近日，美國(guó)國(guó)家安全局（NSA）和網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）聯(lián)合發(fā)布了一份網(wǎng)絡(luò)安全咨詢(xún)報(bào)告，以強(qiáng)調(diào)大型組織中最常見(jiàn)的網(wǎng)絡(luò)安全配置錯(cuò)誤，并詳細(xì)介紹了威脅行為者濫用這些錯(cuò)誤配置的戰(zhàn)術(shù)、技術(shù)和程序（TTPs）。

通過(guò)NSA和CISA紅藍(lán)團(tuán)隊(duì)的評(píng)估，以及NSA和CISA捕獲和事件響應(yīng)團(tuán)隊(duì)的活動(dòng)，這些機(jī)構(gòu)確定了以下10個(gè)最常見(jiàn)的網(wǎng)絡(luò)安全配置錯(cuò)誤：

1. 軟件和應(yīng)用程序的默認(rèn)配置；

2. 用戶(hù)/管理員權(quán)限的不當(dāng)分離；

3. 內(nèi)部網(wǎng)絡(luò)監(jiān)控不足；

4. 缺乏網(wǎng)絡(luò)分段；

5. 補(bǔ)丁管理不善；

6. 系統(tǒng)訪問(wèn)控制的繞過(guò)；

7. 弱或誤配置的多因素認(rèn)證（MFA）方法；

8. 不充分的網(wǎng)絡(luò)共享和服務(wù)的訪問(wèn)控制列表（ACLs）；

9. 糟糕的憑證衛(wèi)生；

10. 無(wú)限制的代碼執(zhí)行。

這些配置錯(cuò)誤說(shuō)明了許多大型組織——包括那些具有成熟網(wǎng)絡(luò)態(tài)勢(shì)的組織的系統(tǒng)性漏洞和攻擊風(fēng)險(xiǎn)，凸顯了軟件開(kāi)發(fā)商采用“設(shè)計(jì)即安全”（secure-by-design）原則的重要性和緊迫性。

以下是每項(xiàng)配置錯(cuò)誤以及威脅行為者用于濫用這些錯(cuò)誤配置的戰(zhàn)術(shù)、技術(shù)和程序（TTPs）的詳細(xì)介紹。

1. 軟件和應(yīng)用程序的默認(rèn)配置

系統(tǒng)、服務(wù)和應(yīng)用程序的默認(rèn)配置可能允許未經(jīng)授權(quán)的訪問(wèn)或其他惡意活動(dòng)。常見(jiàn)的默認(rèn)配置包括：

（1）默認(rèn)憑據(jù)；

（2）默認(rèn)業(yè)務(wù)權(quán)限和配置設(shè)置；

默認(rèn)憑證

許多軟件開(kāi)發(fā)商發(fā)布的商用現(xiàn)貨（COTS）網(wǎng)絡(luò)設(shè)備（通過(guò)應(yīng)用程序或web門(mén)戶(hù)提供用戶(hù)訪問(wèn)）包含內(nèi)置管理帳戶(hù)的預(yù)定義默認(rèn)憑據(jù)。惡意行為者和評(píng)估團(tuán)隊(duì)經(jīng)常通過(guò)以下方式濫用默認(rèn)憑證：

（1）通過(guò)簡(jiǎn)單的網(wǎng)絡(luò)搜索查找憑證，并使用它們獲得對(duì)設(shè)備的身份驗(yàn)證訪問(wèn)；

（2）通過(guò)可預(yù)測(cè)的忘記密碼問(wèn)題重置內(nèi)置管理帳戶(hù)；

（3）利用默認(rèn)的虛擬專(zhuān)用網(wǎng)（VPN）憑據(jù)進(jìn)行內(nèi)部網(wǎng)絡(luò)訪問(wèn)；

（4）利用公開(kāi)可用的設(shè)置信息來(lái)識(shí)別web應(yīng)用程序的內(nèi)置管理憑據(jù)，并獲得對(duì)應(yīng)用程序及其底層數(shù)據(jù)庫(kù)的訪問(wèn)權(quán)限；

