https://www.informationsecurity.com.tw/seminar/2024_Finance/
https://www.informationsecurity.com.tw/seminar/2024_Finance/

新聞

美國資安主管機關揭露前 10 大資安錯誤設定

2023 / 10 / 16
編輯部
美國資安主管機關揭露前 10 大資安錯誤設定
美國國家安全局(National Security Agency, NSA)與網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)日前聯合發表資安指引,列出前 10 大最常出現的資安設定錯誤;建議各公私單位參考該指引,強化自身資安防護能力。

NSA 和 CISA 的這份指引,係由兩個單位內的資安紅隊與藍隊,針對各大公私單位組織的資安防護設定進行模擬攻防後所擬定,詳細說明各種駭侵者如何利用這些錯誤設定,以發動資安攻擊的策略、技術與程序(TTP),進行各種目的的攻擊,包括取得存取或控制權、資料或資源的竊取,以及如何鎖定機敏資訊或系統等等。

NSA 指出,接受其評估的美國政府單位,包括美國國防部、聯邦政府各民事行政部門、各州政府、地區行政單位、海外行政組織,以及多個私部門單位。

報告列出的 10 大資安錯誤設定如下:
  • 使用軟體或應用程式的預設設定值;
  • 未妥善區分一般使用者與管理者帳號權限;
  • 內部網路監控不足;
  • 網路分區設定不當;
  • 軟體更新管理不當;
  • 忽略系統存取控制限制;
  • 多階段登入驗證防護薄弱或設定錯誤;
  • 針對網路分享或服務的存取控制清單設定不夠妥善;
  • 未能妥善進行密碼清理作業;
  • 未限制程式碼執行。
CISA 官員也指出,上面列出的設定錯誤廣泛發生在多個大型單位,成為嚴重的資安防護漏洞,且軟體開發廠商未能在設計時以資安防護為優先考慮,使得使用單位還需費力進行額外防護。

建議可以依 NSA 與 CISA 要求檢視單位的資安防護是否存有上述問題,並且立即採取對策加以彌補,包括停止使用預設帳號密碼與安全設定值、停用未經使用的網路服務、強化資源存取權限控管、經常更新系統,且在第一時間更新已發布的漏洞。

本文轉載自TWCERT/CC。