NSA和CISA建议通过以下措施在安全建设上针对性地缓解上文中不安全配置带来的风险。这些缓解措施符合 CISA 和美国国家标准与技术研究院 (NIST) 制定的跨部门网络安全绩效目标 (CPG),以及 MITRE ATT&CK 企业级缓解措施和 MITRE D3FEND框架。
跨部门网络安全绩效目标 (CPG)是CISA和NIST基于现有的网络安全框架,以防范最常见的网络安全攻击为目的提出的,建议所有组织实现的最低安全要求。访问https://www.cisa.gov/cpg获取更多详细信息。
针对软件和应用程序默认配置的安全要求
安全建设措施和建议 |
|
软件和应用程序的默认配置 |
|
软件和应用程序的默认配置:默认口令 |
|
默认权限配置:不安全的AD域证书服务 |
|
默认权限配置:不安全的古早协议和服务 |
|
默认权限配置:不安全的SMB服务 |
|
管理员/用户权限配置不当
错误配置 |
改善用户权限分配不当 |
管理与/用户权限分配不当:
|
|
加强内部网络监控
错误配置 |
加强内部网络监控 |
监控范围覆盖 不完整的内部网络监控 |
|
加强网络区域的边界划分
错误配置 |
加强网络区域的边界划分 |
网络边界模糊 |
|
加强补丁管理
错误配置 |
加强补丁管理 |
缺少补丁管理,未定期更新补丁 |
|
缺少补丁管理,未定期更新补丁:使用不再更新的操作系统和落后的固件 |
|
避免系统访问控制被绕过
错误配置 |
避免系统访问控制被绕过 |
系统访问控制绕过 |
|
避免MFA配置错误或使用不当
错误配置 |
避免MFA配置错误或使用不当 |
错误配置智能卡或tokens |
|
MFA 方法薄弱或配置错误:缺乏防网络钓鱼的 MFA |
|
加强网络共享访问的ACL控制
错误配置 |
加强网络共享访问的ACL控制 |
网络共享和服务的 ACL 不足 |
|
消灭弱口令
错误配置 |
消灭弱口令 |
弱口令 |
|
明文密码泄露 |
|
代码执行管控
错误配置 |
代码执行管控 |
代码执行不受限制 |
|
NSA 和 CISA 建议软件制造商实施表 11 中的建议,以减少本通报中确定的错误配置的发生率。这些缓解措施与联合指南《改变网络安全风险的平衡:设计和默认安全的原则和方法》中提供的策略相一致。NSA 和 CISA 强烈鼓励软件制造商应用这些建议,以确保其产品“开箱即用”安全,并且不需要客户花费额外的资源进行配置更改、执行监控和进行例行更新以确保其系统安全。[1 ]
错误配置 |
软件开发商 |
软件和应用程序的默认配置 |
|
软件和应用程序的默认配置:默认密码 |
|
软件和应用程序的默认配置:默认服务权限配置 |
|
管理与/用户权限分配不当:
|
|
监控范围覆盖不完整的内部网络监控 |
|
网络区域划分边界模糊 |
|
补丁管理不善:缺乏定期补丁 |
|
补丁管理不善:使用不受支持的操作系统和过时的固件 |
|
绕过系统访问控制 |
|
MFA 方法薄弱或配置错误:智能卡或令牌配置错误 |
|
MFA 方法薄弱或配置错误:缺乏防网络钓鱼的 MFA |
|
网络共享和服务的 ACL 不足 |
|
凭证管理状况不佳:密码容易被破解 |
|
凭证卫生状况不佳:明文密码泄露 |
|
不受限制的代码执行 |
|
除了应用缓解措施之外,NSA 和 CISA 建议针对本文中映射到 MITRE ATT&CK for Enterprise 框架的威胁行为来演练、测试和验证组织的安全计划。NSA 和 CISA 建议测试您现有的安全控制清单,以评估它们针对本文中描述的 ATT&CK 技术的防护水平。
如何验证?
-
在ATT&CK的技术分类中选择一项
-
找到你的企业中使用的防护技术与该技术相对应的一项
-
测试你的企业中使用的防护技术是否能够检测和防护这项ATT&CK中的技术
-
对上面使用到的防护技术的测试结果进行评估
-
重复这个过程,最终总结出提升您的企业的技术、人员能力的计划
以上就是本文的全部内容,感谢浏览!点赞,转发,在看,点一点!
原文始发于微信公众号(Desync InfoSec):NSA和CISA红蓝队共享的网络安全误配置TOP10 (下)
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论