十大网络安全配置错误 - JINGGR安全-JINGGR安全

国家安全局和CISA创建了十大网络安全错误配置，以帮助公司减轻漏洞

如果在20世纪，许多美国电影、电视剧和书籍向我们讲述了世界上最著名的情报机构中央情报局，那么在新千年，我们的注意力转向了国家安全局，国家安全局是收集关键安全信息，其基本任务是打击网络威胁和防止可能影响美国安全系统的攻击。

因此，在加强对敌对行为者的网络防御和复原力时，国家安全局与另一个政府机构CISA（网络安全和基础设施安全局）协调行事。这次合作的结果是最近发布了十大网络安全错误配置，该出版物提醒企业和软件开发人员注意恶意行为者可以利用的错误来成功攻击公司。

国家安全局和CISA是如何组装这十大网络安全配置错误的？根据两个组织的红队、蓝队、威胁狩猎和事件响应团队的经验和评估。

全球所有公司都应该考虑的这十大网络安全配置错误所证明的主要趋势是什么？

“许多大型组织存在系统性弱点，包括那些具有更成熟的网络安全态势的组织。”
设计安全性对于降低风险并帮助国防团队成功管理风险至关重要。

下面，我们将详细介绍国家安全局和CISA确定的顶级网络安全配置错误，并解开他们缓解这些配置和防止安全事件损害业务的建议。

1.十大网络安全配置错误适合谁？

NSA和CISA设置了两个主要利益相关者群体，以了解他们发现的顶级网络安全配置错误：

企业系统防御团队。
软件制作者。

关于国防团队，前10名网络安全配置错误强调，他们必须接受过良好的培训，并有足够的人力、技术和财力资源来检测弱点，减轻弱点，并准备好预防、检测和应对安全事件。此外，防守队必须：

删除默认凭据。
禁用未使用的服务并部署访问控制。
持续更新公司使用的软件。
自动化补丁，并优先处理敌对行为者成功利用的漏洞的补丁。
持续监控管理员帐户和安全权限。
对顶部列出的每个网络安全配置缺陷应用具体建议。

另一方面，NSA和CISA对软件制造商规定了一系列责任，从设计阶段开始加强软件安全性，并帮助收购它们的公司保护其资产：

从设计到整个生命周期，在软件架构中实施安全控制。
消除默认密码。
在不增加软件成本的情况下为客户提供审计跟踪。
要求特权用户使用多因素身份验证系统来防止网络钓鱼。
考虑具体建议，以缓解十大网络安全配置错误。

2.顶级网络安全配置错误

2.1.默认软件和应用程序配置

软件的默认配置在应用程序的十大网络安全错误配置中排名第一。为什么？根据NSA和CISA文件，这些配置可以允许未经授权的访问和启动恶意活动。此类别包括两种需要注意的错误：

默认凭证。一些软件供应商发布包含管理帐户预定义凭据的现成网络设备。这为敌对行为者滥用资历打开了大门：
- 通过网络搜索检测凭据，并利用它们访问设备。
- 通过忘记密码时询问的可预测问题来重置管理帐户。
- 使用默认的VPN凭据访问被攻击公司的内部网络。
- 利用公开可用的配置信息来获取Web应用程序的管理凭据，并访问它们及其数据库。
- 利用软件部署工具中的默认凭据来执行恶意代码或执行横向移动。
服务权限和默认配置设置。十大网络安全配置错误警告说，一些默认访问控制是允许的。此外，敌对行为者可以使用默认服务来攻击组织，即使软件供应商没有启用它们，因为用户或管理员这样做就足够了。在安全评估期间，国家安全局和CISA检测到：
- 不安全的Active Directory证书服务。
- 不安全的遗留协议。
- 不安全的服务器消息阻止服务。

2.2.用户和管理员权限之间的分离不足

美国机构强调的第二个配置错误围绕着帐户和特权的分离。NSA和CISA团队发现，管理员经常为用户帐户分配多个角色。因此，这些帐户可以访问各种设备和服务。这意味着，如果被违反，敌对的行为者可以在公司网络中移动，而无需诉诸横向移动和特权升级策略。

在这个领域发现的三个大错误是什么？

过度的帐户权限。建立帐户权限有助于限制对敏感信息和系统资源的访问。如果特权过高，用户的机动空间会更大，风险水平和攻击面会增加。
服务帐户的高权限，如果被泄露，可能会允许敌对行为者获得未经授权的访问，甚至控制关键系统。
使用对公司运营不重要的特权帐户。在某些情况下，秘密资金被用于不必要地执行公司日常的基本行动，从而增加了公司的网络风险敞口。

2.3 内部网络监控不足

配置主机和网络传感器来收集流量和最终主机日志对于保护公司内部网络至关重要。配置不足或不良将限制监控流量的能力，从而限制在尽可能短的时间内检测旨在损害网络的异常活动和攻击的能力。

网络监控不足甚至不存在的直接后果是，敌对行为者可以访问网络，并实施横向移动、持续或指挥和控制（c&c）等策略，以实现其犯罪目标，例如，窃取机密信息或瘫痪关键业务流程。

