增强网络弹性：CISA红队对美国关键基础设施部门组织的评估见解

增强网络弹性：CISA红队对美国关键基础设施部门组织的评估见解

产品编号：AA24-326A         2024年11月21日       已脱敏

编译 老烦的草根安全观

2025年1月31日

目录

执行摘要2

介绍3

技术细节4

第一阶段：红队网络威胁活动4

概述4

初始访问5

Linux基础架构沦陷7

Windows域控制器泄露8

利用后活动：获得SBS的访问权限10

指挥与控制14

防御规避和受害者网络防御活动15

第二阶段：红队可衡量事件活动16

经验教训和主要发现21

经验教训：技术控制不足21

经验教训：持续培训、支持和资源22

经验教训：商业风险23

其他发现24

值得注意的优势25

缓解措施26

网络防御26

软件制造商28

验证安全控制29

资源30

附录：MITRE ATT&CK战术和技术31

执行摘要

网络安全和基础设施安全局（CISA）应一家关键基础设施组织的要求进行了红队评估（RTA）。在RTAs期间，CISA的红队模拟真实世界的恶意网络操作，以评估组织的网络安全检测和响应能力。

在与被评估组织的协调下，CISA发布了这份网络安全咨询，详细说明了红队的活动，包括他们的战术、技术和程序（TTP）以及相关的网络防御活动。此外，该咨询报告还包含了从评估中吸取的经验教训和关键发现，为网络防御者和软件制造商提供建议，以改善其组织和客户的网络安全状况。

在此评估中，红队（也称为“团队”）通过第三方之前的安全评估留下的Web Shell获得了初始访问权限。红队继续穿过非军事区（DMZ）并进入网络，以完全破坏该组织的域和几个敏感的业务系统（SBS）目标。被评估的组织发现了红队最初活动的迹象，但未能及时应对通过其非军事区（DMZ）的恶意网络流量，也未能对红队在其组织的Windows环境中的存在提出太多质疑。

红队能够破坏组织的领域和SBS，因为它缺乏足够的控制来检测和应对他们的活动。红队的发现为网络防御者和软件制造商提供了如何应对和降低风险的经验教训。

经验教训：被评估的组织没有足够的技术控制来预防和检测恶意活动。该组织过于依赖基于主机的端点检测和响应（EDR）解决方案，没有实施足够的网络层保护。

经验教训：该组织的员工需要持续的培训、支持和资源来实施安全的软件配置和检测恶意活动。工作人员需要不断提高他们的技术能力，获得有关其系统的更多机构知识，并确保管理层为他们提供足够的资源，使他们有条件成功保护自己的网络。

经验教训：该组织的领导层将该组织已知攻击媒介的业务风险降至最低。领导层降低了他们自己的网络安全团队识别出的漏洞的处理优先级，并在基于风险的决策中误判了漏洞利用的潜在影响和可能性。

为了降低类似恶意网络活动的风险，CISA鼓励关键基础设施组织应用本咨询中“缓解措施”部分的建议，以确保安全流程和程序是最新的、有效的，并能够及时检测和缓解恶意活动。

本文档说明了关键基础设施所有者和运营商承担的补偿不安全软件和硬件的巨大负担和成本。业主和运营商应保持必要的复杂网络防御技能的期望会带来过度的风险。技术制造商必须承担产品安全责任。意识到不安全的软件会导致这些已识别的问题，CISA敦促软件制造商接受“设计安全”原则，并实施本咨询中“缓解措施”部分的建议，包括以下列出的建议：

将安全性嵌入到整个软件开发生命周期（SDLC）的产品架构中。

消除默认密码。

为特权用户授权MFA，理想的抗钓鱼MFA，并将MFA设置为默认功能，而不是选择加入功能。

原文始发于微信公众号（老烦的草根安全观）：增强网络弹性：CISA红队对美国关键基础设施部门组织的评估见解