NSA和CISA建议通过以下措施在安全建设上针对性地缓解上文中不安全配置带来的风险。这些缓解措施符合 CISA 和美国国家标准与技术研究院 (NIST) 制定的跨部门网络安全绩效目标 (CPG),以及 MITRE ATT&CK 企业级缓解措施和 MITRE D3FEND框架。
跨部门网络安全绩效目标 (CPG)是CISA和NIST基于现有的网络安全框架,以防范最常见的网络安全攻击为目的提出的,建议所有组织实现的最低安全要求。访问https://www.cisa.gov/cpg获取更多详细信息。
针对软件和应用程序默认配置的安全要求
错误配置
|
安全建设措施和建议
|
软件和应用程序的默认配置
|
|
软件和应用程序的默认配置:默认口令
|
|
默认权限配置:不安全的AD域证书服务
|
-
在ADCS服务器上禁用NTLM,参考微软文档:Network security Restrict NTLM in this domain - Windows Security | Microsoft Learn和Network security Restrict NTLM Incoming NTLM traffic - Windows Security
-
禁用UPN映射的SAN,参考微软文档:How to disable the SAN for UPN mapping - Windows Server。使用智能卡身份验证替代UPN映射,智能卡身份验证可以使用 altSecurityIdentities 属性来更安全地将证书显式映射到帐户。
|
默认权限配置:不安全的古早协议和服务
|
|
默认权限配置:不安全的SMB服务
|
|
管理员/用户权限配置不当
错误配置
|
改善用户权限分配不当
|
管理与/用户权限分配不当:
-
有权限的用户过多
-
用户权限提升和非必要使用高权限用户
|
-
使用AAA系统[M1018]以限制用户的权限和可操作的范围,审计和监控未授权的操作行为,在进行权限配置时依据最小化权限原则。
-
定期审核用户帐户并删除那些不活动或不必要的帐户 [CPG 2.D]。限制用户帐户创建其他帐户的权限。
-
限制使用特权帐户执行一般任务,例如访问电子邮件和浏览 Internet [CPG 2.E]、[D3-UAP]。有关详细信息,请参阅 NSA网络安全信息表 (CSI) 捍卫特权和帐户。[37]
-
基于时间限制特权用户的访问,例如:只有在需要执行操作的时候授权特权用户进行操作,根据最小化权限原则(零信任模型)自动化禁用AD域管理员账户。所有访问操作都需要通过OA提交申请,通过审批流程下发授权。这也适用于云环境,云环境可以通过堡垒机等工具实现。
-
限制一个域用户同时属于多个系统的本地管理员组
-
尽可能地使用非管理员权限运行应用程序和服务。
-
为应用程序和服务使用的账户分配仅必要的权限
-
禁用不常用服务并通过ACL进行限制
|
加强内部网络监控
错误配置
|
加强内部网络监控
|
监控范围覆盖
不完整的内部网络监控
|
-
建立应用程序和服务的基线,并定期审核其访问和使用,特别是管理活动 [D3-ANAA]。例如,管理员应定期审核所有 Web 应用程序和服务的访问列表和权限 [CPG 2.O]、[M1047]。寻找可疑帐户,对其进行调查,并酌情删除帐户和凭据,例如前员工的帐户。[39]
-
建立组织中具有代表性的流量活动、网络行为、主机行为、用户行为基线,并监控与基线产生偏差的活动。
-
使用能够检测企业内系统上的特权和服务滥用机会并纠正它们的审核工具[M1047]。
-
建立安全信息和事件管理 (SIEM) 系统,以提供来自网络端点、日志记录系统、端点和检测响应 (EDR) 系统以及入侵检测系统 (IDS) 的日志聚合、关联、查询、可视化和警报 [CPG 2.T],[D3-NTA]。
|
加强网络区域的边界划分
错误配置
|
加强网络区域的边界划分
|
网络边界模糊
|
-
部署下一代防火墙来执行深度数据包过滤、状态检查和应用程序级数据包检查 [D3-NTF]。拒绝或丢弃与网络上允许的特定于应用程序的流量不一致的格式不正确的流量。这种做法限制了参与者滥用允许的应用程序协议的能力。将网络应用程序列入白名单的做法不依赖通用端口作为过滤标准,从而增强了过滤保真度。有关应用程序感知防御的更多信息,请参阅 NSA CSI 网络划分与部署应用级防御。[41]
-
设计网段以隔离关键系统、功能和资源 [CPG 2.F]、[D3-NI]。建立物理和逻辑分离控制,例如基础设施设备上的虚拟局域网 (VLAN) 配置和正确配置的访问控制列表 (ACL) [M1030]。应对这些设备进行基线设置和审核,以防止访问潜在的敏感系统和信息。利用正确配置的非军事区 (DMZ) 来减少对 Internet 的服务暴露。[42]、[43]、[44]
