虽然网络安全新闻头条经常被最新的零日漏洞或供应商软件/产品或开源软件库中的显著漏洞所占据,但现实情况是,许多重大数据泄露事件已经并将继续由配置错误导致。
为强调此问题的严重性,美国国家安全局 (NSA) 和网络安全与基础设施安全局 (CISA) 最近发布了“网络安全十大配置错误”,这些配置错误是通过广泛的红蓝队评估、威胁搜寻以及事件响应团队活动发现的。
如果你像大多数网络安全专业人员一样,那么其中许多内容应该都不会让你感到惊讶,甚至可能看起来“很简单”,但俗话说,正因为事情简单,并不意味着做起来容易,在现代复杂的数字环境中,大规模地解决这些基本问题始终是一项艰巨的任务。
该出版物强调,配置错误在大型企业中非常普遍,即使是在那些具备成熟安全态势的企业中也是如此,并强调软件供应商需要采取安全设计或默认安全的方法,这也是CISA一直在倡导的,并在2024年初就此主题发布了指南。
话虽如此,让我们深入了解CISA列出的十大配置错误。此外,正如该出版物所指出的,这些配置错误并非按照优先级或重要性排序,因为每一个配置错误本身都可能存在问题,并为攻击者提供利用的途径。
软件和应用程序的默认配置
人们可能认为,到了2024年,我们不会再讨论软件默认配置不安全的风险,但事实并非如此。默认凭据、权限和配置等问题仍然是常见的被利用的攻击途径。
例如,在广泛使用的商用现货软件和产品中保留默认凭据,可能会导致恶意行为者识别出这些默认凭据,并利用系统和环境(这些系统和环境中的凭据未更改)进行攻击。
这些默认设置通常广为人知,甚至是最不熟练的恶意行为者也能轻松找到,因为制造商经常会公布这些设置。这可能会让攻击者识别出凭据,更改管理访问权限以控制某些内容,并从被攻破的设备转向其他网络系统。
除了设备上的默认凭据外,CISA还指出,服务通常默认具有过于宽松的访问控制和脆弱的设置。他们特别提到了诸如不安全的Active Directory证书服务、旧版协议/服务以及不安全的服务器消息块 (SMB) 服务等问题。
如果微软在列出的项目中占据很大篇幅,那是因为它在评估团队在整个活动过程中遇到的产品中最为常见,当然,除了默认凭据之外,微软在CISA已知被利用漏洞 (KEV) 目录中也占据首位。有时候,名列前茅并不是那么光鲜亮丽。
用户/管理员权限划分不当
尽管零信任等概念(植根于最小权限访问控制等理念)在行业内炒得火热,但这种弱点仍然普遍存在。CISA的出版物提到了账户权限过大、服务账户权限提升以及非必要使用高级账户等问题。
在IT或网络安全领域工作过一段时间的人都知道,许多问题都可以追溯到人类行为以及在复杂环境中工作的普遍需求。随着人员在不同的角色和任务之间轮换,账户往往会累积权限和特权,而这些权限和特权很少得到清理。
《Verizon数据泄露调查报告》等来源年复一年地表明,凭据泄露仍是大多数数据泄露事件的关键因素,这些权限过大的账户就像是在等待恶意行为者滥用的丰富目标。
内部网络监控不足
如果一棵树在森林里倒下,而周围没有人,那它会发出声音吗?同样地,如果你的网络遭到破坏,而你缺乏可见性、意识和相关警报,那么你是否能够采取任何行动呢?不能,都不能。
CISA的出版物表明,企业需要收集并监控足够的流量,以确保能够检测和响应异常行为。如该出版物所述,评估和威胁搜寻团队经常会遇到网络系统和基于主机的日志记录不足的情况,或者虽然有记录但配置不当且未实际监控,因此无法在潜在事件发生时做出响应,这并不罕见。
这让恶意活动肆无忌惮地进行,并延长了攻击者在受害者系统中的停留时间而不被发现。为了加强网络监控和防护,该出版物建议读者查阅CISA的文件《CISA红队分享改进网络监控和防护的关键发现》。
缺乏网络分段
另一个出现的基本安全控制是分段网络的需求,这一做法再次与更广泛的零信任推动相关联。如果不对网络进行分段,企业就无法在不同的系统、环境和数据类型之间建立安全边界。
这让恶意行为者能够攻破单个系统,并在不同系统之间自由移动,而不会遇到阻碍其恶意活动的阻力和额外的安全控制及边界。该出版物特别指出了IT和OT网络之间缺乏分段所带来的挑战,这使OT网络面临风险,对工业控制系统等环境中的安全和安保产生实际影响。
