缘设备正成为网络威胁行为者的主要目标。
边缘设备的重要性与风险
边缘设备包括防火墙、虚拟专用网络(VPN)网关和路由器等,它们位于网络边界,负责控制内外网络的流量。尽管这些设备在提升生产力和连接性方面发挥了重要作用,但其暴露在互联网上的特性也使其成为攻击者的首要目标。威胁行为者通过利用边缘设备的漏洞,可以绕过安全控制,直接访问内部网络,造成数据泄露、服务中断等严重后果。
常见的边缘设备及其安全挑战
VPN网关:VPN通过加密隧道保护数据传输,但其配置错误可能导致安全漏洞。
防火墙:防火墙根据预定义规则监控流量,但默认配置可能不足以应对复杂攻击。
路由器:路由器负责流量引导,但其安全性通常低于防火墙,容易成为攻击入口。
边缘设备的主要威胁
配置错误和管理不善:错误的配置可能导致设备暴露在攻击者面前。集中配置管理和使用专用管理工作站(如PAW)是缓解这一风险的关键。
漏洞利用:攻击者利用未修补的漏洞(包括零日漏洞)入侵设备。及时更新和修补是防止漏洞利用的核心措施。
拒绝服务攻击(DoS/DDoS):攻击者通过僵尸网络使边缘设备超载,导致服务中断。保持设备更新和修补是减轻此类攻击的有效方法。
默认配置设置:许多设备出厂时使用默认密码,容易被攻击者利用。更改默认设置并遵循强化指南是必要的安全措施。
边缘设备入侵的典型案例
Fortinet漏洞(CVE-2024-21762、CVE-2022-42475):攻击者利用SSL VPN功能中的漏洞运行任意代码,甚至获取域管理员权限。
思科漏洞(CVE-2023-20198、CVE-2023-20273):攻击者通过权限提升漏洞创建后门,即使在设备重启后仍能保持访问权限。
缓解边缘设备威胁的建议
订阅安全通知:及时获取设备供应商和网络安全机构发布的安全更新和建议。
强化设备配置:遵循供应商的强化指南,禁用不必要的服务和端口,更改默认用户名和密码。
自动化补丁管理:建立自动化补丁管理计划,确保在补丁发布后尽快安装。
集中日志记录与监控:启用详细的日志记录,并配置警报以检测异常活动。
多因素认证(MFA):对所有管理访问启用MFA,防止凭据泄露。
生命周期管理:定期检查设备的支持时间表,及时更换或升级即将报废的设备。
事件响应计划:将边缘设备入侵纳入事件响应计划,并进行定期演练。
对制造商的建议
制造商应在产品设计和开发阶段遵循安全设计原则(SbD),减少漏洞数量,并以最安全的配置交付产品。此外,制造商应加入CISA的安全设计承诺,透明报告漏洞并采取措施改善产品安全性。
边缘设备的安全是保护企业网络的关键。通过遵循最佳实践、及时更新和强化配置,组织可以显著降低边缘设备被攻击的风险。同时,制造商的责任在于设计更安全的产品,从根本上减少漏洞的存在。只有通过组织与制造商的共同努力,才能有效应对日益复杂的网络威胁。
参考资源
1、https://www.cyber.gc.ca/en/guidance/security-considerations-edge-devices-itsm80101
2、https://www.ncsc.gov.uk/guidance/guidance-on-digital-forensics-protective-monitoring
3、https://www.bleepingcomputer.com/news/security/cyber-agencies-share-security-guidance-for-network-edge-devices/
声明:本文来自网空闲话plus,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