-
使用单独的虚拟私有云 (VPC) 实例以隔离重要的云系统。在可能的情况下,实施虚拟机 (VM) 和网络功能虚拟化 (NFV),以实现虚拟化环境和云数据中心中的网络微分段。将安全虚拟机防火墙配置与宏分段结合使用。
|
加强补丁管理
错误配置
|
加强补丁管理
|
缺少补丁管理,未定期更新补丁
|
-
确保组织实施并维护高效的补丁管理流程,强制使用最新、稳定版本的操作系统、浏览器和软件 [M1051]、[D3-SU]。[45]
-
针对暴露在互联网的应用、办公终端和服务器实施不同的补丁管理机制,优先已知的修复危害性和可利用性较高的漏洞、
-
尽可能地将补丁管理过程自动化,并使用供应商官方提供的补丁
-
如果遇到一些原因有些系统无法及时修复补丁,尽可能将这些系统单独分区并严格进行访问控制。
|
缺少补丁管理,未定期更新补丁:使用不再更新的操作系统和落后的固件
|
|
避免系统访问控制被绕过
错误配置
|
避免系统访问控制被绕过
|
系统访问控制绕过
|
-
限制在多个系统间使用相同认证凭据,以防止认证凭据泄露后攻击者可以横向移动到多个系统中[M1026],[D3-CH]。并且通过工具实现对非标准登录行为的监控。
-
实施有效且常规的补丁管理流程。通过将补丁 KB2871997 应用于 Windows 7 及更高版本来限制本地管理员组中帐户的默认访问权限,从而缓解 PtH 技术 [M1051]、[D3-SU]。[46]
-
启用 PtH 缓解措施以在网络登录时将用户帐户控制 (UAC) 限制应用于本地帐户 [M1052]、[D3-UAP]。
-
限制一个域用户同时属于多个系统的本地管理员组[M1018],[D3-UAP]
-
限制工作站到工作站的通信。所有工作站通信都应通过服务器进行,以防止横向移动 [M1018],[D3-UAP]。
-
仅在需要这些权限的系统上使用特权帐户 [M1018]、[D3-UAP]。考虑为特权帐户使用专用的特权访问工作站,以更好地隔离和保护它们。[37]
|
避免MFA配置错误或使用不当
错误配置
|
避免MFA配置错误或使用不当
|
错误配置智能卡或tokens
|
-
禁用NTLM和其他由于使用密码哈希而容易受到 PtH 影响的旧式身份验证协议[M1032],[D3-MFA]。参考微软文档:Network security Restrict NTLM in this domain - Windows Security | Microsoft Learn和Network security Restrict NTLM Incoming NTLM traffic - Windows Security
-
通过 Windows Hello 企业版或组策略对象 (GPO) 使用内置功能定期重新随机化与需要智能卡的帐户关联的密码哈希。确保哈希值的更改频率至少与组织策略要求更改密码的频率相同 [M1027]、[D3-CRO]。优先升级无法利用此内置功能的任何环境。
|
MFA 方法薄弱或配置错误:缺乏防网络钓鱼的 MFA
|
|
错误配置
|
加强网络共享访问的ACL控制
|
网络共享和服务的 ACL 不足
|
-
对所有网络和共享服务进行访问控制,只有授权过的用户才能访问
-
对重要信息资源应用最小权限原则,以降低未经授权的数据访问和操纵的风险。
-
对文件和目录应用限制性权限,并防止对手修改 ACL [M1022]、[D3-LFP]。
-
对包含敏感私钥的文件和文件夹设置限制性权限,以防止意外访问 [M1022]、[D3-LFP]。
-
启用 Windows 组策略安全设置“不允许匿名枚举安全帐户管理器 (SAM) 帐户和共享”以限制可以枚举网络共享的用户。
|
错误配置
|
消灭弱口令
|
弱口令
|
-
创建密码策略以强制使用无法破解的“强”密码时,请遵循美国国家标准与技术研究所 (NIST) 指南 [M1027]、[D3-SPP]。[29] 考虑使用密码管理器来生成和存储密码。
-
不要跨系统重复使用本地管理员帐户密码。确保密码“强”且唯一 [CPG 2.B]、[M1027]、[D3-SPP]。
-
对私钥使用“强”密码会导致破解资源密集。不要将凭据存储在 Windows 系统的注册表中。建立禁止在文件中存储密码的组织策略。
-
确保 Windows 服务帐户有足够的密码长度(最好是 25 个以上字符)和复杂性要求,并在这些帐户上实施定期过期的密码 [CPG 2.B]、[M1027]、[D3-SPP]。如果可能,请使用托管服务帐户自动管理服务帐户密码。
|
明文密码泄露
|
-
