配置錯誤的網絡安全產品可能會成為遭到攻擊的入口，美國國家安全局 (NSA) 和網絡安全與基礎設施安全局 (CISA) 提供的指南列出了軟件配置中可糾正的關鍵弱點。

雖然網絡安全新聞頭條經常被最新的零日漏洞或供應商軟件/產品或開源軟件庫中的顯著漏洞所占據，但現實情況是，許多重大數據泄露事件已經并將繼續(xù)由配置錯誤導致。

為強調此問題的嚴重性，美國國家安全局 (NSA) 和網絡安全與基礎設施安全局 (CISA) 最近發(fā)布了“網絡安全十大配置錯誤”，這些配置錯誤是通過廣泛的紅藍隊評估、威脅搜尋以及事件響應團隊活動發(fā)現的。

如果你像大多數網絡安全專業(yè)人員一樣，那么其中許多內容應該都不會讓你感到驚訝，甚至可能看起來“很簡單”，但俗話說，正因為事情簡單，并不意味著做起來容易，在現代復雜的數字環(huán)境中，大規(guī)模地解決這些基本問題始終是一項艱巨的任務。

該出版物強調，配置錯誤在大型企業(yè)中非常普遍，即使是在那些具備成熟安全態(tài)勢的企業(yè)中也是如此，并強調軟件供應商需要采取安全設計或默認安全的方法，這也是CISA一直在倡導的，并在2024年初就此主題發(fā)布了指南。

話雖如此，讓我們深入了解CISA列出的十大配置錯誤。此外，正如該出版物所指出的，這些配置錯誤并非按照優(yōu)先級或重要性排序，因為每一個配置錯誤本身都可能存在問題，并為攻擊者提供利用的途徑。

軟件和應用程序的默認配置

人們可能認為，到了2024年，我們不會再討論軟件默認配置不安全的風險，但事實并非如此。默認憑據、權限和配置等問題仍然是常見的被利用的攻擊途徑。

例如，在廣泛使用的商用現貨軟件和產品中保留默認憑據，可能會導致惡意行為者識別出這些默認憑據，并利用系統和環(huán)境(這些系統和環(huán)境中的憑據未更改)進行攻擊。

這些默認設置通常廣為人知，甚至是最不熟練的惡意行為者也能輕松找到，因為制造商經常會公布這些設置。這可能會讓攻擊者識別出憑據，更改管理訪問權限以控制某些內容，并從被攻破的設備轉向其他網絡系統。

除了設備上的默認憑據外，CISA還指出，服務通常默認具有過于寬松的訪問控制和脆弱的設置。他們特別提到了諸如不安全的Active Directory證書服務、舊版協議/服務以及不安全的服務器消息塊 (SMB) 服務等問題。

如果微軟在列出的項目中占據很大篇幅，那是因為它在評估團隊在整個活動過程中遇到的產品中最為常見，當然，除了默認憑據之外，微軟在CISA已知被利用漏洞 (KEV) 目錄中也占據首位。有時候，名列前茅并不是那么光鮮亮麗。

用戶/管理員權限劃分不當

盡管零信任等概念(植根于最小權限訪問控制等理念)在行業(yè)內炒得火熱，但這種弱點仍然普遍存在。CISA的出版物提到了賬戶權限過大、服務賬戶權限提升以及非必要使用高級賬戶等問題。

在IT或網絡安全領域工作過一段時間的人都知道，許多問題都可以追溯到人類行為以及在復雜環(huán)境中工作的普遍需求。隨著人員在不同的角色和任務之間輪換，賬戶往往會累積權限和特權，而這些權限和特權很少得到清理。

《Verizon數據泄露調查報告》等來源年復一年地表明，憑據泄露仍是大多數數據泄露事件的關鍵因素，這些權限過大的賬戶就像是在等待惡意行為者濫用的豐富目標。

內部網絡監(jiān)控不足

如果一棵樹在森林里倒下，而周圍沒有人，那它會發(fā)出聲音嗎?同樣地，如果你的網絡遭到破壞，而你缺乏可見性、意識和相關警報，那么你是否能夠采取任何行動呢?不能，都不能。

CISA的出版物表明，企業(yè)需要收集并監(jiān)控足夠的流量，以確保能夠檢測和響應異常行為。如該出版物所述，評估和威脅搜尋團隊經常會遇到網絡系統和基于主機的日志記錄不足的情況，或者雖然有記錄但配置不當且未實際監(jiān)控，因此無法在潛在事件發(fā)生時做出響應，這并不罕見。

這讓惡意活動肆無忌憚地進行，并延長了攻擊者在受害者系統中的停留時間而不被發(fā)現。為了加強網絡監(jiān)控和防護，該出版物建議讀者查閱CISA的文件《CISA紅隊分享改進網絡監(jiān)控和防護的關鍵發(fā)現》。

缺乏網絡分段

另一個出現的基本安全控制是分段網絡的需求，這一做法再次與更廣泛的零信任推動相關聯。如果不對網絡進行分段，企業(yè)就無法在不同的系統、環(huán)境和數據類型之間建立安全邊界。

