A Diretiva Operacional Vinculante 26-02 exige inventário, atualização e desativação gradual de equipamentos de perímetro que não recebem mais correções de segurança dos fabricantes.
| Componente | Dispositivos de borda usados por agências federais civis dos Estados Unidos, incluindo balanceadores de carga, firewalls, roteadores, switches, pontos de acesso sem fio, appliances de segurança de rede, dispositivos IoT de borda, redes definidas por software e componentes físicos ou virtuais que roteiam tráfego. |
| Vetor | Exploração de vulnerabilidades novas ou conhecidas em hardware, firmware ou software que já não recebe atualizações de segurança do fabricante original. |
| Impacto | Aumento do risco em sistemas federais porque esses ativos ficam no perímetro da rede, manipulam tráfego e podem manter acesso privilegiado sem receber correções contra falhas conhecidas ou futuras. |
| Prioridade | Atualizar imediatamente dispositivos ainda suportados que executam software em fim de suporte, inventariar e reportar ativos afetados em até três meses, e remover equipamentos sem suporte conforme os prazos de 12, 18 e 24 meses. |
| Artefatos | A CISA informou a criação de uma lista de dispositivos de borda em fim de suporte, com nome do produto, número da versão e data de término de suporte. |
A CISA emitiu a Diretiva Operacional Vinculante 26-02 para reduzir o risco criado por dispositivos de borda sem suporte em redes de agências Federal Civilian Executive Ramificação. A ordem trata do ciclo de vida de equipamentos e componentes posicionados no perímetro ou em pontos de roteamento da rede, como firewalls, roteadores, switches, balanceadores de carga, pontos de acesso sem fio, appliances de segurança, dispositivos IoT de borda, redes definidas por software e outros elementos físicos ou virtuais que encaminham tráfego e frequentemente operam com permissões elevadas.
O problema central não é apenas a idade do equipamento, mas a ausência de atualização de segurança do fabricante original. Quando firmware ou software deixa de receber correções, falhas conhecidas permanecem exploráveis e novas vulnerabilidades não têm caminho normal de remediação. Em dispositivos de borda, esse risco é ampliado pela posição operacional do ativo: ele processa tráfego entre zonas de confiança, pode expor serviços administrativos ou de gerenciamento, e muitas vezes fica acessível em segmentos com alta relevância para acesso inicial, persistência de rede ou evasão de controles.
A diretiva descreve uma superfície em que atores persistentes exploram dispositivos sem suporte porque o ambiente não tem mais a proteção básica de correções de firmware e patches de segurança. Um equipamento nessa condição pode continuar funcionando de forma operacional, mas fica fora do modelo de manutenção do fornecedor. Isso cria uma divergência entre disponibilidade aparente e segurança real: o ativo ainda roteia tráfego, autentica administradores, aplica políticas ou inspeciona conexões, mas não acompanha a evolução das vulnerabilidades descobertas após o fim do suporte.
A CISA determinou ações graduais. Com efeito imediato, dispositivos de borda que ainda têm suporte do fornecedor, mas executam software em fim de suporte, devem ser atualizados para uma versão suportada. Em até três meses, as agências devem catalogar todos os dispositivos para identificar aqueles que estão em fim de suporte e reportar o resultado. Em até 12 meses, equipamentos listados no repositório de dispositivos de borda em fim de suporte devem ser desativados e substituídos por alternativas que recebam atualizações de segurança. Em até 18 meses, os demais dispositivos identificados nessa condição também devem ser removidos. Em até 24 meses, cada agência deve estabelecer um processo de gestão de ciclo de vida com descoberta contínua, inventário e acompanhamento de ativos que já estão ou entrarão em fim de suporte.
A lista de referência anunciada pela CISA funciona como um repositório preliminar para produtos que já atingiram ou devem atingir fim de suporte. O conjunto de dados deve registrar nome do produto, número da versão e data de término de suporte. Para defesa, esse detalhe é relevante porque permite cruzar inventário técnico com status de suporte do fornecedor, em vez de depender apenas de nomenclaturas genéricas de ativo ou descrições manuais em planilhas.
A superfície afetada é formada por ativos de infraestrutura que conectam, segmentam, filtram ou protegem tráfego. Isso inclui componentes normalmente administrados por equipes de rede, segurança, infraestrutura e operações. A diretiva não limita o escopo a um único fabricante ou a uma família específica de produtos; o critério é o estado de suporte do hardware, firmware ou software associado ao dispositivo de borda.