（5）利用軟件部署工具上的默認(rèn)憑證進(jìn)行代碼執(zhí)行和橫向移動(dòng)。

除了提供網(wǎng)絡(luò)訪問(wèn)的設(shè)備外，打印機(jī)、掃描儀、安全攝像頭、會(huì)議室視聽(tīng)（AV）設(shè)備、互聯(lián)網(wǎng)協(xié)議語(yǔ)音（VoIP）電話(huà)和物聯(lián)網(wǎng)（IoT）設(shè)備通常還包含默認(rèn)憑據(jù)，可以輕松地在未經(jīng)授權(quán)的情況下訪問(wèn)這些設(shè)備。使問(wèn)題進(jìn)一步復(fù)雜化的是，打印機(jī)和掃描儀可能加載了特權(quán)域帳戶(hù)，以便用戶(hù)可以輕松地掃描文檔并將其上傳到共享驅(qū)動(dòng)器或通過(guò)郵件發(fā)送。使用默認(rèn)憑證訪問(wèn)打印機(jī)或掃描儀的惡意行為者，可以使用加載的特權(quán)域帳戶(hù)從設(shè)備橫向移動(dòng)并破壞域。

默認(rèn)業(yè)務(wù)權(quán)限和配置設(shè)置

默認(rèn)情況下，某些服務(wù)可能具有過(guò)于寬松的訪問(wèn)控制或漏洞配置，此外，即使提供者默認(rèn)不啟用這些服務(wù)，如果用戶(hù)或管理員啟用了這些服務(wù)，惡意行為者也可以很容易地濫用這些服務(wù)。

評(píng)估小組發(fā)現(xiàn)了以下常見(jiàn)情況：

（1）不安全的Active Directory證書(shū)服務(wù)；

（2）不安全的遺留協(xié)議/服務(wù)；

（3）不安全的SMB（Server Message Block）服務(wù)；

不安全的Active Directory證書(shū)服務(wù)

ADCS（Active Directory Certificate Services）是一項(xiàng)用于管理Active Directory（AD）環(huán)境中的PKI證書(shū)、密鑰和加密的功能，ADCS模板用于為組織網(wǎng)絡(luò)中不同類(lèi)型的服務(wù)器和其他實(shí)體構(gòu)建證書(shū)。

惡意行為者可以利用ADCS和/或ADCS模板配置錯(cuò)誤來(lái)操縱證書(shū)基礎(chǔ)結(jié)構(gòu)，以頒發(fā)欺詐性證書(shū)和/或?qū)⒂脩?hù)特權(quán)重新升級(jí)為域管理員特權(quán)，這些證書(shū)和域升級(jí)路徑可能授予參與者對(duì)系統(tǒng)和關(guān)鍵數(shù)據(jù)的未經(jīng)授權(quán)的持久訪問(wèn)，冒充合法實(shí)體的能力，以及繞過(guò)安全措施的能力。

不安全的遺留協(xié)議/服務(wù)

許多易受攻擊的網(wǎng)絡(luò)服務(wù)在默認(rèn)情況下是啟用的，并且評(píng)估團(tuán)隊(duì)已經(jīng)觀察到它們?cè)谏a(chǎn)環(huán)境中也是啟用的。具體來(lái)說(shuō)，評(píng)估小組觀察到鏈路本地多個(gè)名稱(chēng)解析（LLMNR）和NetBIOS名稱(chēng)服務(wù)（NBT-NS），它們是Microsoft Windows組件，作為主機(jī)識(shí)別的替代方法。如果在網(wǎng)絡(luò)中啟用了這些服務(wù)，參與者可以使用欺騙、中毒和中繼技術(shù)來(lái)獲取域散列、系統(tǒng)訪問(wèn)和潛在的管理系統(tǒng)會(huì)話(huà)，惡意行為者經(jīng)常利用這些協(xié)議來(lái)破壞整個(gè)Windows環(huán)境。

不安全的SMB（Server Message Block）服務(wù)

