背景

现代的网络攻击者经常利用糟糕的安全配置、薄弱的安全控制和脆弱的安全措施来获得受害者的初始访问权限,以NSA(美国国家安全局)为首的,来自美国、加拿大、新西兰、荷兰、英国的国家网络安全机构共同撰写了一份网络安全指导意见,这份指导意见报告指出了缓解这些安全问题的最佳做法。笔者针对这个意见报告,为粉丝们进行精读翻译。

参考:

https://media.defense.gov/2022/May/17/2002998718/-1/-1/0/CSA_WEAK_SECURITY_CONTROLS_PRACTICES_EXPLOITED_FOR_INITIAL_ACCESS.PDF

保护系统的最佳实践

  • Control access. (访问控制)

  • Harden credentials. (身份凭证加固)

  • Establish centralized log management. (建立集中化的日志管理)

  • Use antivirus. (使用杀毒软件)

  • Employ detection tools. (采用检测工具)

  • Operate services exposed on internet-accessible hosts with secure configurations. (对暴露在互联网上的主机服务进行安全配置操作)

  • Keep software updated.(保持软件系统的更新)

攻防技战术描述

恶意攻击者通常使用以下技术来获得对受害者网络的初始访问权限[TA0001]

  • Exploit Public-Facing Application [T1190](程序开放接口的漏洞利用)

  • External Remote Services [T1133](外部远程服务)

  • Phishing [T1566](钓鱼)

  • Trusted Relationship [T1199](信任关系)

  • Valid Accounts [T1078](有效账户)

那些糟糕的安全配置、薄弱的安全控制和脆弱的安全措施:

  • 多因素认证(MFA)没有被强制执行

  • 访问控制列表中存在不正确的权限配置和特权访问

  • 软件没有及时更新

  • 使用供应商提供的默认配置或默认登录用户名和密码

  • 远程服务,如虚拟专用网络(VPN),缺乏足够的控制,以防止未经授权的访问

  • 没有实施强有力的密码安全策略

  • 云服务不受保护,配置错误的云服务是网络攻击的常见目标

  • 开放端口和配置错误的服务被暴露在互联网上,这是最重要的问题之一

  • 未能发现或阻止网络钓鱼的企图

  • 终端安全检测和响应糟糕

防治措施

应用以下做法可以帮助组织机构加强其网络防御

访问控制

  • 采用零信任的安全模式

  • 多因素认证(MFA)没有被强制执行

  • 限制特权账户远程会话登录后的操作

  • 没有控制可以访问的数据和服务的角色

    • 确保对数据和服务的访问是专门为每个用户定制的,每个员工都有自己的用户账户

    • 只让员工访问执行任务所需的资源

    • 在安装或调试时改变设备和系统的默认密码

    • 确保员工进入、离开和内部活动的安全流程程序,清理非活动账号

  • 加固访问策略的安全条件

  • 确认所有机器没有开放远程桌面管理,例如基于云的虚拟机实例开放的RDP端口

实施凭证加固

  • 强制实施MFA(多因素认证)

  • 改变或停用供应商提供的默认用户名和密码

  • 设置监控,以检测在你的系统上失陷凭证的使用情况

建立集中化的日志管理

  • 确定需要哪些日志文件

  • 设置必要的告警

  • 确保你的系统是可用的文件格式存储日志文件,并确保记录的时间戳是准确的,并设置为正确的时区。

  • 将本地系统的日志转发到一个集中的存储库或安全信息事件管理(SIEM)工具

  • 确定日志的保留期和安全存储访问等

采用杀毒软件

  • 在工作站上部署杀毒软件解决方案

  • 定期监测杀毒软件扫描结果

使用安全检测工具和发现安全漏洞

  • 部署端点和检测响应工具(EDR),这些工具允许对端点的安全状态有高度的安全视野

  • 采用IDS或IPS来保护网络和企业内部设备免受恶意活动的影响,使用签名规则来帮助检测与已知威胁活动相关的恶意网络活动

  • 进行渗透测试以识别错误的系统配置

  • 进行漏洞扫描,检测和解决应用程序的漏洞

  • 使用云服务提供商的工具来检测过度共享的云存储,并监测异常访问

保持严格的安全配置管理程序

  • 始终以安全的配置操作暴露在互联网上的主机的服务。不要在没有安全管控能力和措施的情况下启用外部访问,如没有网络边界防火墙和其他更安全的内部主机(如域控制器)网络分割策略。需要不断地评估面向互联网的服务业务和任务需求。遵循安全配置的最佳实践做法,例如微软的一系列攻击面缩减措施,如阻止来自互联网恶意文档中的宏。

启动软件的安全补丁管理计划

实施资产的安全补丁管理程序,以保持软件的更新。识别并通过执行漏洞扫描和打补丁活动,减少不支持的、已过期的和未打补丁的软件和固件。修复CISA EXPLOITED VULNERABILITIES CATALOG中所有的优先级最高的已知在野利用漏洞。

声明:本文来自QZ的安全悟道,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。