配置錯(cuò)誤的網(wǎng)絡(luò)安全產(chǎn)品可能會(huì)成為遭到攻擊的入口，美國(guó)國(guó)家安全局 (NSA) 和網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局 (CISA) 提供的指南列出了軟件配置中可糾正的關(guān)鍵弱點(diǎn)。

雖然網(wǎng)絡(luò)安全新聞?lì)^條經(jīng)常被最新的零日漏洞或供應(yīng)商軟件/產(chǎn)品或開源軟件庫(kù)中的顯著漏洞所占據(jù)，但現(xiàn)實(shí)情況是，許多重大數(shù)據(jù)泄露事件已經(jīng)并將繼續(xù)由配置錯(cuò)誤導(dǎo)致。

為強(qiáng)調(diào)此問(wèn)題的嚴(yán)重性，美國(guó)國(guó)家安全局 (NSA) 和網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局 (CISA) 最近發(fā)布了“網(wǎng)絡(luò)安全十大配置錯(cuò)誤”，這些配置錯(cuò)誤是通過(guò)廣泛的紅藍(lán)隊(duì)評(píng)估、威脅搜尋以及事件響應(yīng)團(tuán)隊(duì)活動(dòng)發(fā)現(xiàn)的。

如果你像大多數(shù)網(wǎng)絡(luò)安全專業(yè)人員一樣，那么其中許多內(nèi)容應(yīng)該都不會(huì)讓你感到驚訝，甚至可能看起來(lái)“很簡(jiǎn)單”，但俗話說(shuō)，正因?yàn)槭虑楹?jiǎn)單，并不意味著做起來(lái)容易，在現(xiàn)代復(fù)雜的數(shù)字環(huán)境中，大規(guī)模地解決這些基本問(wèn)題始終是一項(xiàng)艱巨的任務(wù)。

該出版物強(qiáng)調(diào)，配置錯(cuò)誤在大型企業(yè)中非常普遍，即使是在那些具備成熟安全態(tài)勢(shì)的企業(yè)中也是如此，并強(qiáng)調(diào)軟件供應(yīng)商需要采取安全設(shè)計(jì)或默認(rèn)安全的方法，這也是CISA一直在倡導(dǎo)的，并在2024年初就此主題發(fā)布了指南。

話雖如此，讓我們深入了解CISA列出的十大配置錯(cuò)誤。此外，正如該出版物所指出的，這些配置錯(cuò)誤并非按照優(yōu)先級(jí)或重要性排序，因?yàn)槊恳粋€(gè)配置錯(cuò)誤本身都可能存在問(wèn)題，并為攻擊者提供利用的途徑。

軟件和應(yīng)用程序的默認(rèn)配置

人們可能認(rèn)為，到了2024年，我們不會(huì)再討論軟件默認(rèn)配置不安全的風(fēng)險(xiǎn)，但事實(shí)并非如此。默認(rèn)憑據(jù)、權(quán)限和配置等問(wèn)題仍然是常見的被利用的攻擊途徑。

例如，在廣泛使用的商用現(xiàn)貨軟件和產(chǎn)品中保留默認(rèn)憑據(jù)，可能會(huì)導(dǎo)致惡意行為者識(shí)別出這些默認(rèn)憑據(jù)，并利用系統(tǒng)和環(huán)境(這些系統(tǒng)和環(huán)境中的憑據(jù)未更改)進(jìn)行攻擊。

這些默認(rèn)設(shè)置通常廣為人知，甚至是最不熟練的惡意行為者也能輕松找到，因?yàn)橹圃焐探?jīng)常會(huì)公布這些設(shè)置。這可能會(huì)讓攻擊者識(shí)別出憑據(jù)，更改管理訪問(wèn)權(quán)限以控制某些內(nèi)容，并從被攻破的設(shè)備轉(zhuǎn)向其他網(wǎng)絡(luò)系統(tǒng)。

除了設(shè)備上的默認(rèn)憑據(jù)外，CISA還指出，服務(wù)通常默認(rèn)具有過(guò)于寬松的訪問(wèn)控制和脆弱的設(shè)置。他們特別提到了諸如不安全的Active Directory證書服務(wù)、舊版協(xié)議/服務(wù)以及不安全的服務(wù)器消息塊 (SMB) 服務(wù)等問(wèn)題。