SMB服務(wù)是一個(gè)Windows組件，主要用于文件共享，它的默認(rèn)配置不需要簽名網(wǎng)絡(luò)消息以確保真實(shí)性和完整性。如果SMB服務(wù)器不強(qiáng)制SMB簽名，惡意參與者就可以輕松使用machine-in-the-middle（MitM）技術(shù)，例如NTLM中繼來(lái)實(shí)施攻擊。此外，惡意參與者還可以將缺乏SMB簽名與名稱(chēng)解析中毒問(wèn)題結(jié)合起來(lái)，無(wú)需捕獲和破解任何散列就可訪問(wèn)遠(yuǎn)程系統(tǒng)。

2. 用戶(hù)/管理員權(quán)限的不當(dāng)分離

管理員通常會(huì)為一個(gè)帳戶(hù)分配多個(gè)角色，這些賬戶(hù)可以訪問(wèn)各種各樣的設(shè)備和服務(wù)，允許惡意行為者通過(guò)一個(gè)受感染的賬戶(hù)快速移動(dòng)網(wǎng)絡(luò)，而不會(huì)觸發(fā)橫向移動(dòng)和/或特權(quán)升級(jí)檢測(cè)措施。

評(píng)估小組觀察到以下常見(jiàn)的帳戶(hù)分離錯(cuò)誤配置：

（1）過(guò)度的賬戶(hù)特權(quán)；

（2）提升的服務(wù)帳戶(hù)權(quán)限；

（3）非必要的特權(quán)帳戶(hù)使用；

過(guò)度的帳戶(hù)特權(quán)

帳戶(hù)特權(quán)用于控制用戶(hù)對(duì)主機(jī)或應(yīng)用程序資源的訪問(wèn)，以限制對(duì)敏感信息的訪問(wèn)或執(zhí)行最小權(quán)限安全模型，當(dāng)帳戶(hù)權(quán)限過(guò)于寬松時(shí)，用戶(hù)可以看到和/或做他們不應(yīng)該看到和/或做的事情，這成為一個(gè)安全問(wèn)題，因?yàn)樗黾恿孙L(fēng)險(xiǎn)暴露和攻擊面。

提升的服務(wù)帳戶(hù)權(quán)限

應(yīng)用程序通常使用用戶(hù)帳戶(hù)來(lái)訪問(wèn)資源，這些用戶(hù)帳戶(hù)稱(chēng)為服務(wù)帳戶(hù)，通常需要更高的權(quán)限。當(dāng)惡意行為者使用服務(wù)帳戶(hù)危害應(yīng)用程序或服務(wù)時(shí)，他們將擁有與服務(wù)帳戶(hù)相同的特權(quán)和訪問(wèn)權(quán)限。

惡意行為者可以利用域內(nèi)提升的服務(wù)權(quán)限來(lái)獲得對(duì)關(guān)鍵系統(tǒng)的未經(jīng)授權(quán)的訪問(wèn)和控制。服務(wù)帳戶(hù)是惡意行為者的誘人目標(biāo)，因?yàn)檫@些帳戶(hù)通常被授予域內(nèi)的高級(jí)權(quán)限，由于這些因素，kerberos（通過(guò)破解服務(wù)帳戶(hù)憑證實(shí)現(xiàn)的一種憑證訪問(wèn)形式）是一種用于控制服務(wù)帳戶(hù)目標(biāo)的常用技術(shù)。

非必要的特權(quán)帳戶(hù)使用

IT人員使用域管理員和其他管理員帳戶(hù)進(jìn)行系統(tǒng)和網(wǎng)絡(luò)管理，因?yàn)檫@些帳戶(hù)本身具有較高的權(quán)限。當(dāng)管理員帳戶(hù)登錄到受感染的主機(jī)時(shí)，惡意行為者可以竊取并使用該帳戶(hù)的憑據(jù)和AD生成的身份驗(yàn)證令牌，使用提升的權(quán)限在整個(gè)域中移動(dòng)，使用高級(jí)帳戶(hù)進(jìn)行日常的非管理任務(wù)會(huì)增加帳戶(hù)的暴露，從而增加其被泄露的風(fēng)險(xiǎn)。

