CISA、ネットワークデバイスの安全を確保するよう連邦民間機関に圧力 from securityboulevard.com

このディレクティブはネットワーク デバイスに明示的に限定されていますが、管理インターフェイスを持つデバイスの種類はこれらだけではありません。
これらは多くの場合、セキュリティ監査を受けずにネットワーク上、さらにはインターネット上に展開されており、これらのインターフェイスは誰でも利用できる状態になっており、場合によってはオンラインのユーザーマニュアルに記載されているデフォルトのパスワードを使用することさえできる、と同氏は述べた。
ネットワーク デバイス管理インターフェイスをインターネットから切り離すことは素晴らしいステップですが、強力なセキュリティ体制を備えている組織では、導入したすべてのデバイスとソフトウェア上のすべての管理インターフェイスを考慮する必要があります。
この指令に従うために、政府機関は、社内の企業ネットワークからのみアクセスできるようにしてインターフェイスをインターネットから削除するだけでなく、ゼロトラスト アーキテクチャ戦略の一環として、ポリシーを通じてインターフェイスへのアクセス制御を強制する機能を展開する必要もあります。
CISA は、インターフェイス自体とは別に施行ポイントを 14 日以内に設定する必要があるとし、既存のデバイスと新しく追加されたデバイスのすべての管理インターフェイスが準拠していることを確認するために、技術的および/または管理制御も実装する必要があると述べています。
Cyware社の脅威インテリジェンススペシャリストであるニール・デニス氏は、ゼロトラスト手法の採用は確実な選択肢であり、セキュリティ上の懸念を暴露されたデバイスに直接限定することと、デバイスが侵害された場合の接続されたシステムへのアクセスの両方を制限できると述べた。