美國國家安全局(NSA)和網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)在本周五的報告中公布了其紅隊和藍(lán)隊在大型組織網(wǎng)絡(luò)中發(fā)現(xiàn)的十大最常見網(wǎng)絡(luò)安全誤配置。NSA和CISA在安全建議中詳細(xì)說明了攻擊者經(jīng)常使用哪些策略、技術(shù)和程序(TTPs)來成功利用這些誤配置，實現(xiàn)各種目標(biāo)，包括獲得訪問權(quán)限、橫向移動和定位敏感信息或系統(tǒng)等。

報告分析的數(shù)據(jù)來自兩家機構(gòu)的紅隊和藍(lán)隊在對多個美國政府部門進(jìn)行的網(wǎng)絡(luò)安全評估和事件響應(yīng)活動，包括來自國防部(DoD)、聯(lián)邦民用執(zhí)行部門(FCEB)、州、地方、部落和領(lǐng)土(SLTT)政府以及私營企業(yè)網(wǎng)絡(luò)的數(shù)據(jù)。

評估顯示，一些最常見的錯誤配置可將整個國家的人民置于網(wǎng)絡(luò)安全風(fēng)險之中，例如軟件和應(yīng)用程序的默認(rèn)憑證、服務(wù)權(quán)限和配置、用戶/管理員權(quán)限的不當(dāng)分離、內(nèi)部網(wǎng)絡(luò)監(jiān)控不足、糟糕的補丁管理等。

報告公布的十大最常見網(wǎng)絡(luò)安全錯誤配置包括：

1. 軟件和應(yīng)用程序的默認(rèn)配置
2. 用戶/管理員權(quán)限的不當(dāng)分離
3. 內(nèi)網(wǎng)監(jiān)控不足
4. 缺乏網(wǎng)絡(luò)分段
5. 糟糕的補丁管理
6. 系統(tǒng)訪問控制的繞過
7. 弱或誤配置的多因素認(rèn)證(MFA)方法
8. 網(wǎng)絡(luò)共享和服務(wù)的訪問控制列表(ACLs)不足
9. 糟糕的憑證衛(wèi)生
10. 無限制的代碼執(zhí)行

上述錯誤配置是許多大型企業(yè)網(wǎng)絡(luò)中最常見的系統(tǒng)性漏洞和攻擊風(fēng)險，凸顯了軟件開發(fā)商采用和遵循安全設(shè)計原則的重要性和緊迫性。

報告建議軟件開發(fā)商停止使用默認(rèn)密碼，并確保單個安全控制點被入侵后不會危及整個系統(tǒng)的完整性。此外，采取積極措施消除整個漏洞類別也至關(guān)重要，例如使用內(nèi)存安全的編碼語言或?qū)嵤﹨?shù)化查詢。

最后，報告建議強制實施特權(quán)用戶進(jìn)行多因素認(rèn)證(MFA)，并將MFA設(shè)為默認(rèn)措施，使其成為標(biāo)準(zhǔn)實踐而非可選項。

NSA和CISA還建議網(wǎng)絡(luò)防御者實施推薦的緩解措施，以減少攻擊者利用這些常見誤配置的風(fēng)險。這些緩解措施包括：

• 消除默認(rèn)憑證并加固配置
• 停用未使用的服務(wù)并實施嚴(yán)格的訪問控制
• 確保定期更新并自動化補丁過程，優(yōu)先補丁已知的已被利用的漏洞
• 減少、限制、審計和密切監(jiān)控管理帳戶和權(quán)限

NSA和CISA還建議軟件開發(fā)商也采納安全設(shè)計和默認(rèn)策略來提高客戶端的安全性，具體緩解措施建議如下：

• 減少錯誤配置。從開發(fā)開始就將安全控制嵌入產(chǎn)品架構(gòu)，并在整個軟件開發(fā)生命周期(SDLC)中進(jìn)行。
• 消除默認(rèn)密碼。
• 免費為客戶提供高質(zhì)量的，詳細(xì)且易于理解的審計日志。
• 強制實施多因素認(rèn)證(MFA)。對特權(quán)用戶強制實施多因素認(rèn)證(MFA)，并將MFA作為默認(rèn)而非可選功能，理想情況下可以防范網(wǎng)絡(luò)釣魚。

此外，NSA和CISA推薦“針對MITRE ATT&CK for Enterprise框架映射的威脅行為來演練、測試和驗證組織的安全計劃”。

兩個機構(gòu)還建議測試組織現(xiàn)有的安全控制清單，以評估它們對建議中描述的ATT&CK技術(shù)的性能。