近日,美国网络安全与基础设施安全局(CISA)以及美国国家安全局(NSA)公布了一份关于大型组织中最常见的网络安全配置错误的报告,并详细说明攻击者会如何利用这些配置错误(策略、技术及程序),以实现各种目的,如获取访问权限、横向移动、定位敏感信息或系统等。
报告中的数据来自NSA和CISA的红队和蓝队对各组织机构进行的网络安全评估和事件响应活动,通过对这些数据的分析得出以下10个最常见的网络安全配置错误:
1. 软件和应用的默认配置;
2. 用户/管理员权限的不当分离;
3. 内部网络监控不足;
4. 缺乏网络分段;
5. 糟糕的补丁管理;
6. 系统访问控制的绕过;
7. 弱或配置错误的多因素认证(MFA)方法;
8. 网络共享和服务上不足的访问控制列表(ACL);
9. 糟糕的凭证卫生;
10. 不受限制的代码执行。
上述配置错误为许多大型组织(包括那些具有成熟网络安全态势的组织)带来了系统性漏洞和攻击风险,突显了软件开发商采用安全设计原则的重要性——软件开发商必须将安全设计和默认原则及策略纳入其软件开发实践中,以减少这些配置错误的普遍性,从而增强客户的安全态势。
最后,对于经过适当培训、配备和资金支持的网络安全团队,NSA和CISA鼓励他们实施以下缓解措施:
① 移除默认凭证并加固配置。
② 禁用未使用的服务并实施访问控制。
③ 定期更新并自动修补,优先处理已知被利用的漏洞。
④ 减少、限制、审计、监控管理员账户和权限。
NSA和CISA还敦促软件开发商:
① 从一开始就将安全控制嵌入产品架构之中,并贯穿整个软件开发生命周期(SDLC)。
② 消除默认密码。
③ 免费向客户提供高质量的审计日志。
④ 强制要求特权用户使用MFA(理想情况下能够防范网络钓鱼),并将MFA作为默认功能而非选择性功能。
编辑:左右里
资讯来源:美国国防部
转载请注明出处和本文链接