对文件和系统实施审查流程以查找明文帐户凭据。找到凭据后,删除、更改或加密它们 [D3-FE]。使用自动化工具定期扫描服务器计算机,以确定是否存储敏感数据(例如个人身份信息、受保护的健康信息)或凭据。权衡在密码存储和 Web 浏览器中存储凭据的风险。如果系统、软件或 Web 浏览器凭证泄露是一个重大问题,技术控制、策略和用户培训可能会阻止将凭证存储在不适当的位置。
-
使用 国家安全系统政策委员会 (CNSSP)-15和商业国家安全算法套件 (CNSA) 批准的算法存储哈希密码。[50]、[51]
-
考虑使用组托管服务帐户 (gMSA) 或第三方软件来实施安全密码存储应用程序。
|
代码执行管控
错误配置
|
代码执行管控
|
代码执行不受限制
|
-
启用系统设置,阻止运行从不受信任的来源下载的应用程序。[52]
-
使用默认情况下限制程序执行的应用程序控制工具,也称为白名单 [D3-EAL]。确保这些工具检查数字签名和其他关键属性,而不仅仅是依赖文件名,特别是因为恶意软件经常试图伪装成常见的操作系统 (OS) 实用程序 [M1038]。明确允许某些 .exe 文件运行,同时默认阻止所有其他文件。
-
阻止执行已知的易受攻击的驱动程序,攻击者可能会利用这些驱动程序在内核模式下执行代码。在审核模式下验证驱动程序块规则,以确保生产部署之前的稳定性 [D3-OSM]。
-
限制脚本语言以防止恶意活动、审核脚本日志并限制环境中未使用的脚本语言[D3-SEA]。请参阅联合网络安全信息表:保留 PowerShell:使用和拥抱的安全措施。[53]
-
如果可能,请使用只读容器和最小镜像来防止命令运行。
-
定期分析边界和主机级保护,包括垃圾邮件过滤功能,以确保其在阻止恶意软件的传递和执行方面持续有效[D3-MA]。评估 HTML 应用程序 (HTA) 文件是否在您的环境中用于商业目的;如果未使用 HTA,请将打开它们的默认程序从 mshta.exe 重新映射到 notepad.exe。
|
NSA 和 CISA 建议软件制造商实施表 11 中的建议,以减少本通报中确定的错误配置的发生率。这些缓解措施与联合指南《改变网络安全风险的平衡:设计和默认安全的原则和方法》中提供的策略相一致。NSA 和 CISA 强烈鼓励软件制造商应用这些建议,以确保其产品“开箱即用”安全,并且不需要客户花费额外的资源进行配置更改、执行监控和进行例行更新以确保其系统安全。[1 ]
错误配置
|
软件开发商
|
软件和应用程序的默认配置
|
|
软件和应用程序的默认配置:默认密码
|
|
软件和应用程序的默认配置:默认服务权限配置
|
|
管理与/用户权限分配不当:
-
有权限的用户过多
-
用户权限提升和非必要使用高权限用户
|
|
监控范围覆盖不完整的内部网络监控
|
|
网络区域划分边界模糊
|
|
补丁管理不善:缺乏定期补丁
|
-
遵循安全编码实践 [SSDF PW 5.1]。尽可能使用内存安全的编程语言、参数化查询和 Web 模板语言。
-
根据同行编码标准进行代码审查 [SSDF PW 7.2、RV 1.2],检查后门、恶意内容和逻辑缺陷。
-
测试代码以识别漏洞并验证是否符合安全要求 [SSDF PW 8.2]
|
补丁管理不善:使用不受支持的操作系统和过时的固件
|
|
绕过系统访问控制
|
|
MFA 方法薄弱或配置错误:智能卡或令牌配置错误
|
|
MFA 方法薄弱或配置错误:缺乏防网络钓鱼的 MFA
|
|
网络共享和服务的 ACL 不足
|
|
凭证管理状况不佳:密码容易被破解
|
|
凭证卫生状况不佳:明文密码泄露
|
|
不受限制的代码执行
|
|
除了应用缓解措施之外,NSA 和 CISA 建议针对本文中映射到 MITRE ATT&CK for Enterprise 框架的威胁行为来演练、测试和验证组织的安全计划。NSA 和 CISA 建议测试您现有的安全控制清单,以评估它们针对本文中描述的 ATT&CK 技术的防护水平。
如何验证?
-
在ATT&CK的技术分类中选择一项
-
找到你的企业中使用的防护技术与该技术相对应的一项
-
测试你的企业中使用的防护技术是否能够检测和防护这项ATT&CK中的技术
-
对上面使用到的防护技术的测试结果进行评估
-
重复这个过程,最终总结出提升您的企业的技术、人员能力的计划
以上就是本文的全部内容,感谢浏览!点赞,转发,在看,点一点!
![NSA和CISA红蓝队共享的网络安全误配置TOP10 (下) NSA和CISA红蓝队共享的网络安全误配置TOP10 (下)]()
原文始发于微信公众号(Desync InfoSec):NSA和CISA红蓝队共享的网络安全误配置TOP10 (下)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/2122764.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论