本文來自微信公眾號“GoUpSec”。
美國國家安全局(NSA)和網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)在本周五的報告中公布了其紅隊和藍隊在大型組織網(wǎng)絡(luò)中發(fā)現(xiàn)的十大最常見網(wǎng)絡(luò)安全誤配置。NSA和CISA在安全建議中詳細說明了攻擊者經(jīng)常使用哪些策略、技術(shù)和程序(TTPs)來成功利用這些誤配置,實現(xiàn)各種目標,包括獲得訪問權(quán)限、橫向移動和定位敏感信息或系統(tǒng)等。
報告分析的數(shù)據(jù)來自兩家機構(gòu)的紅隊和藍隊在對多個美國政府部門進行的網(wǎng)絡(luò)安全評估和事件響應(yīng)活動,包括來自國防部(DoD)、聯(lián)邦民用執(zhí)行部門(FCEB)、州、地方、部落和領(lǐng)土(SLTT)政府以及私營企業(yè)網(wǎng)絡(luò)的數(shù)據(jù)。
評估顯示,一些最常見的錯誤配置可將整個國家的人民置于網(wǎng)絡(luò)安全風險之中,例如軟件和應(yīng)用程序的默認憑證、服務(wù)權(quán)限和配置、用戶/管理員權(quán)限的不當分離、內(nèi)部網(wǎng)絡(luò)監(jiān)控不足、糟糕的補丁管理等。
報告公布的十大最常見網(wǎng)絡(luò)安全錯誤配置包括:
1.軟件和應(yīng)用程序的默認配置
2.用戶/管理員權(quán)限的不當分離
3.內(nèi)網(wǎng)監(jiān)控不足
4.缺乏網(wǎng)絡(luò)分段
5.糟糕的補丁管理
6.系統(tǒng)訪問控制的繞過
7.弱或誤配置的多因素認證(MFA)方法
8.網(wǎng)絡(luò)共享和服務(wù)的訪問控制列表(ACLs)不足
9.糟糕的憑證衛(wèi)生
10.無限制的代碼執(zhí)行
上述錯誤配置是許多大型企業(yè)網(wǎng)絡(luò)中最常見的系統(tǒng)性漏洞和攻擊風險,凸顯了軟件開發(fā)商采用和遵循安全設(shè)計原則的重要性和緊迫性。
報告建議軟件開發(fā)商停止使用默認密碼,并確保單個安全控制點被入侵后不會危及整個系統(tǒng)的完整性。此外,采取積極措施消除整個漏洞類別也至關(guān)重要,例如使用內(nèi)存安全的編碼語言或?qū)嵤﹨?shù)化查詢。
最后,報告建議強制實施特權(quán)用戶進行多因素認證(MFA),并將MFA設(shè)為默認措施,使其成為標準實踐而非可選項。
NSA和CISA還建議網(wǎng)絡(luò)防御者實施推薦的緩解措施,以減少攻擊者利用這些常見誤配置的風險。這些緩解措施包括:
●消除默認憑證并加固配置
●停用未使用的服務(wù)并實施嚴格的訪問控制
●確保定期更新并自動化補丁過程,優(yōu)先補丁已知的已被利用的漏洞
●減少、限制、審計和密切監(jiān)控管理帳戶和權(quán)限
NSA和CISA還建議軟件開發(fā)商也采納安全設(shè)計和默認策略來提高客戶端的安全性,具體緩解措施建議如下:
●減少錯誤配置。從開發(fā)開始就將安全控制嵌入產(chǎn)品架構(gòu),并在整個軟件開發(fā)生命周期(SDLC)中進行。
●消除默認密碼。
●免費為客戶提供高質(zhì)量的,詳細且易于理解的審計日志。
●強制實施多因素認證(MFA)。對特權(quán)用戶強制實施多因素認證(MFA),并將MFA作為默認而非可選功能,理想情況下可以防范網(wǎng)絡(luò)釣魚。
此外,NSA和CISA推薦“針對MITRE ATT&CK for Enterprise框架映射的威脅行為來演練、測試和驗證組織的安全計劃”。
兩個機構(gòu)還建議測試組織現(xiàn)有的安全控制清單,以評估它們對建議中描述的ATT&CK技術(shù)的性能。
參考鏈接:
https://media.defense.gov/2023/Oct/05/2003314578/-1/-1/0/JOINT_CSA_TOP_TEN_MISCONFIGURATIONS_TLP-CLEAR.PDF