CISA, Five Eyes מנפיקות הנחיות להקשיחה לתשתיות תקשורת

נוף האיומים על תשתיות תקשורת התעצם באופן משמעותי, כאשר קבוצות יריבות כגון גורמי איומים המזוהים עם הרפובליקה העממית של סין (PRC) מכוונות לספקי תקשורת גלובליים. מסעות פרסום אלה הדגישו את הצורך בחשיפה משופרת והקשחת הגנות מפני ניצול.

לשם כך, הסוכנות האמריקאית לאבטחת סייבר ותשתיות (CISA), יחד עם הסוכנות לביטחון לאומי, הבולשת הפדרלית (FBI), מרכז אבטחת הסייבר האוסטרלי של מנהלת אותות אוסטרליה, מרכז אבטחת הסייבר הקנדי ומרכז אבטחת הסייבר הלאומי של ניו זילנד , הוציאוהַדְרָכָהלמהנדסי רשת ולמגנים אחרים של תשתיות תקשורת. הנחיה זו כוללת את הפרקטיקות הטובות ביותר שיש להשתמש בהן כדי לחזק את הנראות ולהקשיח את התקני הרשת מפני ניצול מוצלח המבוצע על ידי גורמי סייבר זדוניים הקשורים ל-PRC ואחרים.

ההדרכה המשותפת היא בתגובה ישירה לשל תשתית טלקומוניקציה שבוצעה על ידי קולקטיב הפריצה המקושר לממשלה הסינית המכונה Salt Typhoon. מרכזי בהנחיה הם אמצעים שמתעדפים את פרטיות המשתמש ומנגנוני אימות חזקים שהם קריטיים להתמודדות עם איומי סייבר מודרניים.

"למרות שמותאם למגני רשת ומהנדסי תשתיות תקשורת, מדריך זה עשוי לחול גם על ארגונים עם ציוד ארגוני מקומי", נכתב בהנחיה. "סוכנויות המחברים מעודדות תקשורת וארגוני תשתית קריטיים אחרים ליישם את השיטות המומלצות במדריך זה."

"נכון לתאריך השחרור הזה", נכתב בהנחיה, "ניצול או פשרות מזוהות הקשורות לפעילות של גורמי איומים אלה מתיישבים עם חולשות קיימות הקשורות לתשתית הקורבנות; לא נצפתה פעילות חדשה. תיקון מכשירים ושירותים פגיעים, כמו גם אבטחת סביבות בדרך כלל, יצמצמו הזדמנויות לחדירה ויפחיתו את פעילות השחקנים".

הנראות, אבן יסוד בהגנות הרשת לניטור, זיהוי והבנה של פעילויות בתוך התשתית שלהן, היא חיונית בזיהוי איומים פוטנציאליים, פגיעויות והתנהגויות חריגות לפני שהן מסלימות לאירועי אבטחה משמעותיים.

מהנדסי רשת מתבקשים לבחון בקפדנות כל שינוי בתצורה בתוך הסביבה שלהם. שינויים לא מורשים במכשירים כגון נתבים, מתגים וחומות אש, אם לא מסומנים, יכולים לשמש נקודות כניסה עבור יריבים.

יש ליישם מנגנוני התראה מקיפים כדי לזהות שינויים בתצורות, עדכוני מסלולים ורשימות בקרת גישה (ACL). אחסון תצורות באופן מרכזי ואימות שוטף שלהן מבטיח עקביות ומפחית את הסיכון לשיבוש. פתרונות ניטור זרימת רשת, הממוקמים אסטרטגית בנקודות כניסה ויציאה מרכזיות, מציעים נראות לדפוסי תנועה ומסייעים באיתור חריגות תנועה בין לקוחות.

כדי למזער את החשיפה, יש להגביל את תעבורת הניהול לנתיב רשת מאובטח ומוגדר, רצוי לגשת אליו רק דרך תחנות עבודה ניהוליות ייעודיות. יש לעקוב באופן רציף אחר אימות המשתמש כדי לזהות חריגות, כגון כניסות לא מורשות או שימוש בחשבונות לא פעילים. יש להשתמש במערכות רישום מרכזיות, המשתמשות בפרוטוקולי הובלה מוצפנים כמו IPsec או TLS, כדי לאחסן ולנתח יומנים בצורה מאובטחת. מערכות אלו אמורות לאפשר מתאם וניתוח נתונים בזמן אמת, ולשפר עוד יותר את יכולות זיהוי האיומים.

כלי אבטחה מידע וניהול אירועים (SIEM) יכולים לחזק משמעותית את הנראות על ידי צבירת נתונים ממקורות מגוונים לזיהוי מהיר של איומים. קביעת קווי בסיס להתנהגות רגילה ברשת עוזרת להגדיר כללים לאיתור והתראה על פעילות חריגה. בנוסף, שמירה על מלאי עדכני של מכשירים וקושחה מבטיחה תאימות ומפחיתה פגיעויות.

גישת הגנה מעמיקה להקשחת ארכיטקטורת רשת ומכשירים מקטינה את משטח ההתקפה ומחזקת את ההגנות מפני ניצול. הטמעת תצורות מאובטחות והקפדה על שיטות עבודה מומלצות מגבילות נקודות תורפה פוטנציאליות.

אמצעי הקשחה עיקריים כוללים שימוש ברשתות ניהול מחוץ לפס, המופרדות פיזית מרשתות נתונים תפעוליות. הפרדה זו מונעת תנועה צידית במקרה של פריצה ומבטיחה ניהול מאובטח של תשתית הרשת. אסטרטגיית ACL קפדנית, דחיית ברירת מחדל, יחד עם בדיקת מנות ופילוח באמצעות VLANs או VLANs פרטיים (PVLANs) משפרת עוד יותר את האבטחה. שירותים הפונים כלפי חוץ, כגון DNS ושרתי אינטרנט, צריכים להיות מבודדים בתוך אזור מפורז כדי להגן על משאבים פנימיים.