如果微軟在列出的項(xiàng)目中占據(jù)很大篇幅，那是因?yàn)樗谠u(píng)估團(tuán)隊(duì)在整個(gè)活動(dòng)過(guò)程中遇到的產(chǎn)品中最為常見，當(dāng)然，除了默認(rèn)憑據(jù)之外，微軟在CISA已知被利用漏洞 (KEV) 目錄中也占據(jù)首位。有時(shí)候，名列前茅并不是那么光鮮亮麗。

用戶/管理員權(quán)限劃分不當(dāng)

盡管零信任等概念(植根于最小權(quán)限訪問(wèn)控制等理念)在行業(yè)內(nèi)炒得火熱，但這種弱點(diǎn)仍然普遍存在。CISA的出版物提到了賬戶權(quán)限過(guò)大、服務(wù)賬戶權(quán)限提升以及非必要使用高級(jí)賬戶等問(wèn)題。

在IT或網(wǎng)絡(luò)安全領(lǐng)域工作過(guò)一段時(shí)間的人都知道，許多問(wèn)題都可以追溯到人類行為以及在復(fù)雜環(huán)境中工作的普遍需求。隨著人員在不同的角色和任務(wù)之間輪換，賬戶往往會(huì)累積權(quán)限和特權(quán)，而這些權(quán)限和特權(quán)很少得到清理。

《Verizon數(shù)據(jù)泄露調(diào)查報(bào)告》等來(lái)源年復(fù)一年地表明，憑據(jù)泄露仍是大多數(shù)數(shù)據(jù)泄露事件的關(guān)鍵因素，這些權(quán)限過(guò)大的賬戶就像是在等待惡意行為者濫用的豐富目標(biāo)。

內(nèi)部網(wǎng)絡(luò)監(jiān)控不足

如果一棵樹在森林里倒下，而周圍沒(méi)有人，那它會(huì)發(fā)出聲音嗎?同樣地，如果你的網(wǎng)絡(luò)遭到破壞，而你缺乏可見性、意識(shí)和相關(guān)警報(bào)，那么你是否能夠采取任何行動(dòng)呢?不能，都不能。

CISA的出版物表明，企業(yè)需要收集并監(jiān)控足夠的流量，以確保能夠檢測(cè)和響應(yīng)異常行為。如該出版物所述，評(píng)估和威脅搜尋團(tuán)隊(duì)經(jīng)常會(huì)遇到網(wǎng)絡(luò)系統(tǒng)和基于主機(jī)的日志記錄不足的情況，或者雖然有記錄但配置不當(dāng)且未實(shí)際監(jiān)控，因此無(wú)法在潛在事件發(fā)生時(shí)做出響應(yīng)，這并不罕見。

這讓惡意活動(dòng)肆無(wú)忌憚地進(jìn)行，并延長(zhǎng)了攻擊者在受害者系統(tǒng)中的停留時(shí)間而不被發(fā)現(xiàn)。為了加強(qiáng)網(wǎng)絡(luò)監(jiān)控和防護(hù)，該出版物建議讀者查閱CISA的文件《CISA紅隊(duì)分享改進(jìn)網(wǎng)絡(luò)監(jiān)控和防護(hù)的關(guān)鍵發(fā)現(xiàn)》。

缺乏網(wǎng)絡(luò)分段

另一個(gè)出現(xiàn)的基本安全控制是分段網(wǎng)絡(luò)的需求，這一做法再次與更廣泛的零信任推動(dòng)相關(guān)聯(lián)。如果不對(duì)網(wǎng)絡(luò)進(jìn)行分段，企業(yè)就無(wú)法在不同的系統(tǒng)、環(huán)境和數(shù)據(jù)類型之間建立安全邊界。

