来自五眼联盟的全球最佳网络安全指导意见

背景

现代的网络攻击者经常利用糟糕的安全配置、薄弱的安全控制和脆弱的安全措施来获得受害者的初始访问权限,以NSA(美国国家安全局)为首的,来自美国、加拿大、新西兰、荷兰、英国的国家网络安全机构共同撰写了一份网络安全指导意见,这份指导意见报告指出了缓解这些安全问题的最佳做法。笔者针对这个意见报告,为粉丝们进行精读翻译。

参考:

https://media.defense.gov/2022/May/17/2002998718/-1/-1/0/CSA_WEAK_SECURITY_CONTROLS_PRACTICES_EXPLOITED_FOR_INITIAL_ACCESS.PDF

保护系统的最佳实践

  • Control access. (访问控制)
  • Harden credentials. (身份凭证加固)
  • Establish centralized log management. (建立集中化的日志管理)
  • Use antivirus. (使用杀毒软件)
  • Employ detection tools. (采用检测工具)
  • Operate services exposed on internet-accessible hosts with secure configurations. (对暴露在互联网上的主机服务进行安全配置操作)
  • Keep software updated.(保持软件系统的更新)

攻防技战术描述

恶意攻击者通常使用以下技术来获得对受害者网络的初始访问权限[TA0001]

  • Exploit Public-Facing Application [T1190](程序开放接口的漏洞利用)
  • External Remote Services [T1133](外部远程服务)
  • Phishing [T1566](钓鱼)
  • Trusted Relationship [T1199](信任关系)
  • Valid Accounts [T1078](有效账户)

那些糟糕的安全配置、薄弱的安全控制和脆弱的安全措施:

  • 多因素认证(MFA)没有被强制执行
  • 访问控制列表中存在不正确的权限配置和特权访问
  • 软件没有及时更新
  • 使用供应商提供的默认配置或默认登录用户名和密码
  • 远程服务,如虚拟专用网络(VPN),缺乏足够的控制,以防止未经授权的访问
  • 没有实施强有力的密码安全策略
  • 云服务不受保护,配置错误的云服务是网络攻击的常见目标
  • 开放端口和配置错误的服务被暴露在互联网上,这是最重要的问题之一
  • 未能发现或阻止网络钓鱼的企图
  • 终端安全检测和响应糟糕

防治措施

应用以下做法可以帮助组织机构加强其网络防御

访问控制

  • 采用零信任的安全模式
  • 多因素认证(MFA)没有被强制执行
  • 限制特权账户远程会话登录后的操作
  • 没有控制可以访问的数据和服务的角色
    • 确保对数据和服务的访问是专门为每个用户定制的,每个员工都有自己的用户账户
    • 只让员工访问执行任务所需的资源
    • 在安装或调试时改变设备和系统的默认密码
    •  确保员工进入、离开和内部活动的安全流程程序,清理非活动账号
  • 加固访问策略的安全条件
  • 确认所有机器没有开放远程桌面管理,例如基于云的虚拟机实例开放的RDP端口

实施凭证加固

  • 强制实施MFA(多因素认证)
  • 改变或停用供应商提供的默认用户名和密码
  • 设置监控,以检测在你的系统上失陷凭证的使用情况

建立集中化的日志管理

  • 确定需要哪些日志文件
  • 设置必要的告警
  • 确保你的系统是可用的文件格式存储日志文件,并确保记录的时间戳是准确的,并设置为正确的时区。
  • 将本地系统的日志转发到一个集中的存储库或安全信息事件管理(SIEM)工具
  • 确定日志的保留期和安全存储访问等

采用杀毒软件

  • 在工作站上部署杀毒软件解决方案
  • 定期监测杀毒软件扫描结果


使用安全检测工具和发现安全漏洞

  • 部署端点和检测响应工具(EDR),这些工具允许对端点的安全状态有高度的安全视野
  • 采用IDS或IPS来保护网络和企业内部设备免受恶意活动的影响,使用签名规则来帮助检测与已知威胁活动相关的恶意网络活动
  • 进行渗透测试以识别错误的系统配置
  • 进行漏洞扫描,检测和解决应用程序的漏洞
  • 使用云服务提供商的工具来检测过度共享的云存储,并监测异常访问

保持严格的安全配置管理程序

  • 始终以安全的配置操作暴露在互联网上的主机的服务。不要在没有安全管控能力和措施的情况下启用外部访问,如没有网络边界防火墙和其他更安全的内部主机(如域控制器)网络分割策略。需要不断地评估面向互联网的服务业务和任务需求。遵循安全配置的最佳实践做法,例如微软的一系列攻击面缩减措施,如阻止来自互联网恶意文档中的宏。

启动软件的安全补丁管理计划

实施资产的安全补丁管理程序,以保持软件的更新。识别并通过执行漏洞扫描和打补丁活动,减少不支持的、已过期的和未打补丁的软件和固件。修复

CISA  EXPLOITED VULNERABILITIES CATALOG中所有的优先级最高的已知在野利用漏洞。

图片

本文来自投稿,不代表安强科技社区立场,如若转载,请注明出处:https://community.anqiangkj.com/archives/16275

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022年5月24日 下午7:35
下一篇 2022年5月25日 上午7:10

相关推荐