补丁管理不善
打补丁是网络安全中每个人都喜欢的活动,对吧?这份十大配置错误出版物指出,未能应用最新的补丁可能会使系统因恶意行为者利用已知漏洞而面临被攻击的风险。
此处的挑战在于,即使是执行定期补丁管理的企业,Cyentia研究所等来源也指出,企业的修复能力(即通过补丁等方式修复漏洞的能力)欠佳。
企业平均每月只能修复每10个新漏洞中的1个,这使它们始终处于漏洞积压持续指数级增长的困境,也解释了为什么Ponemon和Rezilion等机构发现企业的漏洞积压从数十万到数百万不等。
再加上Qualys的发现,即攻击者利用漏洞的速度比企业修复漏洞的速度快约30%,这无疑是一场灾难——记住,攻击者只需要成功一次。
提到的问题包括缺乏定期补丁管理以及使用不受支持的操作系统和固件,这意味着这些项目根本没有可用的补丁,也不再受供应商支持。我个人还会补充一点,即企业需要确保他们正在使用安全的开源组件和最新版本,这也是许多企业所挣扎的地方,也是导致软件供应链攻击增加的原因之一。
系统访问控制被绕过
我们已经多次讨论了访问控制的需求,但在某些情况下,恶意行为者可以绕过系统访问控制。该指南特别指出了诸如收集用于身份验证信息的哈希值(如传递哈希(PtH)攻击),然后使用该信息以未经授权的方式提升权限和访问系统等示例。
多因素认证(MFA)方法配置不当或薄弱
在这个配置错误中,我们再次看到CISA和NSA讨论了PtH类型攻击的风险。他们指出,尽管许多政府/国防部网络使用了智能卡和令牌等多因素认证(MFA),但账户仍然存在密码哈希,如果MFA未强制执行或配置不当,恶意行为者可以使用哈希值获得未经授权的访问权限。这个问题当然也可能存在于可能使用Yubikey或数字形式因素和身份验证工具的商业系统中。
缺乏防网络钓鱼的多因素认证(MFA)
尽管业界已经推动多因素认证(MFA)相当长一段时间,但我们面临的严峻现实是,并非所有类型的MFA都是等同的。这个配置错误和弱点指出了存在不具备“防网络钓鱼”能力的MFA类型,这意味着它们容易受到SIM卡交换等攻击。CISA的《实施防网络钓鱼的多因素认证》概况介绍等资源可以帮助管理员找到正确的方向。
网络共享和服务访问控制列表不足
不言而喻,在大多数情况下,数据是恶意行为者主要追求的目标,因此,这份列表中出现网络共享和服务保护不足的情况也就不足为奇了。该指南指出,攻击者正在使用注释、开源工具和自定义恶意软件来识别和利用暴露和不安全的数据存储。
当然,我们在本地数据存储和服务中看到了这种情况的发生,并且随着云计算的采用以及用户配置错误的存储服务的普遍存在,再加上廉价且广泛的云存储,这一趋势只会加速发展,让攻击者能够轻易窃取大量数据,无论是从数据规模还是受影响个人数量来看,都令人震惊。
该指南还强调,攻击者不仅可以窃取数据,还可以将其用于其他恶意目的,如收集未来攻击所需的情报、敲诈勒索、识别可被滥用的凭据等。
凭据管理不善
凭据泄露仍然是主要的攻击途径,Verizon的《数据泄露调查报告》(DBIR)显示,超过一半的攻击都涉及凭据泄露。该指南特别指出了诸如易破解的密码或明文密码泄露等问题,这些问题都可能被攻击者利用来破坏环境和企业。
我想补充的是,随着云计算的兴起以及对声明式基础设施即代码和机器身份识别与认证的推动,我们看到了对机密信息(通常包括凭据)更加爆炸性的滥用,这在安全供应商GitGuardian的《机密信息泛滥状况报告》等来源中得到了很好的体现。
这也是为什么我们继续看到供应商在其平台和产品中实现机密信息管理功能的原因。这甚至继续影响着最具数字能力的企业,比如三星,其源代码泄露中暴露了6000多个密钥。
代码执行不受限制
这一点很直接,因为攻击者希望在系统和网络上运行任意的恶意负载。未经验证和未经授权的程序会带来重大风险,因为它们可以在系统或终端上执行恶意代码,导致系统被破坏,并促进恶意软件在企业网络中的横向移动或传播。
该指南提到,这种代码也可以采用多种形式,如可执行文件、动态链接库、HTML应用程序,甚至是办公软件应用程序(如宏)中的脚本。