這讓惡意行為者能夠攻破單個(gè)系統(tǒng)，并在不同系統(tǒng)之間自由移動(dòng)，而不會(huì)遇到阻礙其惡意活動(dòng)的阻力和額外的安全控制及邊界。該出版物特別指出了IT和OT網(wǎng)絡(luò)之間缺乏分段所帶來(lái)的挑戰(zhàn)，這使OT網(wǎng)絡(luò)面臨風(fēng)險(xiǎn)，對(duì)工業(yè)控制系統(tǒng)等環(huán)境中的安全和安保產(chǎn)生實(shí)際影響。

補(bǔ)丁管理不善

打補(bǔ)丁是網(wǎng)絡(luò)安全中每個(gè)人都喜歡的活動(dòng)，對(duì)吧?這份十大配置錯(cuò)誤出版物指出，未能應(yīng)用最新的補(bǔ)丁可能會(huì)使系統(tǒng)因惡意行為者利用已知漏洞而面臨被攻擊的風(fēng)險(xiǎn)。

此處的挑戰(zhàn)在于，即使是執(zhí)行定期補(bǔ)丁管理的企業(yè)，Cyentia研究所等來(lái)源也指出，企業(yè)的修復(fù)能力(即通過(guò)補(bǔ)丁等方式修復(fù)漏洞的能力)欠佳。

企業(yè)平均每月只能修復(fù)每10個(gè)新漏洞中的1個(gè)，這使它們始終處于漏洞積壓持續(xù)指數(shù)級(jí)增長(zhǎng)的困境，也解釋了為什么Ponemon和Rezilion等機(jī)構(gòu)發(fā)現(xiàn)企業(yè)的漏洞積壓從數(shù)十萬(wàn)到數(shù)百萬(wàn)不等。

再加上Qualys的發(fā)現(xiàn)，即攻擊者利用漏洞的速度比企業(yè)修復(fù)漏洞的速度快約30%，這無(wú)疑是一場(chǎng)災(zāi)難——記住，攻擊者只需要成功一次。

提到的問(wèn)題包括缺乏定期補(bǔ)丁管理以及使用不受支持的操作系統(tǒng)和固件，這意味著這些項(xiàng)目根本沒(méi)有可用的補(bǔ)丁，也不再受供應(yīng)商支持。我個(gè)人還會(huì)補(bǔ)充一點(diǎn)，即企業(yè)需要確保他們正在使用安全的開源組件和最新版本，這也是許多企業(yè)所掙扎的地方，也是導(dǎo)致軟件供應(yīng)鏈攻擊增加的原因之一。

系統(tǒng)訪問(wèn)控制被繞過(guò)

我們已經(jīng)多次討論了訪問(wèn)控制的需求，但在某些情況下，惡意行為者可以繞過(guò)系統(tǒng)訪問(wèn)控制。該指南特別指出了諸如收集用于身份驗(yàn)證信息的哈希值(如傳遞哈希(PtH)攻擊)，然后使用該信息以未經(jīng)授權(quán)的方式提升權(quán)限和訪問(wèn)系統(tǒng)等示例。

多因素認(rèn)證(MFA)方法配置不當(dāng)或薄弱

在這個(gè)配置錯(cuò)誤中，我們?cè)俅慰吹紺ISA和NSA討論了PtH類型攻擊的風(fēng)險(xiǎn)。他們指出，盡管許多政府/國(guó)防部網(wǎng)絡(luò)使用了智能卡和令牌等多因素認(rèn)證(MFA)，但賬戶仍然存在密碼哈希，如果MFA未強(qiáng)制執(zhí)行或配置不當(dāng)，惡意行為者可以使用哈希值獲得未經(jīng)授權(quán)的訪問(wèn)權(quán)限。這個(gè)問(wèn)題當(dāng)然也可能存在于可能使用Yubikey或數(shù)字形式因素和身份驗(yàn)證工具的商業(yè)系統(tǒng)中。

缺乏防網(wǎng)絡(luò)釣魚的多因素認(rèn)證(MFA)

