Sekuriteitsgruwels: Die NSA en CISA se lys van Top Tien Sekuriteit Slip-Ups

’n Onveilige netwerk is ’n kuberveiligheidsverdediger se ergste nagmerrie en ’n aanvaller se droom. 'n Enkele wankonfigurasie kan 'n gapende gat in 'n netwerk laat. Maar of dit nou deur onkunde, afleiding, nie genoeg administrateurs of te veel is nie, hierdie wankonfigurasies is algemeen. Die Amerikaanse nasionale veiligheidsagentskap (NSA) en die agentskap vir kuberveiligheid en infrastruktuur (CISA) sien soveel van dieselfde opduik dat hulle 'n verslag wat die tien algemeenste uiteensit. Ons het hulle hier in lyn gebring, saam met 'n bespreking van hul potensiële gevolge en moontlike versagtingsmaatreëls.

Verstekkonfigurasies van sagteware en toepassings

Hierdie klassieke sekuriteit SNAFU behels die gebruik van verstek administratiewe toegang geloofsbriewe, wat maklik aanlyn gevind kan word. Deur dit nie te verander nie, laat administratiewe beheer oop vir enigiemand wat die toegangsportaal kan bereik.

Standaardkonfigurasieprobleme strek verder as die gebruik van voorafbepaalde fabrieksaanmeldings. Dienste soos Active Directory (wat baie in die spanne se ontledings verskyn) kom met verstekvoorregteinstellings vir verskillende dienste of laat kwesbare nalatenskapdienste by verstek aan.

Byvoorbeeld, vir 'n lang tyd het Microsoft Active Directory Link-Local Multicast Name Resolution (LLMNR) by verstek aan gelaat, alhoewel hierdie naamresolusiediens aangekondig is vanaf die tyd toe DNS nie so alomteenwoordig was soos dit nou is nie. Daardie protokol het 'n sekuriteitsprobleem wat aanvallers kan ontgin. Microsoft het in April 2022 verklaar dat hy daardie diens sal uitfaseer ten gunste van die nuwer, veiliger mDNS.

Onbehoorlike skeiding van gebruiker/administrateur voorreg

Toegang met die minste voorreg is 'n fundamentele beginsel van moderne sekuriteit, tog verlaat baie administrateurs rekeninge met buitensporige voorregte wat aanvallers kan ontgin. Diensrekeninge word gebruik om toegang tot hulpbronne te verkry, aangesien dit dikwels verhoogde voorregte het sodat hulle toegang tot sommige stelselhulpbronne het. Hulle is 'n gewaardeerde bate vir aanvallers.

Daar is verskeie regstellende maatreëls hier, insluitend die beperking van die gebruik van bevoorregte rekeninge om algemene take uit te voer wat hulle kwesbaar kan maak (soos toegang tot e-pos), die oudit van gebruikersrekeninge en die toepassing van die minste voorreg toegang. Ons het ook gehou van die idee om administratiewe rekeninge te deaktiveer en slegs toegang daartoe toe te laat op versoek vir 'n vasgestelde tydraamwerk.

Onvoldoende interne netwerkmonitering

Minder ervare aanvallers kan geraas maak wanneer hulle toegang tot die netwerk kry en sywaarts rondbeweeg. Organisasies wat nie hul netwerke monitor nie, sal daardie seine mis. In sommige gevalle het die spanne gevind dat sommige mense gasheermasjiene monitor terwyl hulle nie die netwerk nagaan nie, wat beteken dat hulle die effek van 'n aanval op die bediener kon sien, maar nie kon sien waar dit vandaan kom nie.

Gebrek aan netwerksegmentering

Deur jou netwerk in logiese segmente op te sny, skep sekuriteitsones wat gebruikers net met die regte voorregte kan oorsteek. Dit is die netwerk-ekwivalent van die beveiliging van toegangsdeure vir verskillende dele van die gebou deur gebruik te maak van kentekentoegang. Tog hou baie organisasies hul netwerke 'plat', wat toegang tot enige area vanaf enige plek moontlik maak. Volgens a kongresverslag, het hierdie mislukking in die Kantoor van Personeel en Bestuur (OPM) netwerk bygedra tot die suksesvolle oortreding daarvan in 2015.

Swak Patch Management

Dit is teleurstellend, maar nie verbasend nie dat die versuim om toepassings en bedryfstelsels reg te maak, steeds 'n probleem vir organisasies is. Ons weet dat die pleister van alles op die netwerk 'n swaar ophef kan wees, maar die prioritering van pleisters gebaseer op behoorlike risiko-analise kan help om die dringendste opdaterings te identifiseer. Wat verstommend is, is dat die spanne volgens die verslag organisasies "gereeld waargeneem" het wat steeds nie MS08-067 gepleister het nie – die 2008-kwesbaarheid van afgeleë kode-uitvoering wat Confider toegelaat het om te spawn – en MS17-010, wat die EternalBlue-aanval toegelaat het waarop die 2017 WannaCry-wanware was gebaseer.

Omseil van stelseltoegangskontroles

Aanvallers sal soms tradisionele omseil stelseltoegangskontroles. Een tegniek genaamd 'pass the hash' gebruik gesteelde hashes van geloofsbriewe (dalk van 'n databasis wat op die donker web gepubliseer is) om toegang te verkry tot verifikasiestelsels sonder om 'n duidelike tekswagwoord te gebruik.

Swak of verkeerd gekonfigureerde Multi-Factor Authentication (MFA) Metodes

MFA is 'n waardevolle laag van beskerming, maar dit is geen wondermiddel nie, veral as dit verkeerd geïmplementeer word. Algemene probleme sluit in die gebruik van SMS-gebaseerde MFA wat onderhewig is aan SIM-omruiling, of 'stootbomaanval', waar aanvallers mense pla om toegang te verifieer. CISA beveel aan om FIDO/WebAuthn as die goue standaard te gebruik om sulke aanvalle te vermy. App-gebaseerde verifikasies is die volgende beste keuse.