3. 內(nèi)部網(wǎng)絡(luò)監(jiān)控不足

有些組織沒(méi)有為流量收集和終端主機(jī)日志配置最佳的主機(jī)和網(wǎng)絡(luò)傳感器，這些不充分的配置可能導(dǎo)致未被發(fā)現(xiàn)的對(duì)抗性妥協(xié)。此外，不適當(dāng)?shù)膫鞲衅髋渲孟拗屏嗽鰪?qiáng)基線(xiàn)開(kāi)發(fā)所需的流量收集能力，并降低了對(duì)異常活動(dòng)的及時(shí)檢測(cè)。

評(píng)估小組在被評(píng)估的網(wǎng)絡(luò)中發(fā)現(xiàn)了不充分的監(jiān)控問(wèn)題。例如：

（1）評(píng)估小組觀察了一個(gè)組織，該組織有基于主機(jī)的監(jiān)控，但沒(méi)有網(wǎng)絡(luò)監(jiān)控?；谥鳈C(jī)的監(jiān)控通知防御團(tuán)隊(duì)單個(gè)主機(jī)上的不良活動(dòng)，網(wǎng)絡(luò)監(jiān)控則通知穿越主機(jī)的惡意活動(dòng)。在本例中，該組織可以確定受感染的主機(jī)，但無(wú)法確定感染來(lái)自何處，因此無(wú)法阻止未來(lái)的橫向移動(dòng)和感染。

（2）評(píng)估團(tuán)隊(duì)獲得了對(duì)具有成熟網(wǎng)絡(luò)態(tài)勢(shì)的大型組織的持續(xù)深入訪問(wèn)。組織沒(méi)有檢測(cè)到評(píng)估團(tuán)隊(duì)的橫向移動(dòng)、持久性和C2活動(dòng)。

4. 缺乏網(wǎng)絡(luò)分段

網(wǎng)絡(luò)分段用安全邊界分隔網(wǎng)絡(luò)的各個(gè)部分，缺乏網(wǎng)絡(luò)分段使得用戶(hù)網(wǎng)絡(luò)、生產(chǎn)網(wǎng)絡(luò)和關(guān)鍵系統(tǒng)網(wǎng)絡(luò)之間沒(méi)有安全邊界，不充分的網(wǎng)絡(luò)分段允許威脅參與者在各種系統(tǒng)中橫向移動(dòng)。此外，缺乏網(wǎng)絡(luò)隔離使組織更易受到潛在的勒索軟件攻擊和后利用（post-exploitation）技術(shù)的攻擊。

IT和OT環(huán)境之間缺乏分段會(huì)使OT環(huán)境處于危險(xiǎn)之中。例如，評(píng)估小組經(jīng)常通過(guò)尋找特殊目的、被遺忘的、甚至是意外的網(wǎng)絡(luò)連接，獲得對(duì)OT網(wǎng)絡(luò)的訪問(wèn)權(quán)限——盡管這些網(wǎng)絡(luò)先前保證是完全氣隙的，不可能與IT網(wǎng)絡(luò)連接。

5. 補(bǔ)丁管理不善

供應(yīng)商發(fā)布補(bǔ)丁和更新來(lái)解決安全漏洞，糟糕的補(bǔ)丁管理和網(wǎng)絡(luò)衛(wèi)生實(shí)踐通常使攻擊者能夠發(fā)現(xiàn)開(kāi)放攻擊向量并利用關(guān)鍵漏洞。薄弱的補(bǔ)丁管理包括：

（1）缺乏定期修補(bǔ)；

（2）使用不支持的操作系統(tǒng)和過(guò)時(shí)的固件；

缺乏定期修補(bǔ)