盡管業(yè)界已經(jīng)推動(dòng)多因素認(rèn)證(MFA)相當(dāng)長(zhǎng)一段時(shí)間，但我們面臨的嚴(yán)峻現(xiàn)實(shí)是，并非所有類型的MFA都是等同的。這個(gè)配置錯(cuò)誤和弱點(diǎn)指出了存在不具備“防網(wǎng)絡(luò)釣魚”能力的MFA類型，這意味著它們?nèi)菀资艿絊IM卡交換等攻擊。CISA的《實(shí)施防網(wǎng)絡(luò)釣魚的多因素認(rèn)證》概況介紹等資源可以幫助管理員找到正確的方向。

網(wǎng)絡(luò)共享和服務(wù)訪問(wèn)控制列表不足

不言而喻，在大多數(shù)情況下，數(shù)據(jù)是惡意行為者主要追求的目標(biāo)，因此，這份列表中出現(xiàn)網(wǎng)絡(luò)共享和服務(wù)保護(hù)不足的情況也就不足為奇了。該指南指出，攻擊者正在使用注釋、開源工具和自定義惡意軟件來(lái)識(shí)別和利用暴露和不安全的數(shù)據(jù)存儲(chǔ)。

當(dāng)然，我們?cè)诒镜財(cái)?shù)據(jù)存儲(chǔ)和服務(wù)中看到了這種情況的發(fā)生，并且隨著云計(jì)算的采用以及用戶配置錯(cuò)誤的存儲(chǔ)服務(wù)的普遍存在，再加上廉價(jià)且廣泛的云存儲(chǔ)，這一趨勢(shì)只會(huì)加速發(fā)展，讓攻擊者能夠輕易竊取大量數(shù)據(jù)，無(wú)論是從數(shù)據(jù)規(guī)模還是受影響個(gè)人數(shù)量來(lái)看，都令人震驚。

該指南還強(qiáng)調(diào)，攻擊者不僅可以竊取數(shù)據(jù)，還可以將其用于其他惡意目的，如收集未來(lái)攻擊所需的情報(bào)、敲詐勒索、識(shí)別可被濫用的憑據(jù)等。

憑據(jù)管理不善

憑據(jù)泄露仍然是主要的攻擊途徑，Verizon的《數(shù)據(jù)泄露調(diào)查報(bào)告》(DBIR)顯示，超過(guò)一半的攻擊都涉及憑據(jù)泄露。該指南特別指出了諸如易破解的密碼或明文密碼泄露等問(wèn)題，這些問(wèn)題都可能被攻擊者利用來(lái)破壞環(huán)境和企業(yè)。

我想補(bǔ)充的是，隨著云計(jì)算的興起以及對(duì)聲明式基礎(chǔ)設(shè)施即代碼和機(jī)器身份識(shí)別與認(rèn)證的推動(dòng)，我們看到了對(duì)機(jī)密信息(通常包括憑據(jù))更加爆炸性的濫用，這在安全供應(yīng)商GitGuardian的《機(jī)密信息泛濫狀況報(bào)告》等來(lái)源中得到了很好的體現(xiàn)。

這也是為什么我們繼續(xù)看到供應(yīng)商在其平臺(tái)和產(chǎn)品中實(shí)現(xiàn)機(jī)密信息管理功能的原因。這甚至繼續(xù)影響著最具數(shù)字能力的企業(yè)，比如三星，其源代碼泄露中暴露了6000多個(gè)密鑰。

代碼執(zhí)行不受限制

這一點(diǎn)很直接，因?yàn)楣粽呦Ｍ谙到y(tǒng)和網(wǎng)絡(luò)上運(yùn)行任意的惡意負(fù)載。未經(jīng)驗(yàn)證和未經(jīng)授權(quán)的程序會(huì)帶來(lái)重大風(fēng)險(xiǎn)，因?yàn)樗鼈兛梢栽谙到y(tǒng)或終端上執(zhí)行惡意代碼，導(dǎo)致系統(tǒng)被破壞，并促進(jìn)惡意軟件在企業(yè)網(wǎng)絡(luò)中的橫向移動(dòng)或傳播。

該指南提到，這種代碼也可以采用多種形式，如可執(zhí)行文件、動(dòng)態(tài)鏈接庫(kù)、HTML應(yīng)用程序，甚至是辦公軟件應(yīng)用程序(如宏)中的腳本。