Redes mal configuradas e desatualizadas colocam as empresas em risco

O uso de produtos mal configurados, desatualizados e em fim de vida útil pode e está resultando em vulnerabilidades massivas na segurança da infraestrutura de rede global, causando interrupções para empresas e consumidores. Isso é o que mostra um novo relatório divulgado pela Network Resilience Coalition, uma aliança composta por provedores de tecnologia, especialistas em segurança e operadores de rede, que oferece recomendações sobre como fornecedores e usuários de produtos de rede podem colaborar para melhorar a segurança geral das redes. Entre os membros fundadores da Network Resilience Coalition estão a AT&T, Broadcom, BT Group, Cisco Systems, Fortinet, Intel, Juniper Networks, Lumen Technologies, Palo Alto Networks, Verizon e VMware.

O relatório Protecting Network Resiliency (Protegendo a resiliência da rede), foi desenvolvido após meses de colaboração entre a indústria e especialistas em segurança por meio da Network Resilience Coalition, aliança lançada no segundo semestre de 2023 para melhorar a segurança, proteção e resiliência do hardware e software que compõem as redes corporativas.

Este documento é um marco importante nesse esforço, fornecendo orientação para melhorar a segurança, proteção e resiliência do hardware e software de rede global e um roteiro para a cooperação da indústria e do governo em melhorias importantes de segurança.

A falha em proteger a infraestrutura de rede não apenas apresenta riscos de negócios elevados, mas também representa riscos para as tecnologias das quais a sociedade depende para funcionar. Muitas vezes, produtos em fim de vida, mal configurados ou descontinuados estão gerando uma enorme superfície de ataque para adversários e lacunas de comunicação entre fornecedores de produtos e provedores de serviços, bem como desafios adicionais.

De acordo com o documento, os benefícios de longo prazo, como a prevenção de incidentes disruptivos e o aumento da resiliência geral da rede, superam os custos iniciais da implementação dessas melhores práticas.

As principais recomendações do relatório para fornecedores de produtos de rede incluem:

– Alinhe as práticas de desenvolvimento de software com o NIST Secure Software Development Framework (SSDF).

– Forneça detalhes claros e concisos sobre o “fim da vida útil” do produto, incluindo intervalos de datas específicos e detalhes sobre quais níveis de suporte esperar para cada um.

– Separe as correções de segurança críticas para os clientes e não agrupe esses patches com novos recursos do produto ou alterações de funcionalidade.

– Envolva-se no esforço OpenEoX no OASIS, um esforço intersetorial para padronizar como as informações de fim de vida são comunicadas e fornecê-las em um formato legível por máquina.

Já os compradores de produtos de rede devem:

– Prefira por fornecedores alinhados com o SSDF, forneça informações claras sobre o fim da vida útil e forneça correções de segurança críticas separadas.

– Aumente a diligência de segurança cibernética (verificação de vulnerabilidades, gerenciamento de configuração) em produtos mais antigos que estão fora de seu período de suporte.

– Certifique-se periodicamente de que a configuração do produto esteja alinhada com as recomendações do fornecedor, com frequência crescente à medida que os produtos envelhecem, e garanta a implementação de atualizações e patches em tempo hábil.

– Envolva-se no esforço OpenEoX no OASIS, um esforço intersetorial para padronizar como as informações de fim de vida são comunicadas e fornecê-las em um formato legível por máquina.

“A resiliência da rede é vital para a segurança da infraestrutura de rede crítica na qual nossa economia depende”, disse Ari Schwartz, coordenador do Center for Cybersecurity Policy & Law, uma organização sem fins lucrativos focada em políticas cibernéticas que formou a Network Resilience Coalition. “Somos gratos a todos os representantes da indústria que trabalharam nos últimos meses para fornecer recomendações importantes que melhorarão a segurança de redes críticas nos setores público e privado”, completou.

Essas recomendações, se amplamente implementadas, levariam a uma infraestrutura de rede global mais segura e resiliente e ajudariam a proteger melhor a infraestrutura crítica da qual as pessoas dependem para sua subsistência e bem-estar.

Serviço
www.centerforcybersecuritypolicy.org/initiatives/network-resilience-coalition