未能應(yīng)用最新補(bǔ)丁可能會(huì)使系統(tǒng)暴露于公開(kāi)可用的漏洞，由于它們很容易被發(fā)現(xiàn)——通過(guò)漏洞掃描和開(kāi)源研究——并被利用，從而導(dǎo)致這些系統(tǒng)淪為攻擊者的直接目標(biāo)。允許關(guān)鍵漏洞保留在生產(chǎn)系統(tǒng)上而不應(yīng)用相應(yīng)的補(bǔ)丁會(huì)顯著增加攻擊面，組織應(yīng)該優(yōu)先修補(bǔ)其環(huán)境中已知的被利用的漏洞。

使用不支持的操作系統(tǒng)和過(guò)時(shí)的固件

使用供應(yīng)商不再支持的軟件或硬件會(huì)帶來(lái)重大的安全風(fēng)險(xiǎn)，因?yàn)樾碌暮同F(xiàn)有的漏洞不再修補(bǔ)，惡意行為者可以利用這些系統(tǒng)中的漏洞獲得未經(jīng)授權(quán)的訪問(wèn)，破壞敏感數(shù)據(jù)并執(zhí)行破壞性操作。

6. 系統(tǒng)訪問(wèn)控制的繞過(guò)

惡意行為者可以通過(guò)破壞環(huán)境中的替代身份驗(yàn)證方法來(lái)繞過(guò)系統(tǒng)訪問(wèn)控制。如果惡意行為者可以在網(wǎng)絡(luò)中收集哈希，他們可以使用非標(biāo)準(zhǔn)的方式使用哈希傳遞（pass-the-hash，PtH）來(lái)利用這些哈希進(jìn)行身份驗(yàn)證，通過(guò)模仿沒(méi)有明文密碼的帳戶(hù)，攻擊者可以在不被發(fā)現(xiàn)的情況下擴(kuò)展和提升他們的訪問(wèn)權(quán)限。使用kerberos也是在組織網(wǎng)絡(luò)中提升特權(quán)和橫向移動(dòng)的最省時(shí)方法之一。

7. 弱或誤配置的多因素認(rèn)證（MFA）方法

智能卡或令牌配置錯(cuò)誤

一些網(wǎng)絡(luò)（通常是政府或國(guó)防部網(wǎng)絡(luò)）要求賬戶(hù)使用智能卡或令牌，多因素需求可能會(huì)配置錯(cuò)誤，因此帳戶(hù)的密碼哈希值永遠(yuǎn)不會(huì)更改。即使不再使用密碼本身（因?yàn)樾枰悄芸ɑ蛄钆疲瑤?hù)的密碼散列仍然可以用作身份驗(yàn)證的替代憑據(jù)，如果密碼哈希值永遠(yuǎn)不會(huì)改變，一旦惡意行為者獲得了帳戶(hù)的密碼哈希值，那么只要該帳戶(hù)存在，該行為者就可以通過(guò)PtH技術(shù)無(wú)限期地使用它。

缺乏抗網(wǎng)絡(luò)釣魚(yú)特性的MFA

某些形式的MFA容易受到網(wǎng)絡(luò)釣魚(yú)、“推送轟炸”、利用SS7協(xié)議漏洞和/或“SIM卡交換”技術(shù)的攻擊，如果這些嘗試成功，可能允許威脅參與者獲得訪問(wèn)MFA的身份驗(yàn)證憑證，或繞過(guò)MFA并訪問(wèn)受MFA保護(hù)的系統(tǒng)。

8. 不充分的網(wǎng)絡(luò)共享和服務(wù)的訪問(wèn)控制列表（ACLs）

數(shù)據(jù)共享和存儲(chǔ)庫(kù)是惡意行為者的主要目標(biāo)，網(wǎng)絡(luò)管理員可能錯(cuò)誤地配置ACL，以允許未經(jīng)授權(quán)的用戶(hù)訪問(wèn)共享驅(qū)動(dòng)器上的敏感或管理數(shù)據(jù)。