2.4 缺乏网络分割

通过建立安全边界来分割网络对于分离用户、生产和关键系统网络至关重要。如果网络没有被分割或分割得很差，那些设法破坏网络资源的敌对行为者可以在网络上横向移动，并访问多个企业系统。

这增加了公司对勒索软件攻击和利用后部署的恶意技术的脆弱性。

在这方面，十大网络安全错误配置强调了必须在信息技术（IT）和运营技术（OT）环境之间实施的细分。为什么？如果分割不佳，OT网络在理论上是孤立的，对企业运营至关重要，可以通过IT环境访问。

2.5 补丁管理不善

软件制造商的基本任务之一是为其应用程序发布补丁和更新，以解决检测到的安全漏洞，从而防止它们被成功利用。公司必须进行有效和持续的补丁管理，以防止敌对行为者利用关键漏洞。

十大网络安全配置错误将聚光灯放在补丁管理的两个关键方面：

未能定期部署补丁。这意味着没有应用最新的补丁，使公司面临已知的漏洞，这些漏洞是网络犯罪分子的优先事项。
使用不受支持的操作系统和过时的固件。这给组织带来了重大风险。为什么？供应商不再修补过时软件和硬件中的漏洞，因此敌对行为者可以利用它们未经授权访问公司网络，破坏机密或敏感信息，例如客户数据，并导致基本服务和业务流程中断。

2.6.规避系统访问控制。

国家安全局和CISA团队在调查和评估过程中发现，敌对行为者可以通过损害替代身份验证方法来规避系统访问控制。

因此，十大网络安全错误配置警告说，恶意行为者可以在不使用标准通道的情况下在网络上收集散列来验证自己。此外，它可以在公司检测系统不知情的情况下保持或部署持久性，然后提升特权，在网络中侧向移动和持久性。

2.7 弱或配置错误的多因素身份验证方法

关于十大网络安全配置错误中的第七项，该指南指出了两个关键弱点：

配置不良的智能卡或令牌。近年来，一些网络，特别是政府网络，规定帐户必须使用智能卡或令牌才能获得访问权限。如果多因素要求配置错误，并允许帐户密码散列保持不变，它们可能会被恶意用作身份验证的替代凭据。
不能抵抗网络钓鱼的多因素身份验证系统。在这个时代，网络钓鱼攻击是对企业和个人安全的严重威胁。因此，使用的多因素身份验证方法必须不容易受到网络钓鱼、推送轰炸或SIM卡交换等技术的影响。

2.8 共享资源和网络服务中的访问控制列表不足

存储库和共享数据是敌对行为者的主要目标。因此，如果网络管理员没有正确配置访问控制列表，他们可以允许未经授权的用户访问共享文件夹中的机密信息和管理数据。

犯罪分子可以使用工具或恶意软件搜索共享文件夹和驱动器，然后收集和提取存储的数据。有了这些信息，他们可以从公司勒索钱财，或者利用这些信息对公司发动未来攻击。

2.9 凭证卫生状况不佳

为了保护网络用户的证书，良好的证书卫生至关重要。否则，敌对行为者可以访问网络，进行横向移动，并持续未被发现。本节包含的十大网络安全配置错误：

易于破解的密码，犯罪分子无需花费大量资源即可轻松破解。
以明文形式披露密码。以明文形式存储密码是非常危险的，因为如果攻击者访问包含密码的文件（如电子表格或其他文档），他们可能会像合法用户一样访问应用程序和软件。有一些工具可以在文本文件中查找密码，例如Snaffler。

2.10 不受限制的代码执行

允许未经验证的程序在主机上运行，可以允许敌对行为者在网络中运行恶意应用程序。

例如，通过网络钓鱼活动，犯罪集团可以让公司员工在他们的计算机上运行恶意程序，从而方便网络犯罪分子的访问。

NSA和CISA团队发现，在许多情况下，可以利用不受限制的代码执行。怎么？以可执行文件、动态链接库或HTML应用程序的形式。多亏了他们，他们才能访问网络，坚持其中，并侧向移动以实现他们的目标。此外，网络犯罪分子可以执行其他不被注意到的操作，例如使用脚本语言来隐藏他们的活动，绕过允许的用户列表或在内核中执行代码以完全破坏被入侵的设备。

3.缓解网络安全配置错误的建议

正如我们在文章开头所指出的，NSA和CISA不仅列出了软件制造商和获取和使用它们的公司都应该知道的主要网络安全配置错误，而且还提出了一系列建议来减轻这些错误。

这些建议围绕十大网络安全错误配置的每个项目进行阐述，将对防御团队的建议与软件开发人员需要考虑的建议区分在外。

3.1 默认软件和应用程序配置

国家安全局和CISA编制的清单上的第一个错误集中了对负责捍卫和保护公司网络的专业人士的最多建议：

在部署在生产环境中之前，修改公司使用的应用程序和设备的预定义配置。
更改供应商提供的服务、软件和设备的预定义密码和用户名。
更新控制基础设施，使用监控和审计机制，并进行高效的访问控制来保护技术基础设施。
确保ADCS部署的安全配置，并审查适用服务器上的模板权限。
要求客户端和服务器进行SMB签名，以避免中间技术中的对手。

