当地时间10月5日,美国国家安全局(NSA)和网络安全与基础设施安全局(CISA)联合发布网络安全咨询(CSA),重点介绍大型组织网络中最常见的十大网络安全错误配置。该44页的CSA详细介绍了网络攻击者可以用来破坏这些网络的策略、技术和程序(TTP),以及防御这种威胁的缓解措施。该报告包括来自NSA和CISA红蓝团队评估的信息,以及NSA和CISA威胁狩猎和事件响应团队的活动。这些团队评估了国防部(DoD)、联邦民事行政部门(FCEB)、州、地方、部落和领地(SLTT)政府以及私营部门的许多网络的安全态势。正如CSA中所指出的,这些最常见的错误配置说明了几个大型组织中系统性弱点的趋势,以及软件制造商采用设计安全原则来降低妥协风险的重要性。CSA中提到的一些错误配置包括软件和应用程序的默认配置、多因素身份验证(MFA)方法薄弱或配置错误以及不受限制的代码执行。NSA和CISA鼓励网络防御者和软件制造商实施本通报“缓解措施”部分中的建议,以降低妥协风险。这些机构还建议网络所有者和运营商检查其网络是否存在类似的错误配置,即使在运行公告中未特别提及的其他软件时也是如此。
CISA在其发布公告中指出,破坏性网络入侵非常常见,对各个部门的公共和私人组织造成损害。虽然其中一些入侵使用新颖的方法来获取访问权限或跨网络移动,但许多入侵都利用常见的错误配置。通过确保强大的配置,可以显着减少网络攻击的发生率和影响。 在过去的几年中,CISA和NSA的红蓝团队操作员对组织进行了评估,以确定恶意行为者如何获得访问权限、横向移动以及针对敏感系统或信息。这些评估显示了常见的错误配置,例如默认凭据、服务权限以及软件和应用程序的配置;用户/管理权限的不正确分离;内网监控不足;不良的补丁管理使每个美国人都面临风险。 今天发布的报告《NSA和CISA红蓝队分享十大网络安全错误配置》为减少这些错误配置提供了明确的指导。虽然企业可以而且必须采取措施来识别和解决这些错误配置,但CISA所知,可扩展的进步需要软件制造商采取紧急行动,特别是采用安全设计实践,其中软件从开始到生命结束都是安全设计的,并通过所有权改善客户的安全结果。每个软件制造商都应紧急采用以下做法,以减少设计中常见错误配置的发生率,并且每个客户都应要求每个供应商采用这些做法。国家安全局下属网络安全机构负责人罗布·乔伊斯号召相关人员学习NSA红蓝团队合作的经验,对抗不良行为者利用这些漏洞并危害网络。
该最新的CSA中列出了十大典范错误配置,说明了两个关键问题。
NSA和CISA鼓励网络防御者实施建议的缓解措施,以降低攻击者利用这些常见错误配置的风险。具有这种效果的缓解措施包括:
除了应用概述的缓解措施之外,NSA和CISA在通报中还建议“针对映射到MITRE ATT&CK企业框架的威胁行为来锻炼、测试和验证组织的安全计划”。这两个联邦机构还建议测试现有的安全控制清单,以根据通报中描述的 ATT&CK技术评估其性能。
参考资源
1、https://www.bleepingcomputer.com/news/security/nsa-and-cisa-reveal-top-10-cybersecurity-misconfigurations/
2、https://www.cisa.gov/news-events/news/joint-advisory-top-cyber-misconfigurations-highlights-urgency-software-manufacturers-incorporate
3、https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-278a