攻擊者可以使用命令、開(kāi)源工具或自定義惡意軟件來(lái)查找共享文件夾和驅(qū)動(dòng)器。

（1）在一次入侵中，一個(gè)團(tuán)隊(duì)觀察到攻擊者使用網(wǎng)絡(luò)共享命令（顯示本地計(jì)算機(jī)上共享資源的信息）和ntfsinfo命令來(lái)搜索受感染計(jì)算機(jī)上的網(wǎng)絡(luò)共享；在同一次攻擊中，攻擊者使用了自定義工具CovalentStealer，該工具旨在識(shí)別系統(tǒng)上的文件共享，對(duì)文件進(jìn)行分類(lèi)，并將文件上傳到遠(yuǎn)程服務(wù)器。

（2）勒索軟件參與者使用SoftPerfect網(wǎng)絡(luò)掃描器，netscan.exe（可以ping計(jì)算機(jī)，掃描端口，并發(fā)現(xiàn)共享文件夾）和SharpShares來(lái)枚舉域中可訪問(wèn)的網(wǎng)絡(luò)共享。

然后，惡意行為者可以從共享驅(qū)動(dòng)器和文件夾中收集和泄露數(shù)據(jù)。接下來(lái)，他們可以將這些數(shù)據(jù)用于各種目的，例如勒索組織或在制定進(jìn)一步網(wǎng)絡(luò)入侵計(jì)劃時(shí)作為情報(bào)。評(píng)估團(tuán)隊(duì)通常會(huì)在網(wǎng)絡(luò)共享中發(fā)現(xiàn)敏感信息，這些信息可能會(huì)促進(jìn)后續(xù)活動(dòng)或提供敲詐勒索的機(jī)會(huì)，評(píng)估團(tuán)隊(duì)能夠很輕松地找到包含服務(wù)帳戶(hù)、web應(yīng)用程序甚至域管理員的明文憑據(jù)的驅(qū)動(dòng)器。

9. 糟糕的憑證衛(wèi)生

糟糕的憑據(jù)衛(wèi)生有助于威脅參與者獲得用于初始訪問(wèn)、持久性、橫向移動(dòng)和其他后續(xù)活動(dòng)的憑據(jù)，特別是在未啟用抗網(wǎng)絡(luò)釣魚(yú)MFA的情況下。糟糕的憑據(jù)衛(wèi)生行為包括：

（1）易破解的密碼；

（2）明文密碼暴露；

易破解的密碼

易破解密碼是指惡意行為者可以使用相對(duì)便宜的計(jì)算資源在短時(shí)間內(nèi)猜出的密碼，網(wǎng)絡(luò)上容易被破解的密碼通常源于缺乏密碼長(zhǎng)度（即短于15個(gè)字符）和隨機(jī)性（即不是唯一的或可以猜測(cè)的）。

在評(píng)估過(guò)程中，評(píng)估團(tuán)隊(duì)順利破解了NTLM用戶(hù)、Kerberos服務(wù)帳戶(hù)票證、NetNTLMv2和PFX存儲(chǔ)的密碼散列，使團(tuán)隊(duì)能夠提升權(quán)限并在網(wǎng)絡(luò)內(nèi)橫向移動(dòng)。在12小時(shí)內(nèi)，一個(gè)團(tuán)隊(duì)破解了活動(dòng)目錄中80%以上的用戶(hù)密碼，獲得了數(shù)百個(gè)有效憑據(jù)。

明文密碼暴露

以明文形式存儲(chǔ)密碼存在嚴(yán)重的安全風(fēng)險(xiǎn)，可以訪問(wèn)包含明文密碼的文件的惡意行為者可以使用這些憑證在合法用戶(hù)的偽裝下登錄到受影響的應(yīng)用程序或系統(tǒng)。在這種情況下，由于任何系統(tǒng)日志都會(huì)記錄訪問(wèn)應(yīng)用程序或系統(tǒng)的有效用戶(hù)帳戶(hù)，因此失去了可問(wèn)責(zé)性。

惡意行為者會(huì)搜索文本文件、電子表格、文檔和配置文件，以求獲取明文密碼。評(píng)估團(tuán)隊(duì)經(jīng)常發(fā)現(xiàn)明文密碼，允許他們快速升級(jí)模擬入侵。

