美国国家安全局(NSA)和网络安全与基础设施安全局(CISA)发布联合网络安全咨询报告,揭示大型私营企业与公共机构中最常见的十大网络安全错误配置。
报告旨在详细阐述在许多大型组织中发现的弱点,说明软件制造商合理应用设计安全原则的必要性。
这份错误配置盘点由CISA和NSA各自的红队和蓝队评估汇编而成,其中还包括了政府机构和私营企业事件响应团队的一些发现。
话不多说,此处即为读者奉上已确定的常见网络错误配置:
2、用户/管理员权限不当隔离
3、内部网络监控不足
4、缺乏网络分隔
5、补丁管理不善
6、绕过系统访问控制
7、多因素身份验证(MFA)方法不强或错误配置
8、网络共享和服务的访问控制列表(ACL)不足
9、有效凭证不足
10、代码执行无限制
毋庸置疑,这样的问题在许多组织中都存在,包括私营企业和公共部门。
仅以位列第一的错误配置(“软件和应用程序默认配置”)为例,问题显然非常严重。
所有设备(从网络接入设备、打印机、监控摄像头、网络语音电话到一系列物联网小装置)都普遍依赖默认登录凭证,恶意攻击者可以利用这些默认登录凭证获取未授权访问,还可能通过中转点在组织的基础设施内部横向移动,获取敏感文档。
报告称,错误配置榜单表明,需要经过培训且资金充裕的网络安全团队,针对这些弱点实现已知缓解措施,并减少恶意黑客利用错误配置的机会。
报告提出的建议包括:
• 禁用未使用服务并实施访问控制。
• 定期更新并自动化修复,优先修复已知遭利用漏洞。
• 减少、限制、审计并监测管理员账户和权限。
• 此外,报告中还呼吁软件制造商通过以下方式降低错误配置的普遍性:
• 从开发伊始就在产品架构中嵌入安全控制,并在整个软件开发生命周期(SDLC)中贯彻执行。
• 清除默认密码。
• 免费为客户提供高质量的审计日志。
• 特权用户强制采用多因素身份验证(MFA),将MFA作为默认而非选择加入功能。
想象一下,如果进入公司的所有硬件和软件都“开箱即启用”了安全功能,并提供了明确需要时如何“放松”安全(同时了解业务风险)的指南而不是如何加强安全的普通小册子,那么组织的安全准备会好上多少。
安全加强不是什么高精尖科学。我们需要做的就是审慎对待组织的安全,重视为公司开发软件和硬件的制造商,让他们在考虑这些问题时提高一下自己的标准。
想要更好地应对这些网络安全错误配置,不妨仔细查阅这份长达44页的联合咨询报告,其中给出了许多不错的建议。
NSA与CISA联合网络安全咨询
https://media.defense.gov/2023/Oct/05/2003314578/-1/-1/0/JOINT_CSA_TOP_TEN_MISCONFIGURATIONS_TLP-CLEAR.PDF
* 本文为nana编译,原文地址:https://www.tripwire.com/state-of-security/revealed-top-10-cybersecurity-misconfigurations-determined-cisa-and-nsa
注:图片均来源于网络,无法联系到版权持有者。如有侵权,请与后台联系,做删除处理。
更多推荐
原文始发于微信公众号(数世咨询):NSA与CISA共同揭秘:10个常见网络安全错误配置
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论