边缘设备的安全考虑
合作机构
编译 老烦的草根安全观
2025年2月
边缘设备是许多企业计算系统的重要组成部分。它们允许跨各种设备连接,有助于提高生产力。然而,与许多技术一样,它们并非没有漏洞。边缘设备需要注意和勤勉,以确保数据的安全。
网络威胁参与者越来越多地利用边缘设备中的漏洞来危害全球组织。瞄准边缘设备现在已成为许多网络威胁参与者(包括国家支持的参与者)的首选策略。
本出版物为组织提供了与边缘设备相关的网络安全考虑和威胁的概述。它还包括IT专业人员可以采取的示例、建议和缓解措施,以降低妥协的风险。
本出版物是关于边缘设备网络安全措施和缓解措施的一系列补充出版物的一部分:
澳大利亚信号局(ASD)澳大利亚网络安全中心(ACSC)
新西兰国家网络安全中心(NCSC-NZ)
英国国家网络安全中心(NCSC-UK)
美国网络安全和基础设施安全局(CISA)
美国国家安全局(NSA)
介绍
边缘设备是连接内部管理网络和外部不可信网络(如互联网)的网络硬件或软件组件。这些设备可以将公司网络连接到互联网,并为受保护的内部网络提供受控的连接,并实现流量。
术语“边界”和“周界”也用于指代网络的“边缘”。网络的边缘是管理员设置的逻辑边界,用于将内部网络与恶意行为者可以不受限制地访问的外部网络分开。其目的是将所有流量(无论是入站还是出站)引导到应用安全策略保护内部网络的设备。
网络边缘、边界或周界具有到内部网络的路径,内部服务托管在内部网络中。所有网络边缘都需要自己的安全级别,不仅要保证数据和内部网络的安全,还要保护边缘设备本身免受攻击。
常用边缘设备
本指南仅限于虚拟专用网络、防火墙和路由器,因为它们是常用的边缘设备。
虚拟专用网络网关
虚拟专用网络(VPN)网关是两点之间的安全连接,例如您的笔记本电脑和组织的网络。VPN充当隧道,您可以使用它在网络边缘发送和接收安全数据。加密数据通过“隧道”发送,以保护其免受威胁。
有关更多信息,请参阅我们的出版物《虚拟专用网络》(ITSAP.80.101)。
防火墙
防火墙是控制数据进入和退出网络或安全区域的安全设备(物理或虚拟)。它们根据一组预定义的规则监视和控制数据流量。防火墙位于网络和用户之间的边缘,提供基本的安全保障。他们检查通过的流量,并允许或拒绝连接到达目的地。使用默认拒绝配置防火墙以阻止未知流量非常重要。
有关更多信息,请参阅我们的出版物《防火墙安全注意事项》(ITSAP.80.039)。
路由器
路由器在内部网络和互联网之间引导流量,但它们提供的安全性不如防火墙。路由器可以根据手动配置、从其他设备动态学习或两者兼而有之的路由规则来引导数据包。路由器对任何网络都是必不可少的。路由器必须强制隔离网段,以尽量减少其攻击面,如OT网段。
有关更多信息,请参阅我们的出版物《路由器网络安全最佳实践》(ITSAP.80.019)。
详细描述-图1:边缘设备的放置
图1显示了边缘设备的位置。在这种情况下,VPN网关和外部防火墙位于外部用户和组织网络之间的网络边界上。远程用户(员工、外部用户或客户)可以通过客户端VPN访问网络。流量通过VPN网关和外部防火墙进入公共访问区,到达外部网站或邮件服务。内部边缘设备,即内部防火墙,位于组织的公共访问区域和操作区域之间的边缘,这些区域是组织的日常操作、系统和服务器所在的位置。
边缘设备的注意事项
您的组织要求您的企业设备访问web和电子邮件功能。这意味着允许本地网络和互联网之间的连接。您的组织可以通过使用以安全为重点的边缘设备(如防火墙、VPN或路由器)来保护这些连接。这些类型的边缘设备旨在抵抗和阻止来自互联网的恶意流量。
尽管网络安全措施取得了进展,网络基础设施的可见性也有所提高,但边缘设备仍然面临着重大的风险。这主要是由于边缘设备中的漏洞以及网络(和网关)架构的配置方式造成的。
您的组织在评估边缘设备的安全性时应该考虑的一些因素包括:
如何制造(制造商的责任)
如何配置(制造商、供应商强化指南和组织之间的共同责任)
应用最新软件、固件、操作系统和安全更新和补丁的时间
对边缘设备的威胁
有几种方法可以让边缘设备受到威胁,并被威胁行为者利用来访问您的环境。一个突出的载体是任何直接连接并用作预防和检测措施的设备,如防火墙。威胁行为者将花费时间和资源研究所有可能的媒介,试图绕过现有的边界控制和保护措施。
边缘设备的配置错误和管理不善
任何配置错误的边缘设备组件,如配置错误的路由器或VPN,都可能导致妥协。配置和安全标准应由您的组织设置,每个设备部署都必须遵循这些标准。虽然这可能会对资源造成压力,但您可以通过利用集中式配置管理模型来减轻一些压力。通过这样做,您的组织将能够从一个控制点监控和管理整个环境中的安全设备。
