ال القرار الأمريكي أثارت إضافة أجهزة توجيه استهلاكية أجنبية الصنع إلى القائمة المغطاة للجنة الاتصالات الفيدرالية (FCC) جدلاً متوقعًا حول سلاسل التوريد والجغرافيا السياسية والثقة. هذه مخاوف مشروعة. ولكن إذا كنا صادقين بشأن أين تكمن المخاطر فعلياً اليوم، فالحقيقة هي أن الحظر يعالج قرارات المشتريات في الغد أكثر بكثير من التعرض الأمني اليوم.
وهذا مهم، لأن المهاجمين لا ينتظرون دورات الشراء.
أجهزة التوجيه أصبحت بهدوء واحدة من موطئ القدم الأكثر جاذبية في كل من شبكات المؤسسات والشبكات المنزلية. إنهم يجلسون على الحافة، وغالبًا ما يكونون متصلين بالإنترنت وكثيرًا ما يتم تجاهلهم بمجرد نشرهم. في بحثنا الخاص، تُصنف أجهزة التوجيه باستمرار من بين الأجهزة الأكثر خطورة، مع كثافة عالية من الثغرات الأمنية ودور متزايد في الاستغلال في العالم الحقيقي.
في حين يركز قرار لجنة الاتصالات الفيدرالية (FCC) على مكان تصنيع الجهاز، فإن المشكلة التي يتعين على المؤسسات التعامل معها هي كيفية إنشاء هذه الأجهزة وإدارتها وصيانتها.
إن عبارة “صنع في” ليست مثل كلمة “آمن” – بل إنها ليست قريبة حتى.
العديد من نقاط الضعف التي نراها تأتي من مشكلات مألوفة وقابلة للقياس مثل مكونات البرامج القديمة، ودورات التصحيح البطيئة، وبيانات الاعتماد الضعيفة، وواجهات الإدارة المكشوفة، وعمر الخدمة الطويل الذي يمتد إلى ما هو أبعد من دعم البائعين. في تحليل البرامج الثابتة، نرى بانتظام مكونات مشتركة متأخرة بسنوات عن الإصدارات الحالية، وتحمل ثغرات أمنية معروفة يمكن للمهاجمين استغلالها.
والأهم من ذلك، أن لا شيء من ذلك يتغير لأن الجهاز الجديد محظور الاستيراد.
النقطة العمياء الأكبر في هذه المحادثة هي القاعدة المثبتة. الملايين من أجهزة التوجيه موجودة بالفعل في المنازل والمكاتب الفرعية وبيئات العمل عن بعد. وسيبقون هناك لسنوات. نادرًا ما يتم تصحيحها أو مراقبتها، وقد جعلها العمل المختلط جزءًا من سطح هجوم المؤسسة سواء أعجبت المنظمات بذلك أم لا. يمكن استخدام جهاز التوجيه المنزلي المخترق لاعتراض حركة المرور أو جمع بيانات الاعتماد أو كنقطة محورية في أنظمة الشركة.
لذلك، في حين أن الحظر قد يقلل من التعرض المستقبلي بالمعنى الضيق، فإنه لا يفعل شيئًا لمعالجة المخاطر التي تواجهها المنظمات بالفعل اليوم، والتي ستمتد حتماً إلى المستقبل.
وهناك أيضاً خطر أن تنجرف المناقشات السياسية إلى شعور زائف بالتقدم. إن التركيز على أصل المورد يمكن أن يخلق انطباعًا بأن المخاطر يتم تقليلها على المستوى الهيكلي، في حين أن القضايا الأساسية تظل في الواقع دون تغيير. الأمن ليس شيئًا تستورده. إنه شيء تتحقق منه باستمرار.
يجب التعامل مع البنية التحتية للشبكة كجزء من سطح الهجوم النشط، وليس من السباكة الخلفية. وهذا يعني الحفاظ على مخزون دقيق من أجهزة التوجيه عبر بيئات المؤسسات والبيئات البعيدة، بما في ذلك إصدارات البرامج الثابتة والتعرض لها. يجب أيضًا إعطاء الأولوية لإدارة دورة الحياة، وهذا يعني استبدال الأجهزة التي انتهت صلاحيتها، وفرض تحديثات البرامج الثابتة والمطالبة بالشفافية من البائعين حول مكونات البرامج بالإضافة إلى إيقاع التصحيح.
من أجل إزالة المكاسب السهلة للمهاجمين، قم بتعطيل واجهات الإدارة المكشوفة على الإنترنت، وفرض بيانات اعتماد فريدة وتطبيق التجزئة بحيث لا يؤدي جهاز التوجيه المخترق تلقائيًا إلى وصول أوسع.
وأخيرًا، عليك أن تدرك أن قرار لجنة الاتصالات الفيدرالية (FCC) يثير أسئلة مهمة حول الثقة والمرونة في سلاسل توريد التكنولوجيا، ولكن إذا أدى ذلك إلى اعتقاد المؤسسات بأن المشكلة قد تم التعامل معها، فإنه يخاطر بالتحول إلى مصدر إلهاء. أما العمل الحقيقي فهو أقل وضوحا وأقل سياسية وأكثر عملية بكثير. يتعلق الأمر بإصلاح الظروف التي تجعل أجهزة التوجيه هدفًا سهلاً ومستمرًا في المقام الأول.
وهذا العمل طال انتظاره.