這讓惡意行為者能夠攻破單個系統，并在不同系統之間自由移動，而不會遇到阻礙其惡意活動的阻力和額外的安全控制及邊界。該出版物特別指出了IT和OT網絡之間缺乏分段所帶來的挑戰(zhàn)，這使OT網絡面臨風險，對工業(yè)控制系統等環(huán)境中的安全和安保產生實際影響。

補丁管理不善

打補丁是網絡安全中每個人都喜歡的活動，對吧?這份十大配置錯誤出版物指出，未能應用最新的補丁可能會使系統因惡意行為者利用已知漏洞而面臨被攻擊的風險。

此處的挑戰(zhàn)在于，即使是執(zhí)行定期補丁管理的企業(yè)，Cyentia研究所等來源也指出，企業(yè)的修復能力(即通過補丁等方式修復漏洞的能力)欠佳。

企業(yè)平均每月只能修復每10個新漏洞中的1個，這使它們始終處于漏洞積壓持續(xù)指數級增長的困境，也解釋了為什么Ponemon和Rezilion等機構發(fā)現企業(yè)的漏洞積壓從數十萬到數百萬不等。

再加上Qualys的發(fā)現，即攻擊者利用漏洞的速度比企業(yè)修復漏洞的速度快約30%，這無疑是一場災難——記住，攻擊者只需要成功一次。

提到的問題包括缺乏定期補丁管理以及使用不受支持的操作系統和固件，這意味著這些項目根本沒有可用的補丁，也不再受供應商支持。我個人還會補充一點，即企業(yè)需要確保他們正在使用安全的開源組件和最新版本，這也是許多企業(yè)所掙扎的地方，也是導致軟件供應鏈攻擊增加的原因之一。

系統訪問控制被繞過

我們已經多次討論了訪問控制的需求，但在某些情況下，惡意行為者可以繞過系統訪問控制。該指南特別指出了諸如收集用于身份驗證信息的哈希值(如傳遞哈希(PtH)攻擊)，然后使用該信息以未經授權的方式提升權限和訪問系統等示例。

多因素認證(MFA)方法配置不當或薄弱

在這個配置錯誤中，我們再次看到CISA和NSA討論了PtH類型攻擊的風險。他們指出，盡管許多政府/國防部網絡使用了智能卡和令牌等多因素認證(MFA)，但賬戶仍然存在密碼哈希，如果MFA未強制執(zhí)行或配置不當，惡意行為者可以使用哈希值獲得未經授權的訪問權限。這個問題當然也可能存在于可能使用Yubikey或數字形式因素和身份驗證工具的商業(yè)系統中。

缺乏防網絡釣魚的多因素認證(MFA)

盡管業(yè)界已經推動多因素認證(MFA)相當長一段時間，但我們面臨的嚴峻現實是，并非所有類型的MFA都是等同的。這個配置錯誤和弱點指出了存在不具備“防網絡釣魚”能力的MFA類型，這意味著它們容易受到SIM卡交換等攻擊。CISA的《實施防網絡釣魚的多因素認證》概況介紹等資源可以幫助管理員找到正確的方向。

網絡共享和服務訪問控制列表不足

不言而喻，在大多數情況下，數據是惡意行為者主要追求的目標，因此，這份列表中出現網絡共享和服務保護不足的情況也就不足為奇了。該指南指出，攻擊者正在使用注釋、開源工具和自定義惡意軟件來識別和利用暴露和不安全的數據存儲。

當然，我們在本地數據存儲和服務中看到了這種情況的發(fā)生，并且隨著云計算的采用以及用戶配置錯誤的存儲服務的普遍存在，再加上廉價且廣泛的云存儲，這一趨勢只會加速發(fā)展，讓攻擊者能夠輕易竊取大量數據，無論是從數據規(guī)模還是受影響個人數量來看，都令人震驚。

該指南還強調，攻擊者不僅可以竊取數據，還可以將其用于其他惡意目的，如收集未來攻擊所需的情報、敲詐勒索、識別可被濫用的憑據等。

憑據管理不善

憑據泄露仍然是主要的攻擊途徑，Verizon的《數據泄露調查報告》(DBIR)顯示，超過一半的攻擊都涉及憑據泄露。該指南特別指出了諸如易破解的密碼或明文密碼泄露等問題，這些問題都可能被攻擊者利用來破壞環(huán)境和企業(yè)。

我想補充的是，隨著云計算的興起以及對聲明式基礎設施即代碼和機器身份識別與認證的推動，我們看到了對機密信息(通常包括憑據)更加爆炸性的濫用，這在安全供應商GitGuardian的《機密信息泛濫狀況報告》等來源中得到了很好的體現。

這也是為什么我們繼續(xù)看到供應商在其平臺和產品中實現機密信息管理功能的原因。這甚至繼續(xù)影響著最具數字能力的企業(yè)，比如三星，其源代碼泄露中暴露了6000多個密鑰。

代碼執(zhí)行不受限制

這一點很直接，因為攻擊者希望在系統和網絡上運行任意的惡意負載。未經驗證和未經授權的程序會帶來重大風險，因為它們可以在系統或終端上執(zhí)行惡意代碼，導致系統被破壞，并促進惡意軟件在企業(yè)網絡中的橫向移動或傳播。

該指南提到，這種代碼也可以采用多種形式，如可執(zhí)行文件、動態(tài)鏈接庫、HTML應用程序，甚至是辦公軟件應用程序(如宏)中的腳本。