АНБ и CISA назвали 10 основных ошибок в конфигурации кибербезопасности
Агентство национальной безопасности (АНБ) и Агентство кибербезопасности и безопасности инфраструктуры (CISA) США выявили десять наиболее распространенных ошибок в конфигурациях кибербезопасности в сетях крупных организаций.
В рекомендациях также подробно описывается, какие тактики, методы и процедуры (TTP) используют злоумышленники для успешной эксплуатации этих неправильных конфигураций, добиваясь получение доступа в целевые системы, перемещаясь внутри их и нацеливаясь на конфиденциальную информацию или системы.
Информация была собрана «красной» (атакующей) и «синей» (оборонительной) командами агентств, а также группами АНБ и CISA по поиску и реагированию на инциденты. В частности, было протестировано состояние безопасности сетей в Министерстве обороны США, федеральных органах исполнительной власти, правительствах штатов, а также бизнес-компаниях.
Так, к 10 главным ошибкам конфигурации относятся:
— конфигурации программного обеспечения и приложений по умолчанию;
— неправильное разделение привилегий пользователя и администратора;
— недостаточный мониторинг внутренней сети;
— отсутствие сегментации сети;
— плохое управление патчами;
— обход контроля доступа к системе;
— слабые или неправильно настроенные методы многофакторной аутентификации (MFA);
— недостаточно списков управления доступом (ACL) к общим сетевым ресурсам и службам;
— плохая гигиена учетных данных;
— неограниченное выполнение кода.
Как указано в совместном сообщении, эти распространенные неправильные конфигурации отражают системные уязвимости в сетях большого количества крупных организаций.
АНБ и CISA дают ряд рекомендаций. В частности, производителей ПО призывают интегрировать средства обеспечения безопасности в архитектуру продукта на начальных этапах разработки и на протяжении всего жизненного цикла разработки. Кроме того, производители должны прекратить использовать пароли по умолчанию, чтобы взлом одного элемента управления безопасностью не ставил под угрозу целостность всей системы, сделать многофакторную аутентификацию функцией по умолчанию, а также использовать языки программирования, безопасные для памяти.
Советы по снижению риска даны и защитникам сетей. Это включает устранение учетных данных по умолчанию, деактивацию неиспользуемых услуг и внедрение строгого контроля доступа, регулярные обновления и автоматизацию процесса исправлений, а также тщательный мониторинг административных учетных записей и привилегий. Кроме того, агентства призывают «проверять, тестировать и проверять программу безопасности вашей организации на соответствие поведению угроз, отображенному в рамках MITRE ATT&CK for Enterprise», а также дать оценку эффективности существующим средствам контроля безопасности, сравнив их с методами ATT&CK, описанными в рекомендациях.