我们强烈建议您组织的管理员从专用管理工作站(如特权访问工作站(PAW)或安全访问工作站(SAW))执行所有与安全和配置相关的任务。
这将增强您监控潜在威胁的能力,并在您受到威胁时控制网络事件的规模。
有关管理和建筑区域的更多信息,请参阅ASD的安全管理指南。
漏洞利用
威胁行为者将注意力集中在网络边缘的单个设备的漏洞上。边缘设备通常连接到互联网,并具有可以从任何地方访问的公共IP地址。这使得边缘设备特别容易被利用,因为威胁行为者可以利用互联网来识别和利用这些设备中的漏洞。
当威胁行为者利用组织可能没有意识到或没有机会通过更新或补丁解决的漏洞时,就会发生漏洞利用。当威胁行为者利用有可用补丁但未应用的漏洞时,就会发生对已知漏洞的利用。
一旦使用并检测到利用未知漏洞的零日威胁,负责任的设备制造商将迅速发布补丁。您的组织必须及时了解已发布的补丁、修复程序或设备更新,以减轻已知的漏洞。在威胁行为者利用已知漏洞之前,您的组织必须制定程序,立即采取行动更新和补丁。
如果您没有收到有关安全更新和补丁的通知,您的组织也可能容易受到攻击。如果安全更新未安装,您的设备可能容易受到攻击。确保在您的环境中配置自动更新,或指定必须安装更新的强制时间窗口。应定期使用漏洞扫描程序来帮助您识别面向互联网的网络设备操作系统中漏洞的遗漏补丁或更新。这将帮助您减轻已知漏洞的影响。
拒绝服务和分布式拒绝服务攻击
拒绝服务(DoS)攻击会阻碍服务的功能并使网络不可用。分布式拒绝服务(DDoS)意味着威胁参与者使用连接到网络的许多设备来实现他们的目标。
为了有效,DDoS攻击需要利用多个受损设备,有时也称为僵尸网络。大多数DoS攻击都涉及用无用的流量淹没受害者,还有一些利用特定于目标服务的漏洞。
小型办公室、家庭办公室或个人互联网路由器是威胁行为者常用的设备,他们可以妥协并保持休眠状态,直到他们准备好扩大攻击规模。如果这些边缘设备没有得到修补和更新,威胁行为者就可以利用它们攻击其他网络。
时机成熟时,恶意行为者可以触发所有受感染的设备参与DDoS攻击。这会产生足够的请求,通过使边缘设备的自我防御能力过载来减缓、削弱或完全瘫痪网络。
虽然这并不能完全抵御DoS和DDoS攻击,但我们建议对边缘设备进行修补,使威胁行为者更难识别和利用边缘设备中的漏洞来支持这些攻击。
有关减轻DDoS攻击的更多信息,请参阅防御分布式拒绝服务(DDoS)攻击。
基于web的应用
当连接到互联网时,您的设备可能会受到入侵尝试。出于商业和运营目的,组织通常需要使服务器可访问互联网。此类服务器可能包括:
边缘设备管理服务器
邮件或网络服务器
用于通过移动应用程序提供连接的服务器
远程访问服务器
此功能可能看起来是可取的,但它增加了应充分考虑的额外风险。面向外部的服务器通常放在一个单独的网络上,一个非军事区(DMZ),允许通过防火墙连接到外部网络。暴露的边缘设备或面向外部的服务器可能会增加威胁面。
默认配置设置
一些边缘网络公司并没有放弃设置默认密码的做法。必须更改凭据的默认设置以增强安全性,因为这些默认密码很容易被威胁行为者发现和利用。IT安全团队必须在部署设备之前更改设备上的默认配置设置,以增强安全性。
我们建议安全团队创建一个基线配置文档,以便在配置设备时使用。此基线应包括禁用不需要的服务、协议和端口,以及更改默认用户名和密码。部署后,边缘设备及其安全设置将由管理员或操作员负责。我们建议您查阅产品附带的制造商手册和强化指南,或与互联网安全中心(CIS)等外部实体联系,以获取更多配置和强化信息。
一些安全设置可以在管理级别锁定和控制,但有时,安全控制或设置的安装或实施可以留给对网络安全没有深入技术理解的操作员或最终用户。运营商和最终用户应审查并遵循其组织和制造商提供的关于边缘设备的可接受配置和使用的可用指导。
虽然量身定制的网络安全和可接受的使用策略可以帮助减轻用户错误攻击,但我们敦促制造商创建用户容错的环境。遵循设计安全(SbD)原则将增强设备的安全性,并帮助用户更安全地部署设备。
我们鼓励制造商遵循SbD原则。通过在产品设计阶段实施SbD原则,制造商可以在将可利用的缺陷引入市场以供广泛使用或消费之前,显著减少这些缺陷的数量。SbD还将确保产品以最安全的配置交付给消费者。
有关更多信息,请参阅本出版物中对边缘设备制造商的建议。
边缘设备妥协示例
以下示例强调了边缘设备可能被威胁行为者破坏和利用的方法。他们还强调了这些类型的妥协对组织的一些潜在影响。
Fortinet,FortiOS(CVE-2024-21762;CVE-2022-42475)
