| 笔者: |
国际注册信息系统审计师(CISA) 软考系统分析师 软件工程硕士 |
| 一、公告的重点内容 |
1、保持定期备份,并将备份与源系统分离独立存储,且存储位置应能防止有可能被攻陷的网络设备访问而导致备份被篡改或加密 [CPG 2.R]。
2、对操作系统、软件和固件的已知漏洞及时应用安全更新,且在基于风险评估得出的时间范围内实施。[CPG 2.F]。
3、重点关注7个CVE:CVE-2018-13379、CVE-2010-2861、CVE-2009-3960、CVE-2021-34473、CVE-2021-34523、CVE-2021-31207。
4、对网络进行分段,以限制从最初沦陷的设备到同一组织内其他网络设备的横向移动行为。[CPG 2.F]。
5、所有特权账户和电子邮件服务账户的登录和使用,应使用抗钓鱼的多因素认证(MFA)。
大多数转载摘录的媒体对以上首要措施均没有提到的是,原文的1、2、4三项后面带有的 CPG 是引用到美国网络安全和基础设施安全局发布的 Cybersecurity Performance Goals (CPGs) 网络安全绩效目标[2]。
CPGs 是性质上属于自愿执行的网络安全实践指南,其包含的安保措施均具有高影响程度。这些措施对所有规模的企业和关键基础设施所有者进行了衡量,概括出为保护自己免受网络威胁而能采取的最高优先级的安全基线。
CPGs 的具体内容和 CIS Critical Security Controls 以及我国网络安全等级保护标准的要求相类似,比如第1条就是资产梳理,第2条是组织内网络安全领导职责等,每一条都简要说明了执行效果、对应到 MITRE ATT&CK 框架[3]条款的攻击或风险、适用的范围和建议的具体行动。
CPGs 特点是比较简单直接,避免了网络安全框架或标准因为必须长篇大论而导致非专业人员难看懂的问题。
5项首要措施中,除第3项重点关注7个被利用的老旧但高风险的 CVE 漏洞之外,其他4项实质都是通用的网络安全要求,而且:
都是在等保要求的范围内。
笔者简单地找了一下配对关系:
|
|
|
|
|
|
|
11.2 Perform Automated Backups 11.4 Establish and Maintain an Isolated Instance of Recovery Data |
|
|
|
Control 07 7.3 Perform Automated Operating System Patch Management 7.4 Perform Automated Application Patch Management |
|
|
|
|
|
|
|
Control 06 6.5 Require MFA for Administrative Access |
从上表可见,只有多因素身份认证是等级保护第三级的要求,起点较高,其他三项都是从等保第一级就开始提出的要求。
提醒一下读者,想了解 CIS 关键安全控制措施的具体内容,可以参考本人较早前的翻译:
| 二、7个CVE的启示 |
5项首要措施中,对7个被利用的 CVE 的关注放在中间第3项。值得注意的是这些 CVE 都不是新东西,甚至有2009年也就是十六年前的。
这就指向一件事:历史遗留系统的漏洞如何补的问题。这也是在做等保测评时经常需要面对的情况。
实际情况中,由于存在使用需求,不少企业组织会选择继续使用历史遗留系统,而且抱有侥幸心理:系统部署在内网,而且是在核心区内受到保护,所有访问都经过了必要的过滤,没问题的(大误)。
当然不排除有些企业组织没对历史遗留系统做防护的,甚至资产清单都没整理出来自己还有在用的。
但是,严肃地说,不再能获得补丁更新的历史遗留系统,必须关停。对于不了解网络安全攻防实践的企业组织相关人员来说,以为实施了安全防护和访问过滤就能万无一失,其实是一种迷信心态,且很大程度上是被厂商错误灌输的。
尤其是对照最近疑似事件的情况,颇为讽刺。
所以,不要迷信厂商提供的解决方案,任何解决方案都不是万能的,需要在良好的实践下才能发挥作用,而事实上,即使是厂商自己都不一定能实践好。
| 三、关于MFA多因素身份验证 |
5项措施的最后一项是建议启用MFA。
启用 MFA 并不在 CPGs 里面,在等保标准中也是第三级才要求。这些情况使得启用 MFA 显得有点高远,会导致大多数做等保二级的企业组织会觉得我这没必要折腾 MFA 这事。
但从技术上,一次性密码(OTP)技术作为最常用也最有效的 MFA 身份验证方式,已经非常成熟和容易实施。尤其是最常见、基于 RFC 6238 的 TOTP 算法[4],有大量的开源实现代码可以参考借鉴。
而且,都2025年了,新建系统如果还不把 MFA 作为身份验证的强制要求,那这系统在安全方面可以说是完全没有做到 Secure By Design。对于已建成在用的系统,改造加入 MFA 身份验证也应排上日程及时实施了。
~ 完 ~
[1] #StopRansomware: Ghost (Cring) Ransomware
https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-050a?is=0b11fa4fe4fdce763428fdf837117e42c6119169786ac2eb34d409249f29257e
[2] Cybersecurity Performance Goals (CPGs)
https://www.cisa.gov/cybersecurity-performance-goals-cpgs
[3] MITRE ATT&CK®
https://attack.mitre.org/
[4] TOTP: Time-Based One-Time Password Algorithm
https://datatracker.ietf.org/doc/html/rfc6238
点赞和转发都是免费的↓
原文始发于微信公众号(wavecn):从最近国内多起疑似数据勒索事件对照等保标准要求研读美国执法机构发布的勒索软件防范网络安全公告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论