10. 無(wú)限制的代碼執(zhí)行

如果允許未經(jīng)驗(yàn)證的程序在主機(jī)上執(zhí)行，則威脅參與者可以在網(wǎng)絡(luò)中運(yùn)行任意惡意有效負(fù)載，惡意參與者通常在獲得對(duì)系統(tǒng)的初始訪問(wèn)權(quán)限后執(zhí)行代碼。例如，在用戶(hù)落入網(wǎng)絡(luò)釣魚(yú)騙局之后，攻擊者通常會(huì)說(shuō)服受害者在其工作站上運(yùn)行代碼，以獲得對(duì)內(nèi)部網(wǎng)絡(luò)的遠(yuǎn)程訪問(wèn)權(quán)限。這些代碼通常是一個(gè)未經(jīng)驗(yàn)證的程序，沒(méi)有合法的目的或商業(yè)理由在網(wǎng)絡(luò)上運(yùn)行。

評(píng)估團(tuán)隊(duì)和惡意參與者經(jīng)常以可執(zhí)行文件、動(dòng)態(tài)鏈接庫(kù)（DLL）、HTML應(yīng)用程序和宏（辦公自動(dòng)化文檔中使用的腳本）的形式利用不受限制的代碼執(zhí)行，來(lái)建立初始訪問(wèn)、持久性和橫向移動(dòng)。此外，參與者經(jīng)常使用腳本語(yǔ)言來(lái)模糊他們的行為，并繞過(guò)允許列表——組織在默認(rèn)情況下限制應(yīng)用程序和其他形式的代碼，只允許那些已知和可信的代碼。此外，攻擊者可能會(huì)加載易受攻擊的驅(qū)動(dòng)程序，然后利用驅(qū)動(dòng)程序的已知漏洞，以最高級(jí)別的系統(tǒng)權(quán)限在內(nèi)核中執(zhí)行代碼，從而完全破壞設(shè)備。

緩解建議

NSA和CISA鼓勵(lì)網(wǎng)絡(luò)防御者實(shí)施本咨詢(xún)的“緩解”部分中的建議（包括以下內(nèi)容），以減少惡意行為者利用已識(shí)別的錯(cuò)誤配置的風(fēng)險(xiǎn)。

（1）刪除默認(rèn)憑證并加固配置；

（2）禁用未使用的服務(wù)并實(shí)施嚴(yán)格的訪問(wèn)控制；

（3）定期更新并自動(dòng)化補(bǔ)丁過(guò)程，優(yōu)先修補(bǔ)已知且已被利用的漏洞；

（4）減少、限制、審計(jì)和密切監(jiān)控管理帳戶(hù)和權(quán)限。

NSA和CISA還敦促軟件開(kāi)發(fā)商通過(guò)采用“設(shè)計(jì)即安全”策略來(lái)提高客戶(hù)端的安全性，具體緩解措施建議包括：

（1）從開(kāi)發(fā)開(kāi)始到整個(gè)軟件開(kāi)發(fā)生命周期（SDLC），將安全控制嵌入產(chǎn)品架構(gòu)中；

（2）消除默認(rèn)密碼；

（3）免費(fèi)為客戶(hù)提供高質(zhì)量的，詳細(xì)且易于理解的審計(jì)日志；

（4）為特權(quán)用戶(hù)強(qiáng)制實(shí)施多因素認(rèn)證（MFA），并將MFA作為默認(rèn)而非可選功能，理想情況下可以防范網(wǎng)絡(luò)釣魚(yú)。

NSA和CISA推薦組織利用特定于企業(yè)的MITRE ATT&CK框架映射的威脅行為來(lái)演練、測(cè)試和驗(yàn)證組織的安全計(jì)劃。此外，還建議測(cè)試組織現(xiàn)有的安全控制清單，以評(píng)估它們對(duì)建議中描述的ATT&CK技術(shù)的性能。

文章翻譯自：https://media.defense.gov/2023/Oct/05/2003314578/-1/-1/0/JOINT_CSA_TOP_TEN_MISCONFIGURATIONS_TLP-CLEAR.PDF如若轉(zhuǎn)載，請(qǐng)注明原文地址