Onvoldoende toegangsbeheerlyste (ACL's) op netwerkaandele en -dienste

Jy het dalk jou diensrekeninge gesluit, maar wat van jou netwerkaandrywers? Deur netwerkaandele oop te laat vir ongemagtigde rekeninge, bied aanvallers 'n dikwels ontginde ingang. Die verslag sê hulle kan oopbronnutsgoed of eenvoudige stelselopdragte gebruik om beskikbare aandele te skandeer.

Swak Geloofshigiëne

Volgens die verslag is die gebruik van wagwoorde wat maklik is om te kraak of om dit in duidelike teks te stoor, albei algemene sekuriteitstrokies. Om wagwoorde in duidelike teks te hou, is 'n ooglopend onveilige skuif. Tog, selfs groot maatskappye soos as Facebook en GoDaddy het wagwoorde op hierdie manier gestoor of in 'n formaat wat maklik omkeerbaar is na duidelike teks. Selfs wagwoorde wat gehash is, kan met wagwoordkrakers opgespoor word.

Onbeperkte Kode Uitvoering

Die tiende algemene wanopstelling wat in die lys gedeel word, is dat ongeverifieerde toepassings op gashere kan loop. Uitvissing-aanvallers sal dikwels slagoffers oorreed om ongemagtigde sagteware op hul masjiene te laat loop.

Die verslag stel voor dat lyste wat slegs spesifieke programhandtekeninge toelaat, kan help. Dit kan egter moeilik wees om te implementeer aangesien wettige programme dikwels in verskeie weergawes kom, wat talle handtekeninge skep. Die verslag maak ook melding van die gebruik van leesalleen-houers en minimale beelde.

Versagtingstappe

Die verslag lys verskeie versagtings vir hierdie risiko's, waarvan baie duidelik behoort te wees vir bekwame sekuriteitspersoneel. Die feit dat die NSA en CISA afsonderlike versagtingstappe vir netwerkverdedigers en sagtewarevervaardigers gepubliseer het, was prysenswaardig. Al te dikwels, verskaffers ontsnap kritiek vir hul eie onseker praktyke.

Versagtings deur vervaardiger wat in die verslag voorgestel word, sluit in om van die begin af veilige sagteware-ontwikkelingsriglyne te volg. Dit sal help om die foute uit te skakel wat gelei het tot daaropvolgende sagteware-patches. Verkopers moet ook sagteware stuur wat by verstek verhard is eerder as om ekstra werk van die kliënt se kant af te vereis. Ons het gehou van die idee om 'gidse los te maak' wat kliënte wys hoe om sekuriteitsinstellings te verslap waar nodig, tesame met die risiko's om dit te doen. Dit is baie moeiliker om sekuriteitskontroles by te voeg as om afstand te doen van dié wat reeds in plek is.

Ander lank agterstallige maatreëls sluit in die uitskakeling van verstekwagwoorde. Alhoewel bevoegde administrateurs dit moet verander, doen baie dit nie. Die ontwerp van sagteware (om nie te praat van hardeware nie) wat dit nie het nie, sal persoonlike konfigurasie-instellings dwing. Nog een is verstekondersteuning vir MFA en verpligte MFA vir bevoorregte gebruikers.

Die verskaffing van omvattende ouditlogboeke uit die boks sal help om netwerkmonitering te ondersteun en die omseil van toegangskontroles op te spoor, het die verslag bygevoeg. Toegangsbeheer lyste met minimale nodige voorregte kan dinge 'n bietjie minder gerieflik maak vir gebruikers, maar sal ook die risiko vir die stelsel van gekaapte rekeninge verminder.

Nog 'n voorstel is ondersteuning vir die uitvoering van kode kontroles uit die boks in bedryfstelsels en toepassings, wat sal help om ongewone kode te vermy. Ons het reeds 'n paar hiervan gesien, soos met Apple se waarskuwing wanneer kode uitgevoer word wat nie van die toepassingwinkel is nie en Microsoft se besluit om VBA-makro's van die internet te blokkeer. Daar is genoeg plek vir meer.

Dit is teleurstellend dat so baie van die algemene foute in hierdie lys geharde meerjariges is. Hulle het almal jare lank in sekuriteitsoortredings opgeduik en sal dit vir nog vele meer doen. Deur versagtingstappe vir kliënte en verskaffers te bied, lê die NSA en CISA ten minste die grondslag vir meer verantwoordelike rekenaars.

Ontsluit die krag van sekuriteitsraamwerke met ISMS.online

Die gebruik van raamwerke soos ISO 27001 en NIST bied organisasies bewese leiding vir die bou van omvattende sekuriteitsprogramme.

Deur die vereistes en beheermaatreëls wat in hierdie raamwerke uiteengesit word aan te neem, kan maatskappye sistematies risiko's aanspreek, kritieke bates beskerm en voldoening aan relevante regulasies verseker. Die gestruktureerde benadering van die kartering van 'n organisasie se spesifieke behoeftes aan gevestigde raamwerke ontsluit die krag van die industrie se beste praktyke vir inligtingsekuriteit, wat 'n strategiese pad bied vir voortdurende verbetering van verdediging in 'n komplekse bedreigingslandskap.

Met die behoorlike toepassing van toonaangewende sekuriteitstandaarde kan selfs klein spanne effektiewe programme bou wat bedrywighede en data beskerm. Maak vandag 'n oproep met een van ons kundiges om uit te vind hoe die aanvaarding van 'n sekuriteitsraamwerk jou organisasie kan bevoordeel.