美國國家安全局(NSA)和網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)在本周五的報(bào)告中公布了其紅隊(duì)和藍(lán)隊(duì)在大型組織網(wǎng)絡(luò)中發(fā)現(xiàn)的十大最常見網(wǎng)絡(luò)安全誤配置。NSA和CISA在安全建議中詳細(xì)說明了攻擊者經(jīng)常使用哪些策略、技術(shù)和程序(TTPs)來成功利用這些誤配置，實(shí)現(xiàn)各種目標(biāo)，包括獲得訪問權(quán)限、橫向移動(dòng)和定位敏感信息或系統(tǒng)等。

報(bào)告分析的數(shù)據(jù)來自兩家機(jī)構(gòu)的紅隊(duì)和藍(lán)隊(duì)在對(duì)多個(gè)美國政府部門進(jìn)行的網(wǎng)絡(luò)安全評(píng)估和事件響應(yīng)活動(dòng)，包括來自國防部(DoD)、聯(lián)邦民用執(zhí)行部門(FCEB)、州、地方、部落和領(lǐng)土(SLTT)政府以及私營企業(yè)網(wǎng)絡(luò)的數(shù)據(jù)。

評(píng)估顯示，一些最常見的錯(cuò)誤配置可將整個(gè)國家的人民置于網(wǎng)絡(luò)安全風(fēng)險(xiǎn)之中，例如軟件和應(yīng)用程序的默認(rèn)憑證、服務(wù)權(quán)限和配置、用戶/管理員權(quán)限的不當(dāng)分離、內(nèi)部網(wǎng)絡(luò)監(jiān)控不足、糟糕的補(bǔ)丁管理等。

報(bào)告公布的十大最常見網(wǎng)絡(luò)安全錯(cuò)誤配置包括：

1. 軟件和應(yīng)用程序的默認(rèn)配置
2. 用戶/管理員權(quán)限的不當(dāng)分離
3. 內(nèi)網(wǎng)監(jiān)控不足
4. 缺乏網(wǎng)絡(luò)分段
5. 糟糕的補(bǔ)丁管理
6. 系統(tǒng)訪問控制的繞過
7. 弱或誤配置的多因素認(rèn)證(MFA)方法
8. 網(wǎng)絡(luò)共享和服務(wù)的訪問控制列表(ACLs)不足
9. 糟糕的憑證衛(wèi)生
10. 無限制的代碼執(zhí)行

上述錯(cuò)誤配置是許多大型企業(yè)網(wǎng)絡(luò)中最常見的系統(tǒng)性漏洞和攻擊風(fēng)險(xiǎn)，凸顯了軟件開發(fā)商采用和遵循安全設(shè)計(jì)原則的重要性和緊迫性。

報(bào)告建議軟件開發(fā)商停止使用默認(rèn)密碼，并確保單個(gè)安全控制點(diǎn)被入侵后不會(huì)危及整個(gè)系統(tǒng)的完整性。此外，采取積極措施消除整個(gè)漏洞類別也至關(guān)重要，例如使用內(nèi)存安全的編碼語言或?qū)嵤﹨?shù)化查詢。

最后，報(bào)告建議強(qiáng)制實(shí)施特權(quán)用戶進(jìn)行多因素認(rèn)證(MFA)，并將MFA設(shè)為默認(rèn)措施，使其成為標(biāo)準(zhǔn)實(shí)踐而非可選項(xiàng)。

NSA和CISA還建議網(wǎng)絡(luò)防御者實(shí)施推薦的緩解措施，以減少攻擊者利用這些常見誤配置的風(fēng)險(xiǎn)。這些緩解措施包括：

• 消除默認(rèn)憑證并加固配置
• 停用未使用的服務(wù)并實(shí)施嚴(yán)格的訪問控制
• 確保定期更新并自動(dòng)化補(bǔ)丁過程，優(yōu)先補(bǔ)丁已知的已被利用的漏洞
• 減少、限制、審計(jì)和密切監(jiān)控管理帳戶和權(quán)限

NSA和CISA還建議軟件開發(fā)商也采納安全設(shè)計(jì)和默認(rèn)策略來提高客戶端的安全性，具體緩解措施建議如下：

• 減少錯(cuò)誤配置。從開發(fā)開始就將安全控制嵌入產(chǎn)品架構(gòu)，并在整個(gè)軟件開發(fā)生命周期(SDLC)中進(jìn)行。
• 消除默認(rèn)密碼。
• 免費(fèi)為客戶提供高質(zhì)量的，詳細(xì)且易于理解的審計(jì)日志。
• 強(qiáng)制實(shí)施多因素認(rèn)證(MFA)。對(duì)特權(quán)用戶強(qiáng)制實(shí)施多因素認(rèn)證(MFA)，并將MFA作為默認(rèn)而非可選功能，理想情況下可以防范網(wǎng)絡(luò)釣魚。

此外，NSA和CISA推薦“針對(duì)MITRE ATT&CK for Enterprise框架映射的威脅行為來演練、測(cè)試和驗(yàn)證組織的安全計(jì)劃”。

兩個(gè)機(jī)構(gòu)還建議測(cè)試組織現(xiàn)有的安全控制清單，以評(píng)估它們對(duì)建議中描述的ATT&CK技術(shù)的性能。