美国国家安全局 (NSA)和网络安全和基础设施安全局 (CISA) 联合发布了大企业红蓝团队发现的十大最常见的网络安全配置不当问题。

安全公告详述了威胁行动者成功利用这些配置不当问题以实现多种目的而所使用的战术、技术和程序 (TTPs)，包括访问、横向移动和针对敏感信息或系统等。报告中所含信息由NSA和CISA的蓝队和红队在评估和事件响应活动中所收集。

NSA表示，“这些团队评估了司法部，联邦民事行政部门，州、地方、部落和领土 (SLTT) 政府以及私营部门的很多网络安全状况。”NSA 网络安全执行助理主任埃里克·戈德斯坦表示，“结果发现常见的配置不当问题就可导致所有美国人面临风险，如默认凭据、服务权限、软件和应用配置不当；用户/管理员权限分割不当；内部网络监控不足；补丁管理不良等。”

红队和蓝队在评估过程中发现了十大最常见的网络配置不当问题，包括：

1、软件和应用的默认配置

2、用户/管理员权限隔离不当

3、内部网络监控不充分

4、缺乏网络分段

5、补丁管理不良

6、系统访问控制绕过

7、多因素认证方法薄弱或配置不当

8、网络共享和服务商的访问控制列表不充分

9、凭据清洁不良

10、不受限的代码执行

联合公告指出，这些常见的配置不当问题会在无数大型组织机构的网络中引发系统性漏洞。因此软件制造商遵循设计安全原则非常重要。

戈德斯坦督促软件制造商采用一系列主动实践，有效解决这些配置不当问题并解决网络防御人员面临的这些挑战。这些措施包括将安全控制集成到最初开发阶段的产品架构和软件开发生命周期中。

另外，软件制造商应停止使用默认密码并确保单个安全控制受陷不会危害整个系统的完整性。采取主动措施消除所有漏洞类型如通过内存安全编程语言或实现参数化查询也至关重要。

戈德斯坦还表示，强制权限用户使用多因素认证机制并将其作为默认特性也很重要，应将其作为标准的而非可选的实践。

NSA和CISA 还提倡网络防御人员执行所推荐的缓解措施，降低攻击者利用这些常见配置不当问题所带来的风险，这些措施包括：

除此以外，NSA和CISA建议“针对映射到 MITRE企业框架ATT&CK的威胁行为演练、测试和验证自身的安全计划。”它们还建议测试已有的安全控制清单，评估针对公告中所提到的ATT&CK 技术的性能。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~