Агенцията за национална сигурност (NSA) и Агенцията за киберсигурност и инфраструктурна сигурност (CISA) разкриха днес десетте най-често срещани грешки в киберсигурността, открити от техните червени и сини екипи в мрежите на големи организации.
В днешната консултация подробно се описва и какви тактики, техники и процедури (ТТП) използват участниците в заплахите, за да се възползват успешно от тези неправилни конфигурации с различни цели, включително получаване на достъп, странично придвижване и насочване към чувствителна информация или системи.
Информацията, включена в доклада, е събрана от червените и сините екипи на двете агенции по време на оценките и дейностите по реагиране на инциденти.
„Тези екипи са оценили състоянието на сигурността на много мрежи в Министерството на отбраната (МО), федералната гражданска изпълнителна власт (ФГВР), щатските, местните, племенните и териториалните власти и частния сектор“, заявиха от NSA.
„Тези оценки показаха как често срещани неправилни конфигурации, като например идентификационни данни по подразбиране, разрешения за услуги и конфигурации на софтуер и приложения; неправилно разделяне на привилегиите на потребителите/администрацията; недостатъчен мониторинг на вътрешните мрежи; лошо управление на кръпките, излагат на риск всеки американец“, заяви Ерик Голдщайн, изпълнителен помощник-директор по киберсигурността в CISA.
Топ 10 на най-разпространените мрежови конфигурации, открити по време на оценките на червените и сините екипи и от екипите на NSA и CISA за лов и реакция при инциденти, включва:
- Конфигурации по подразбиране на софтуер и приложения
- Неправилно разделяне на привилегиите на потребителите/администраторите
- Недостатъчно наблюдение на вътрешната мрежа
- Липса на мрежова сегментация
- Лошо управление на кръпките
- Заобикаляне на контрола на достъпа до системата
- Слаби или неправилно конфигурирани методи за многофакторно удостоверяване (MFA)
- Недостатъчни списъци за контрол на достъпа (ACL) на мрежови споделяния и услуги
- Лоша хигиена на удостоверенията
- Неограничено изпълнение на код
Както се посочва в съвместната консултация, тези често срещани неправилни конфигурации представляват системни уязвимости в мрежите на множество големи организации.
Това подчертава критичната необходимост производителите на софтуер да възприемат принципите за сигурност още при проектирането, като по този начин намалят риска от компрометиране.
Голдщайн призова производителите на софтуер да възприемат набор от проактивни практики, целящи ефективно справяне с тези неправилни конфигурации и облекчаване на предизвикателствата, пред които са изправени защитниците на мрежи.
Те включват интегриране на контрола върху сигурността в архитектурата на продукта още от началните етапи на разработване и през целия жизнен цикъл на разработване на софтуера.
Освен това производителите трябва да спрат да използват пароли по подразбиране и да гарантират, че компрометирането на един-единствен контрол на сигурността не застрашава целостта на цялата система. От съществено значение е и предприемането на проактивни мерки за елиминиране на цели категории уязвимости, като например използването на езици за кодиране, които са безопасни за паметта, или прилагането на параметризирани заявки.
И накрая, Голдщайн каза, че е наложително да се наложи многофакторна автентикация (MFA) за привилегированите потребители и да се установи MFA като функция по подразбиране, превръщайки я в стандартна практика, а не в незадължителен избор.
NSA и CISA също така насърчават мрежовите защитници да приложат препоръчаните мерки за смекчаване на последиците, за да се намали рискът нападателите да се възползват от тези често срещани неправилни конфигурации.
Смекчаващите мерки, които биха имали този ефект, включват:
- премахване на идентификационните данни по подразбиране и укрепване на конфигурациите,
- деактивиране на неизползваните услуги и прилагане на строг контрол на достъпа,
- осигуряване на редовни актуализации и автоматизиране на процеса на поправяне, като се дава приоритет на поправянето на известни уязвимости, които са били експлоатирани,
- и намаляване, ограничаване, одитиране и внимателно наблюдение на административните акаунти и привилегии.
Освен прилагането на очертаните смекчаващи мерки, NSA и CISA препоръчват в днешната консултация „да упражнявате, тествате и валидирате програмата за сигурност на вашата организация спрямо поведението на заплахите, съпоставено с рамката MITRE ATT&CK for Enterprise“.
Двете федерални агенции също така съветват да се тества съществуващия списък на контролите за сигурност, за да се оцени тяхната ефективност спрямо техниките ATT&CK, описани в консултацията.