美国国家安全局 (NSA) 和网络安全与基础设施安全局 (CISA) 在5日公布了其红蓝团队在大型组织网络中发现的十大最常见的网络安全错误配置。
通报还详细介绍了威胁行为者使用哪些策略、技术和程序 (TTP) 来成功利用这些错误配置来实现各种目标,包括获取访问权限、横向移动以及瞄准敏感信息或系统。
报告中包含的信息是由两个机构的红色和蓝色团队在评估和事件响应活动期间收集的。
美国国家安全局表示:“这些团队评估了国防部 (DoD)、联邦民事行政部门 (FCEB)、州、地方、部落和领地 (SLTT) 政府以及私营部门的许多网络的安全态势。” 。
这些评估表明,常见的错误配置,例如默认凭据、服务权限以及软件和应用程序的配置;用户/管理权限的不当分离;内部网络监控不足;补丁管理不善,使每个美国人都面临风险。
在红蓝团队评估期间以及 NSA 和 CISA Hunt 和事件响应团队发现的10种最流行的网络配置包括:
1.软件和应用程序的默认配置
2.用户/管理员权限分离不当
3.内网监控不足
4.缺乏网络分段
5.补丁管理不善
6.绕过系统访问控制
7.多重身份验证 (MFA) 方法薄弱或配置错误
8.网络共享和服务的访问控制列表 (ACL) 不足
9.凭证安全状况不佳
10.不受限制的代码执行
正如联合通报中所述,这些常见的错误配置描述了众多大型组织网络内的系统漏洞。
这强调了软件制造商迫切需要采用设计安全原则,从而降低妥协风险。
软件制造商要采取一系列积极主动的做法,旨在有效解决这些错误配置并减轻网络防御者面临的挑战。
其中包括从开发的初始阶段到整个软件开发生命周期将安全控制集成到产品架构中。
此外,制造商应停止使用默认密码,并确保损害单个安全控制不会危及整个系统的完整性。采取主动措施消除整类漏洞(例如利用内存安全编码语言或实施参数化查询)也至关重要。
必须为特权用户强制执行多重身份验证 (MFA),并将 MFA 设置为默认功能,使其成为标准做法而不是可选选择。
NSA 和 CISA 还鼓励网络防御者实施建议的缓解措施,以降低攻击者利用这些常见错误配置的风险。
具有这种效果的缓解措施包括:
※ 消除默认凭据和强化配置;
※ 停用未使用的服务并实施严格的访问控制;
※ 确保定期更新并自动化修补过程,优先修补已被利用的已知漏洞;
※ 减少、限制、审计和密切监控管理帐户和权限。
除了应用大纲缓解措施之外,NSA 和 CISA 在今天的通报中还建议“针对映射到 MITRE ATT&CK 企业框架的威胁行为来锻炼、测试和验证组织的安全计划”。
这两个联邦机构还建议测试现有的安全控制清单,以根据通报中描述的 ATT&CK 技术评估其性能。