就软件供应商而言，十大网络安全错误配置表明：

例如，通过遵循NIST安全软件开发框架的最佳实践，将安全控制集成到软件架构中。
为客户提供启用安全功能的软件，并附有降级安全控制的指南，清楚地解释了与降级这些功能相关的业务风险。
不要为软件客户端提供通用共享的默认密码，并要求管理员在安装和配置期间设置强密码。
考虑安全措施对人们使用该软件的体验的影响。

3.2 用户和管理员权限之间的分离不足

关于这种类型的错误，NSA和CISA制定的指南建议：

部署身份验证、授权和审计系统，以限制用户可以采取的行动，审计日志并检测未经授权的访问或活动。
持续审计帐户，以消除那些不活跃或不必要的帐户。
防止特权帐户被用于增加网络暴露的日常行为，如查看电子邮件。
限制拥有管理员权限的公司用户数量。
部署基于时间的访问权限，以访问具有更高权限的帐户。
限制域用户在多个系统上成为本地管理员组的一部分。
确定服务帐户仅拥有其控制的服务操作所需的权限。

软件开发人员应该考虑哪些步骤来识别和减轻与特权相关的错误？

设计应用程序，这样受损的安全控制就不会危及整个系统。
自动报告不活跃和特权帐户管理员，以暂停前者，并减少后者的特权扩散。
自动通知管理员未充分利用的服务，并提出停用它们或实施访问控制列表的措施。

3.3 内部网络监控不足

为了减少监控组织内部网络的错误，十大网络安全配置错误建议国防团队：

为他们使用的应用程序和服务建立基线，审计对它们的访问和行政活动。
有一个代表公司常规流量活动、网络性能、应用程序活动和用户行为的基线。以便能够检测到异常行为并调查任何偏差。
使用审计工具来检测可以利用的机会，滥用公司系统上的特权和服务，在事件发生之前纠正问题。
部署一个安全信息和事件管理系统。

鼓励软件开发人员向免费签约软件的公司提供审计日志，因为这些日志有助于检测和升级安全事件。

3.4 缺乏网络分割

十大安全配置错误列出了防御团队应该实施的三项建议，以缓解公司网络缺乏分割：

部署防火墙来执行深度数据包过滤和分析数据包。
设计和实施网络分段，以隔离关键系统、功能和资源。
部署单独的VPC实例来隔离关键的云系统。

从软件生产商方面来看，建议他们向企业保证产品和应用程序与分段网络环境兼容，并在这种环境中进行测试。

3.5 补丁管理不善

补丁和软件更新的管理是负责保护公司网络和系统的专业人士的基本职能。这就是为什么前10名网络安全配置错误推荐防御团队：

确保补丁管理过程高效，并且操作系统、浏览器和软件产品的更新版本可用。
优先修补，以减轻恶意行为者已经利用的已知漏洞。
尽可能自动更新软件。
如果无法修补，从业人员应对网络进行分割，以限制易受攻击的系统暴露。
尽快停止使用过时的软件和硬件。
修补基本输入/输出系统（BIOS）和其他固件，以防止敌对行为者利用已知的漏洞。

关于补丁管理，NSA和CISA建议软件开发人员：

遵循NIST安全软件开发框架的最佳实践，在架构和整个软件生命周期中实施安全控制，并且：
- 遵循安全编码实践
- 复习代码
- 进行代码审计，以识别漏洞并确保满足安全要求。
确保已发布的CVE包含漏洞的根本原因，以促进对软件安全设计缺陷的分析。
清晰而简单地告知客户与使用过时的操作系统和固件相关的业务风险。

3.6 规避系统访问控制

公司的防御团队如何防止规避访问控制？国家安全局和CISA建议他们：

避免在系统之间重复使用凭据，这减少了恶意行为者向侧移动的可能性。
有一个方法来监控非标准登录事件。
部署一个有效且持续的补丁管理流程。
当用户帐户登录公司网络时，对本地帐户应用用户帐户控制限制。
防止域用户成为多个系统上本地管理员组的一部分。
限制工作站之间的通信，并让它们全部通过一个服务器。
仅在需要它的系统上使用特权帐户。

为了方便纠正此配置错误，该指南建议软件生产者在审计日志中提供足够的详细信息，以便更容易检测规避系统控制并跟踪所有可疑操作。

3.7 弱或配置错误的多因素身份验证方法

关于多因素身份验证方法的使用，NSA和CISA制作的文档为Windows环境提出了一系列可以在短期内实施的具体建议。此外，长期以来，它一直提议拥有云主身份验证解决方案。关于打击网络钓鱼，十大网络安全Misonfigurations建议使用抗网络钓鱼的多因素身份验证方法，以访问机密公司数据以及敏感资源和服务。该指南建议将网络钓鱼弹性多因素身份验证扩展到尽可能多的服务。

软件供应商如何为这一领域做出贡献？