La prohibición de la FCC sobre la compra de enrutadores fabricados en el extranjero se presenta como una decisión de seguridad de la cadena de suministro. Aunque todos los enrutadores nuevos adquiridos deben cumplir con el nuevo estándar, no requiere que las organizaciones eliminen o reemplacen los enrutadores que ya se ejecutan en sus redes.
Esto se reduce al problema: simplemente ajusta la colección y sigue adelante. En la práctica, no es tan sencillo.
Responsable de Experiencia de Usuario y Adopción de Productos en QuSecure.
Ban plantea la pregunta más práctica: “¿Sabes lo que está pasando en tu red?” Los enrutadores se ubican directamente en rutas críticas de tráfico. Transportan datos entre sitios, aplicaciones y centros de datos y, a menudo, se dejan durante 10 a 15 años.
El artículo continúa a continuación.
Con el tiempo, las configuraciones cambian gradualmente. Se agregan interfaces, se modifican túneles, se actualizan reglas de acceso, pero la documentación y la propiedad rara vez son dinámicas.
Falta de visibilidad
Para los responsables de mantener la red en funcionamiento, ahí es donde reside el riesgo. Los operadores configuran enrutadores, administran el comportamiento de enrutamiento, solucionan problemas de interrupciones y realizan cambios en los sistemas activos donde las fallas son inmediatas y visibles. En muchos entornos, no son ellos quienes configuraron originalmente la infraestructura.
Están trabajando con un registro parcial de lo que se creó, cómo se modificó y qué depende de ello. La mayoría de las organizaciones operan sin una visión confiable y actualizada de lo que se implementa, qué dispositivos están activos, cómo están configurados o las dependencias.
En muchos casos, incluso las preguntas más básicas son difíciles de responder con seguridad: qué dispositivos siguen activos, qué configuraciones siguen en uso y qué sistemas dependen de ellos. La acción de la FCC no cambia el estado de las redes existentes… revela.
Las políticas se redactan de manera que los sistemas se comprendan y controlen bien. Los operadores saben que esto rara vez sucede. En el documento, la red está definida. En la práctica esto se supone.
La red esta abierta
Cuando se necesita un cambio, la falta de visibilidad se convierte en un problema. Lo que comienza como un cambio planificado rápidamente se convierte en el descubrimiento de dispositivos que no son rastreados, rutas que aún transportan tráfico y configuraciones que nadie puede explicar completamente.
En entornos grandes, el cambio incremental con el tiempo entre cientos de dispositivos aumenta la complejidad y el riesgo.
A menudo, las redes solo son completamente visibles bajo estrés: durante interrupciones, incidentes o transiciones fallidas. Ahí es cuando surgen dependencias ocultas y configuraciones no documentadas, no durante el funcionamiento normal.
Sin una visión clara de la red, los equipos no pueden predecir con seguridad qué impacto tendrá un cambio.
Aquí es donde el cambio se estanca. Los equipos se detienen en medio de las ventanas porque no tienen suficiente visibilidad para asegurarse de qué se sigue utilizando. Cuando la visibilidad es incompleta, inevitablemente se pasa por alto algo. Y cuando esto sucede, el fracaso es inmediato: el tráfico cae, los túneles fallan, las aplicaciones se desconectan y la confianza del usuario se ve socavada.
Los riesgos más sistemáticamente explotados siguen siendo viables en este entorno. Los riesgos incluyen credenciales predeterminadas, parches perdidos, interfaces de administración abiertas y dispositivos no administrados. Son atacados porque son fáciles de encontrar y explotables constantemente.
Estos riesgos existen independientemente de dónde se fabrique un dispositivo. Independientemente del origen, el mantenimiento y el uso diario son riesgos que se explotan constantemente porque los atacantes no necesitan acceder a la cadena de suministro cuando los escenarios estándar ya proporcionan un camino confiable.
El riesgo de la cadena de suministro se vuelve relevante cuando datos confidenciales cruzan una infraestructura que puede estar expuesta a controles extranjeros. En este caso, lo principal. Pero una vez que se implementa un dispositivo, el factor de riesgo dominante es qué tan bien se entiende, configura y mantiene.
Abordar el riesgo de la cadena de suministro sin abordar la visibilidad y el riesgo operativo deja exposiciones similares.
Para la mayoría de las organizaciones, el impacto será gradual. Los sistemas existentes continuarán y las limitaciones de recopilación se verán con el tiempo a través de ciclos de actualización y nuevas implementaciones. Sin embargo, cuando esos momentos llegan, dependen de una comprensión adecuada de lo que ya existe.
Cómo navegar de forma segura los cambios de red
La mayoría de las redes están lejos de ser sistemas limpios. Es como renovar una casa durante más de una década, sin un plano completo. El cableado nuevo se superpone al anterior y la solución temporal es permanente.
No puedes ver cómo está todo conectado y descubrir cómo afecta algo inesperado con solo accionar un interruptor. Las organizaciones pueden cumplir con los requisitos de seguridad en papel mientras los sistemas operativos aún no comprenden completamente. La acción de la FCC crea una limitación. No crea preparación operativa.
Cuando se requiere un cambio, el desafío no consistirá en seleccionar un dispositivo compatible; Más bien, ejecutará el cambio de forma segura en una red en evolución sin un plan completo.
Los equipos que navegan bien por esto se centran en partes de la red donde los cambios se pueden introducir y verificar de forma segura en condiciones del mundo real, en lugar de intentar cambios amplios y de alto riesgo todos a la vez.
La prohibición no se aplica retroactivamente a los enrutadores que fueron autorizados previamente y que ya están instalados en su sistema (que es la forma estándar de hacer cumplir esta prohibición). Quienes impulsan el mandato entienden que esto no es posible.
Este no es un problema de compra; Esta es una señal de un desafío más fundamental de visibilidad. Esto aumenta lo que está en juego en términos de comprender lo que ya está desplegado en las redes y los riesgos que existen. La cuestión es la implementación, la seguridad, el costo y los recursos.
Hemos presentado los mejores cursos de ciberseguridad en línea.
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
