美国国家安全局(NSA)和网络安全与基础设施安全局(CISA)在本周五的报告中公布了其红队和蓝队在大型组织网络中发现的十大最常见网络安全误配置。NSA和CISA在安全建议中详细说明了攻击者经常使用哪些策略、技术和程序(TTPs)来成功利用这些误配置,实现各种目标,包括获得访问权限、横向移动和定位敏感信息或系统等。
报告分析的数据来自两家机构的红队和蓝队在对多个美国政府部门进行的网络安全评估和事件响应活动,包括来自国防部(DoD)、联邦民用执行部门(FCEB)、州、地方、部落和领土(SLTT)政府以及私营企业网络的数据。
评估显示,一些最常见的错误配置可将整个国家的人民置于网络安全风险之中,例如软件和应用程序的默认凭证、服务权限和配置、用户/管理员权限的不当分离、内部网络监控不足、糟糕的补丁管理等。
报告公布的十大最常见网络安全错误配置包括:
- 软件和应用程序的默认配置
- 用户/管理员权限的不当分离
- 内网监控不足
- 缺乏网络分段
- 糟糕的补丁管理
- 系统访问控制的绕过
- 弱或误配置的多因素认证(MFA)方法
- 网络共享和服务的访问控制列表(ACLs)不足
- 糟糕的凭证卫生
- 无限制的代码执行
上述错误配置是许多大型企业网络中最常见的系统性漏洞和攻击风险,凸显了软件开发商采用和遵循安全设计原则的重要性和紧迫性。
报告建议软件开发商停止使用默认密码,并确保单个安全控制点被入侵后不会危及整个系统的完整性。此外,采取积极措施消除整个漏洞类别也至关重要,例如使用内存安全的编码语言或实施参数化查询。
最后,报告建议强制实施特权用户进行多因素认证(MFA),并将MFA设为默认措施,使其成为标准实践而非可选项。
NSA和CISA还建议网络防御者实施推荐的缓解措施,以减少攻击者利用这些常见误配置的风险。这些缓解措施包括:
- 消除默认凭证并加固配置
- 停用未使用的服务并实施严格的访问控制
- 确保定期更新并自动化补丁过程,优先补丁已知的已被利用的漏洞
- 减少、限制、审计和密切监控管理帐户和权限
NSA和CISA还建议软件开发商也采纳安全设计和默认策略来提高客户端的安全性,具体缓解措施建议如下:
- 减少错误配置。从开发开始就将安全控制嵌入产品架构,并在整个软件开发生命周期(SDLC)中进行。
- 消除默认密码。
- 免费为客户提供高质量的,详细且易于理解的审计日志。
- 强制实施多因素认证(MFA)。对特权用户强制实施多因素认证(MFA),并将MFA作为默认而非可选功能,理想情况下可以防范网络钓鱼。
此外,NSA和CISA推荐“针对MITRE ATT&CK for Enterprise框架映射的威胁行为来演练、测试和验证组织的安全计划”。
两个机构还建议测试组织现有的安全控制清单,以评估它们对建议中描述的ATT&CK技术的性能。