O risco é maior quando o equipamento concentra funções privilegiadas. Um firewall sem suporte pode manter regras críticas sem receber correção para falhas no plano de gerenciamento. Um roteador ou switch de perímetro pode continuar encaminhando tráfego sensível mesmo quando a versão instalada já não tem manutenção. Um appliance de segurança pode se tornar parte frágil da defesa se o motor, a interface administrativa ou o firmware subjacente não puderem ser corrigidos. Em ambientes com redes definidas por software, o mesmo raciocínio vale para componentes virtuais que exercem função de borda ou de controle de tráfego.
- Agências FCEB devem identificar dispositivos de borda com software em fim de suporte e equipamentos cujo produto ou versão já não recebe correções.
- O escopo inclui ativos físicos e virtuais que roteiam tráfego, aplicam políticas de rede ou mantêm acesso privilegiado no perímetro.
- A avaliação deve considerar produto, versão e data de término de suporte, não apenas nome comercial ou existência física do equipamento.
A resposta defensiva começa pela telemetria de inventário. Equipes devem correlacionar dados de CMDB, varreduras autenticadas, gerenciamento de configuração, logs de administração, controladoras de rede, consoles de segurança e registros de descoberta passiva para localizar equipamentos de borda e suas versões reais de firmware ou software. A prioridade é separar ativos ainda suportados, ativos com software em fim de suporte e dispositivos que precisam ser substituídos por não terem mais caminho de atualização pelo fornecedor.
Em paralelo, a telemetria operacional deve identificar sinais de exposição incompatíveis com a criticidade desses dispositivos. A diretiva não lista indicadores de comprometimento específicos, portanto a caça deve ser orientada por comportamento e postura: interfaces administrativas acessíveis além do necessário, versões divergentes do padrão corporativo, reinicializações incomuns, falhas de autenticação em consoles de gerenciamento, mudanças de configuração fora de janela, tráfego inesperado para o plano de gerenciamento e ausência de registro confiável sobre proprietário, localização e versão.
- Inventário com nome do produto, versão instalada, data de fim de suporte e proprietário operacional.
- Logs de autenticação administrativa, alterações de configuração e acessos ao plano de gerenciamento dos dispositivos de borda.
- Diferenças entre versões suportadas pelo fornecedor e versões efetivamente executadas nos ativos em produção.
- Ativos de perímetro sem registro completo em CMDB, sem ciclo de atualização definido ou sem responsável técnico identificado.
A mitigação definida pela diretiva combina correção imediata, substituição planejada e governança contínua. O primeiro movimento é atualizar dispositivos suportados que estejam executando software em fim de suporte, porque esse caso ainda permite retorno a uma versão mantida pelo fornecedor. Onde o produto ou a versão não tem mais suporte, a medida exigida é desativação e substituição por dispositivo capaz de receber atualizações de segurança.
A ordem dos prazos também indica como priorizar a execução. Em até três meses, o ambiente precisa ter inventário suficiente para reportar dispositivos afetados. Em até 12 meses, equipamentos constantes na lista de fim de suporte devem sair das redes das agências. Em até 18 meses, a remoção se estende aos demais dispositivos identificados. Em até 24 meses, o processo deixa de ser esforço pontual e passa a exigir descoberta contínua e acompanhamento de ativos que chegarão ao fim de suporte no futuro.
Para validação, a equipe deve confirmar que a substituição não preservou versões obsoletas, credenciais antigas, interfaces administrativas expostas ou configurações herdadas sem revisão. A retirada de um equipamento em fim de suporte reduz risco apenas quando acompanhada de controle de mudança, atualização de documentação, revisão de acesso administrativo e monitoramento posterior do novo ativo.
- Atualizar imediatamente dispositivos com suporte do fornecedor que executam software em fim de suporte.
- Catalogar todos os dispositivos de borda e reportar à CISA os ativos identificados em fim de suporte no prazo de três meses.
- Desativar e substituir dispositivos listados como fim de suporte em até 12 meses, usando equipamentos com atualizações de segurança disponíveis.
- Remover os demais dispositivos identificados em fim de suporte em até 18 meses.
- Implantar processo de gestão de ciclo de vida em até 24 meses, com descoberta contínua e inventário de ativos que estão ou ficarão sem suporte.
0 Comentários