美國公布十大攸關資安的錯誤配置

美國國安局(National Security Agency,NSA)與國土安全部(DHS)旗下的網路安全暨基礎設施安全局(CISA)上周聯手公布了十大最常見的配置錯誤,這些錯誤的配置某種程度讓駭客更易展開攻擊,因而同時提出七項最佳安全作法以供軟體業者參考。

它們分別是軟體與應用程式的預設配置、使用者與管理員權限的分離不當、內部網路監控不足、缺乏網路分段、修補程式管理不善、繞過系統存取控制、多因素身分驗證薄弱或設定錯誤、網路共享與服務的存取控制名單不足、憑證衛生不佳,以及不受限的程式碼執行等。

其中,預設配置的問題出現在裝置或軟體的預設憑證,以及某些服務的存取控制過於寬鬆。而使用者與管理員權限的分離不當則是最常看到特定帳號擁有過多的權限,服務權限的擴張,或是非必要擴張的帳號權限。在內部網路的監控上,有些組織並未針對主機與流量偵測的配置進行最佳化,造成它們無法立即發現異常活動。

缺乏網路分段不僅允許駭客藉由破壞網路資源以於不同的系統上橫向移動,也會讓組織更容易受到勒索軟體攻擊或其它Post Exploitation深度攻擊的影響。儘管業者總是會督促用戶修補安全漏洞,但缺乏定期修補政策或使用已被棄置的產品經常成為駭客入侵的缺口。此外,駭客可透過破壞環境中的備用系統,來繞過系統的存取控制,例如蒐集雜湊值以非標準方式進行身分驗證,或是模仿沒有文明密碼的帳號以擴張存取權限。

另有些網路已要求使用者透過智慧卡或權杖登入,卻未取消密碼登入,而這些經久不曾改變也未被移除的密碼則成為駭客的入侵管道;或是有些多因素身分驗證也會遭受網釣攻擊。網路共享與服務存取控制名單的不當配置,則會允許未經授權的使用者於共享磁碟中存取機密資料。不佳的憑證衛生涵蓋了可輕易破解的密碼,以及存放了明文密碼。不當允許主機執行未經授權的程式則是賦予了駭客極高的攻擊能力。

NSA與CISA針對上述最常見的每一個配置問題提出了詳細的建議,例如在部署前應先行變更應用程式與裝置的預設配置,例如密碼與權限;部署Authentication, Authorization, and Accounting(AAA)框架來監控帳號行動,限制特權帳號執行一般任務,採用限時的特權帳號;建立應用與服務的活動基準線;部署可深度過濾的新一代防火牆;定期修補安全漏洞或採用自動更新,不再使用過時的軟體或韌體;限制不同系統間的重覆憑證;最好採用基於現代開放標準的雲端身分驗證;針對所有儲存裝置部署安全配置,實施最少權限原則;不讓系統執行不明來源的應用程式,建立程式執行的白名單。

此外,NSA及CISA亦督促軟體業者應該採取最佳作法來避免用戶陷入安全危機,包括從軟體設計到整個開發周期的產品架構都應嵌入安全控制;廢除預設密碼;在設計產品時不讓單一的安全控制的失靈影響整個系統;免費提供高品質的稽核日誌予客戶;採取行動來消除整個類別的安全漏洞,如使用者記憶體安全程式語言;於稽核紀錄中提供充份的細節以更利於偵測系統上的可疑行動;強制要求特權用戶執行多因素身分驗證,或是讓多因素身分驗證成為所有使用者的登入預設值。

Orange Cyberdefense曾引用VERIS資安意外統計框架,指出全球所發生的資安事件中,大約有35%是源自系統的錯誤配置,顯示出若認真改善配置問題,全球組織將可減少1/3的資安意外。

資安問題不容小覷,如設備有漏洞應盡速補強,在密碼方面應多注意,勿使用簡單好記的,養成登出的好習慣,勿因為懶惰而選擇記住帳號,建議如有多因子驗證機制,也請使用者不厭其煩的去設定,藉此提高使用的安全性。

詳文請見iThome新聞稿