התצורה המאובטחת של שערי רשת וירטואלית פרטית (VPN) היא חיונית. יש לחשוף רק יציאות חיוניות, ויש לאכוף פרוטוקולים קריפטוגרפיים חזקים להחלפת מפתחות, אימות והצפנה. יש להשבית אלגוריתמים קריפטוגרפיים מיושנים ותכונות שאינן בשימוש כדי לצמצם נקודות תורפה. יש לאמץ את גירסת Transport Layer Security גרסה 1.3 כדי להבטיח שלמות נתונים וסודיות, ותעודות מבוססות PKI (Public Key Infrastructure) צריכות להחליף אישורים בחתימה עצמית לצורך אימות.

תהליכי אימות הם קריטיים לשמירה על אבטחת הרשת ופרטיות המשתמש. כל המכשירים צריכים להשתמש במנגנוני האימות המאובטחים ביותר הזמינים. אימות רב-גורמי (MFA), במיוחד שיטות MFA עמידות להתחזות כמו PKI מבוסס חומרה או אימות FIDO, צריכות להיות מחייבות עבור כל חשבונות הניהול והמשתמש. MFA מבטיח שהגישה ניתנת רק לצוות מורשה ומפחית את הסבירות לניצול אישורים שנפגעו.

מדיניות ניהול הפעלות צריכה לכלול משכי אסימון מוגבלים ואימות מחדש חובה עם תום התפוגה. יש ליישם אסטרטגיות בקרת גישה מבוססת תפקידים כדי להקצות תפקידים ספציפיים למשתמשים, ולהבטיח שיש להם גישה רק למשאבים הדרושים לאחריותם. ביקורת תקופתית של פעילות החשבון וההרשאות מבטיחות עמידה בעקרון המינימום הזכויות.

יש להשבית חשבונות שאינם בשימוש או מיותרים באופן מיידי. יש להשתמש בחשבונות מקומיים רק כמוצא אחרון, כאשר האישורים שלהם משתנים מיד לאחר השימוש. שרתי אימות, הרשאות וחשבונאות מרכזיים התומכים ב-MFA צריכים לנהל גישה שגרתית לתשתית.

ארגונים חייבים לאמץ מדיניות סיסמאות מחמירה, להבטיח שסיסמאות עומדות בדרישות המורכבות ומאוחסנות בצורה מאובטחת באמצעות אלגוריתמי גיבוב חד כיווני. יש להימנע מטכניקות גיבוב שהוצאו משימוש, כגון סיסמאות Type-5 או Type-7. במקום זאת, יש להשתמש באפשרויות מאובטחות כמו סיסמאות Type-8 או מפתחות TACACS+ מוצפנים מסוג 6 היכן שהן נתמכות.

יש לאכוף בקפידה סטנדרטים קריפטוגרפיים. VPNs, למשל, צריכים להשתמש באלגוריתמים חזקים של החלפת מפתחות כגון Diffie-Hellman Group 16 עם 4096-bit Modular Exponential או Group 20 עם 384-bit Elliptic Curve Group. ההצפנה צריכה למנף את AES-256, כאשר הגיבוב מתבצע באמצעות SHA-384 או SHA-512. עבור פרוטוקולי Secure Shell, יש ליישם את גרסה 2.0 עם מפתח RSA של 3072 סיביות לפחות וגודל מפתח Diffie-Hellman של 4096 סיביות.

היבט קריטי נוסף באבטחת תשתיות תקשורת כרוך בהיערכות ותגובה לתקריות. מערכות רישום וניטור מרכזיות צריכות לכלול את היכולת לשמור יומנים בצורה מאובטחת מחוץ לאתר, כדי להבטיח שלא ניתן לחבל בהם על ידי גורמים זדוניים. יומנים צריכים להיות מוצפנים גם במהלך שידור ואחסון כדי לשמור על שלמות הנתונים וסודיות.

במקרה של פעילות חשודה, על הארגונים להחזיק ערוצי דיווח ברורים. מומלץ לארגונים בארה"ב לפנות למרכז תלונות פשיעה באינטרנט של ה-FBI או ל-CISA. באופן דומה, סוכנויות מתאימות באוסטרליה, קנדה וניו זילנד הקימו מנגנוני דיווח לטיפול באירועי אבטחת סייבר.

כדי לשפר את עמדת האבטחה הכוללת, יצרני תוכנה מעודדים לאמץ עקרונות מאובטחים לפי עיצוב, גישה המשלבת אמצעי אבטחה במחזור החיים של הפיתוח, ומפחיתה את הצורך של לקוחות ליישם אמצעי הקשחה נוספים לאחר הפריסה. לקוחות צריכים לתעדף רכישת תוכנה וחומרה העומדים בסטנדרטים מאובטחים לפי עיצוב ולדרוש אחריות מהספקים.

ההמלצות המתוארות בהנחיות נועדו לצמצם את הסיכונים הנשקפים על ידי גורמים הקשורים ל-PRC וגורמי איומי סייבר אחרים. נראות משופרת ומנגנוני אימות חזקים הם מרכיבים חיוניים של תשתית תקשורת מאובטחת. על ידי יישום שיטות עבודה מומלצות אלה, ארגונים יכולים להגן על נתונים רגישים, להבטיח פרטיות משתמש ולשמור על חוסנן של מערכות קריטיות.

נושאי מאמר

||||||||