10月5日，美國國家安全局 (NSA) 和網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局 (CISA) 公布了十大目前最常見的網(wǎng)絡(luò)安全錯(cuò)誤配置，這些錯(cuò)誤由紅藍(lán)團(tuán)隊(duì)在大型組織網(wǎng)絡(luò)中發(fā)現(xiàn)。

根據(jù)發(fā)布的聯(lián)合報(bào)告，團(tuán)隊(duì)評(píng)估了國防部 (DoD)、聯(lián)邦民事行政部門 (FCEB)、州和地方政府以及私營部門的網(wǎng)絡(luò)安全態(tài)勢，并詳細(xì)介紹了攻擊者會(huì)使用哪些策略、技術(shù)和程序 (TTP) 來成功利用錯(cuò)誤配置來實(shí)現(xiàn)各種目的，包括獲取訪問權(quán)限、橫向移動(dòng)以及瞄準(zhǔn)敏感信息或系統(tǒng)。

紅藍(lán)團(tuán)隊(duì)以及 NSA 和 CISA Hunt 和事件響應(yīng)團(tuán)隊(duì)發(fā)現(xiàn)的十大網(wǎng)絡(luò)安全配置錯(cuò)誤包括：

1. 軟件和應(yīng)用程序的默認(rèn)配置
2. 用戶/管理員權(quán)限分離不當(dāng)
3. 內(nèi)網(wǎng)監(jiān)控不足
4. 缺乏網(wǎng)絡(luò)分段
5. 補(bǔ)丁管理不善
6. 繞過系統(tǒng)訪問控制
7. 多重身份驗(yàn)證 (MFA) 方法薄弱或配置錯(cuò)誤
8. 網(wǎng)絡(luò)共享和服務(wù)的訪問控制列表 (ACL) 不足
9. 憑證復(fù)雜性弱
10. 不受限制的代碼執(zhí)行

對(duì)于上述風(fēng)險(xiǎn)，NSA 和 CISA 建議網(wǎng)絡(luò)安全人員實(shí)施以下緩解措施：

• 消除默認(rèn)憑證并強(qiáng)化配置;
• 停用未使用的服務(wù)并實(shí)施嚴(yán)格的訪問控制;
• 確保定期更新并自動(dòng)化修補(bǔ)過程，優(yōu)先修補(bǔ)已被利用的已知漏洞;
• 減少、限制、審計(jì)和密切監(jiān)控管理帳戶和權(quán)限。

CISA 網(wǎng)絡(luò)安全執(zhí)行助理主任戈德斯坦（Goldstein）表示，軟件廠商應(yīng)采取一系列積極主動(dòng)的做法，有效解決這些錯(cuò)誤配置并減輕網(wǎng)絡(luò)安全人員面臨的挑戰(zhàn)，其中包括從開發(fā)的初始階段到整個(gè)軟件開發(fā)生命周期，將安全控制集成到產(chǎn)品架構(gòu)中。

此外，廠商應(yīng)停止使用默認(rèn)密碼，并確保在某個(gè)單元受到攻擊時(shí)不會(huì)危及整個(gè)系統(tǒng)的安全完整性。

最后，戈德斯坦還表示，必須為特權(quán)用戶強(qiáng)制執(zhí)行多重身份驗(yàn)證 (MFA)，并將 MFA 設(shè)置為默認(rèn)功能，使其成為標(biāo)準(zhǔn)做法而不是可選選擇。