2024年2月8日,Fortinet披露了一个带外写入漏洞CVE-2024-21762,该漏洞允许威胁行为者在不提供有效用户凭据的情况下进行连接,并在边缘设备本身上运行任意命令。该漏洞是一个允许SSL VPN功能的供应商漏洞,使未经身份验证的威胁行为者能够通过HTTP命令运行任意代码。
此外,CISA在2024年报告称,恶意行为者Volt Typhoon在未修补的网络外围FortiGate 300D防火墙中利用了CVE-2022-42475。参与者利用此漏洞破坏了设备上存储不当的域管理员帐户。
思科,思科IOS(CVE-2023-20198;CVE-2023-20273)
与上述Fortinet事件类似,根本原因是利用了两个单独的漏洞。第一个漏洞被用来获得“特权15”访问权限(管理访问权限),以使用攻击者设置的固定密码创建新的用户帐户。然后,一个单独的漏洞被允许在web配置界面中持续存在。这在闪存驱动器上创建了文件,以获得额外的访问权限和持久性,这样重新启动设备就不会消除后门访问。
该漏洞是一个零日供应商漏洞,允许威胁行为者通过设备的web UI配置界面执行权限升级。我们建议网络管理接口(NMI)不应直接暴露于互联网。 此外,您的组织应审查您的架构,并确定零信任方法是否可行。稳健的架构将有助于减轻此类漏洞。
如需深入了解VPN漏洞,请参阅网络中心关于影响CISCO ASA VPN的网络活动的报告。
减轻对边缘设备的威胁
您的组织可以通过实施以下缓解建议来降低边缘设备受损的风险:
订阅设备供应商的安全通知和网络中心提供的建议
遵循供应商硬化指南
在备用或测试设备上进行可靠性测试后,尽快在边缘设备上安装安全补丁
建立自动化或受监控的补丁管理计划,以确保补丁在可用时得到应用
启用集中式(非设备)日志记录,并将日志级别配置为尽可能详细
对设备的所有管理访问使用强大的抗钓鱼多因素身份验证(MFA)
成功登录管理、配置更改和硬件更改时发出警报
使用特定于供应商的检测工具或命令检测硬件更改
对所有安全配置更改遵循行业标准的更改管理流程
要求两名(或两名以上)人员在实施变更之前对其进行审查
停用任何不需要的功能
定期审查安全规则的相关性
网络越动态,审查就越频繁
维护边缘设备的库存及其各自的支持时间表
管理任何报废(EoL)设备和报废服务(EoSL)的生命周期,因为设备上发现的任何漏洞都将保持未修补状态
定期审查哪些边缘设备的EOL日期即将到来,并计划在EOL发生之前将其拆除或更换
调查并实施贵组织无法删除的EoSL补偿控制措施
利用基于角色的访问控制的集中身份验证,最大限度地降低与本地帐户相关的风险,并帮助进行访问管理
考虑在您的环境中部署身份验证服务和方法的相关风险
使用与操作数据流网络物理隔离的带外管理网络或管理工作站
确保网络基础设施设备的管理只能来自带外管理网络
使用强化主机来降低管理凭据和MFA被本地主机利用的风险
将边缘设备泄露作为组织事件响应计划的一部分
进行实践练习,以确保该计划有效,并使您的组织能够识别、控制、补救和恢复,对您的运营影响有限
在为边缘设备功能选择供应商时,考虑供应商多样化,以减少和减轻供应链完整性威胁面
有关组织保护其设备的其他方法的更多信息,请参阅以下出版物:
网络安全记录和监控(ITSAP.80.085)
预防性安全工具(ITSAP.00.058)
更新如何保护您的设备(ITSAP.10.096)
对边缘设备制造商的建议
作者鼓励所有边缘设备制造商通过在整个产品设计和开发过程中纳入安全考虑,使其产品在设计上安全,以减少边缘设备中漏洞的流行。设计安全原则描述了制造商应如何通过拥有产品的安全性来改善客户的安全结果。
有关更多信息,制造商应查看联合指南《转移网络安全风险平衡:设计软件安全的原则和方法》(由网络中心和国际网络安全合作伙伴发布)。
有关制造商在边缘设备产品中默认实施安全功能的指导,请参阅CISA的《设计安全警报:SOHO设备制造商的安全设计改进》。
我们还鼓励制造商加入CISA的“设计保证安全”承诺,该承诺概述了制造商为使其产品更加安全而要实现的具体目标,包括减少产品中漏洞的存在和透明地报告漏洞的目标。
附加信息
本出版物仅涉及贵组织的企业边界安全。有关保护您的组织和远程工作人员的更多信息,请参阅以下出版物:
为拥有远程工作人员的组织提供的安全提示(ITSAP.10.016)
自带设备(BYOD)部署模型的最终用户设备安全(ITSM.70.003)
已知漏洞目录
CISA桌面练习包
原文始发于微信公众号(老烦的草根安全观):边缘设备的安全考虑
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论