背景
現代的網絡攻擊者經常利用糟糕的安全配置、薄弱的安全控制和脆弱的安全措施來獲得受害者的初始訪問權限,以NSA(美國國家安全局)為首的,來自美國、加拿大、新西蘭、荷蘭、英國的國家網絡安全機構共同撰寫了一份網絡安全指導意見,這份指導意見報告指出了緩解這些安全問題的最佳做法。筆者針對這個意見報告,為粉絲們進行精讀翻譯。
參考:
https://media.defense.gov/2022/May/17/2002998718/-1/-1/0/CSA_WEAK_SECURITY_CONTROLS_PRACTICES_EXPLOITED_FOR_INITIAL_ACCESS.PDF
保護系統的最佳實踐
Control access. (訪問控制)
Harden credentials. (身份憑證加固)
Establish centralized log management. (建立集中化的日誌管理)
Use antivirus. (使用殺毒軟件)
Employ detection tools. (採用檢測工具)
Operate services exposed on internet-accessible hosts with secure configurations. (對暴露在互聯網上的主機服務進行安全配置操作)
Keep software updated.(保持軟件系統的更新)
攻防技戰術描述
惡意攻擊者通常使用以下技術來獲得對受害者網絡的初始訪問權限[TA0001]
Exploit Public-Facing Application [T1190](程序開放接口的漏洞利用)
External Remote Services [T1133](外部遠程服務)
Phishing [T1566](釣魚)
Trusted Relationship [T1199](信任關係)
Valid Accounts [T1078](有效賬戶)
那些糟糕的安全配置、薄弱的安全控制和脆弱的安全措施:
多因素認證(MFA)沒有被強制執行
訪問控制列表中存在不正確的權限配置和特權訪問
軟件沒有及時更新
使用供應商提供的默認配置或默認登錄用戶名和密碼
遠程服務,如虛擬專用網絡(VPN),缺乏足夠的控制,以防止未經授權的訪問。
沒有實施強有力的密碼安全策略
雲服務不受保護,配置錯誤的雲服務是網絡攻擊的常見目標
開放端口和配置錯誤的服務被暴露在互聯網上,這是最重要的問題之一
未能發現或阻止網絡釣魚的企圖
終端安全檢測和響應糟糕
防治措施
應用以下做法可以幫助組織機構加強其網絡防禦
訪問控制
採用零信任的安全模式
多因素認證(MFA)沒有被強制執行
限制特權賬戶遠程會話登錄後的操作
沒有控制可以訪問的數據和服務的角色
確保對數據和服務的訪問是專門為每個用戶定製的,每個員工都有自己的用戶賬戶
只讓員工訪問執行任務所需的資源
在安裝或調試時改變設備和系統的默認密碼
確保員工進入、離開和內部活動的安全流程程序,清理非活動賬號
加固訪問策略的安全條件
確認所有機器沒有開放遠程桌面管理,例如基於雲的虛擬機實例開放的RDP端口
實施憑證加固
強制實施MFA(多因素認證)
改變或停用供應商提供的默認用戶名和密碼
設置監控,以檢測在你的系統上失陷憑證的使用情況
建立集中化的日誌管理
確定需要哪些日誌文件
設置必要的告警
確保你的系統是可用的文件格式存儲日誌文件,並確保記錄的時間戳是準確的,並設置為正確的時區。
將本地系統的日誌轉發到一個集中的存儲庫或安全信息事件管理(SIEM)工具
確定日誌的保留期和安全存儲訪問等
採用殺毒軟件
在工作站上部署殺毒軟件解決方案
定期監測殺毒軟件掃描結果
使用安全檢測工具和發現安全漏洞
部署端點和檢測響應工具(EDR),這些工具允許對端點的安全狀態有高度的安全視野
採用IDS或IPS來保護網絡和企業內部設備免受惡意活動的影響,使用簽名規則來幫助檢測與已知威脅活動相關的惡意網絡活動
進行滲透測試以識別錯誤的系統配置
進行漏洞掃描,檢測和解決應用程序的漏洞
使用雲服務提供商的工具來檢測過度共享的雲存儲,並監測異常訪問
保持嚴格的安全配置管理程序
始終以安全的配置操作暴露在互聯網上的主機的服務。不要在沒有安全管控能力和措施的情況下啟用外部訪問,如沒有網絡邊界防火牆和其他更安全的內部主機(如域控制器)網絡分割策略。需要不斷地評估面向互聯網的服務業務和任務需要。遵循安全配置的最佳實踐做法,例如微軟的一系列攻擊面縮減措施,如阻止來自互聯網惡意文檔中的宏。
啟動軟件的安全補丁管理計劃
實施資產的安全補丁管理程序,以保持軟件的更新。識別並通過執行漏洞掃描和打補丁活動,減少不支持的、已過期的和未打補丁的軟件和固件。修復
CISA EXPLOITED VULNERABILITIES CATALOG中所有的優先級最高的已知在野利用漏洞。
留言列表