背景
现代的网络攻击者经常利用糟糕的安全配置、薄弱的安全控制和脆弱的安全措施来获得受害者的初始访问权限,以NSA(美国国家安全局)为首的,来自美国、加拿大、新西兰、荷兰、英国的国家网络安全机构共同撰写了一份网络安全指导意见,这份指导意见报告指出了缓解这些安全问题的最佳做法。笔者针对这个意见报告,为粉丝们进行精读翻译。
参考:
https://media.defense.gov/2022/May/17/2002998718/-1/-1/0/CSA_WEAK_SECURITY_CONTROLS_PRACTICES_EXPLOITED_FOR_INITIAL_ACCESS.PDF
保护系统的最佳实践
Control access. (访问控制)
Harden credentials. (身份凭证加固)
Establish centralized log management. (建立集中化的日志管理)
Use antivirus. (使用杀毒软件)
Employ detection tools. (采用检测工具)
Operate services exposed on internet-accessible hosts with secure configurations. (对暴露在互联网上的主机服务进行安全配置操作)
Keep software updated.(保持软件系统的更新)
攻防技战术描述
恶意攻击者通常使用以下技术来获得对受害者网络的初始访问权限[TA0001]
Exploit Public-Facing Application [T1190](程序开放接口的漏洞利用)
External Remote Services [T1133](外部远程服务)
Phishing [T1566](钓鱼)
Trusted Relationship [T1199](信任关系)
Valid Accounts [T1078](有效账户)
那些糟糕的安全配置、薄弱的安全控制和脆弱的安全措施:
多因素认证(MFA)没有被强制执行
访问控制列表中存在不正确的权限配置和特权访问
软件没有及时更新
使用供应商提供的默认配置或默认登录用户名和密码
远程服务,如虚拟专用网络(VPN),缺乏足够的控制,以防止未经授权的访问
没有实施强有力的密码安全策略
云服务不受保护,配置错误的云服务是网络攻击的常见目标
开放端口和配置错误的服务被暴露在互联网上,这是最重要的问题之一
未能发现或阻止网络钓鱼的企图
终端安全检测和响应糟糕
防治措施
应用以下做法可以帮助组织机构加强其网络防御
访问控制
采用零信任的安全模式
多因素认证(MFA)没有被强制执行
限制特权账户远程会话登录后的操作
没有控制可以访问的数据和服务的角色
确保对数据和服务的访问是专门为每个用户定制的,每个员工都有自己的用户账户
只让员工访问执行任务所需的资源
在安装或调试时改变设备和系统的默认密码
确保员工进入、离开和内部活动的安全流程程序,清理非活动账号
加固访问策略的安全条件
确认所有机器没有开放远程桌面管理,例如基于云的虚拟机实例开放的RDP端口
实施凭证加固
强制实施MFA(多因素认证)
改变或停用供应商提供的默认用户名和密码
设置监控,以检测在你的系统上失陷凭证的使用情况
建立集中化的日志管理
确定需要哪些日志文件
设置必要的告警
确保你的系统是可用的文件格式存储日志文件,并确保记录的时间戳是准确的,并设置为正确的时区。
将本地系统的日志转发到一个集中的存储库或安全信息事件管理(SIEM)工具
确定日志的保留期和安全存储访问等
采用杀毒软件
在工作站上部署杀毒软件解决方案
定期监测杀毒软件扫描结果
使用安全检测工具和发现安全漏洞
部署端点和检测响应工具(EDR),这些工具允许对端点的安全状态有高度的安全视野
采用IDS或IPS来保护网络和企业内部设备免受恶意活动的影响,使用签名规则来帮助检测与已知威胁活动相关的恶意网络活动
进行渗透测试以识别错误的系统配置
进行漏洞扫描,检测和解决应用程序的漏洞
使用云服务提供商的工具来检测过度共享的云存储,并监测异常访问
保持严格的安全配置管理程序
始终以安全的配置操作暴露在互联网上的主机的服务。不要在没有安全管控能力和措施的情况下启用外部访问,如没有网络边界防火墙和其他更安全的内部主机(如域控制器)网络分割策略。需要不断地评估面向互联网的服务业务和任务需求。遵循安全配置的最佳实践做法,例如微软的一系列攻击面缩减措施,如阻止来自互联网恶意文档中的宏。
启动软件的安全补丁管理计划
实施资产的安全补丁管理程序,以保持软件的更新。识别并通过执行漏洞扫描和打补丁活动,减少不支持的、已过期的和未打补丁的软件和固件。修复
如有侵权请联系:admin#unsafe.sh