美國國家安全局(National Security Agency, NSA)與網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)日前聯合發表資安指引,列出前 10 大最常出現的資安設定錯誤;建議各公私單位參考該指引,強化自身資安防護能力。
NSA 和 CISA 的這份指引,係由兩個單位內的資安紅隊與藍隊,針對各大公私單位組織的資安防護設定進行模擬攻防後所擬定,詳細說明各種駭侵者如何利用這些錯誤設定,以發動資安攻擊的策略、技術與程序(TTP),進行各種目的的攻擊,包括取得存取或控制權、資料或資源的竊取,以及如何鎖定機敏資訊或系統等等。
NSA 指出,接受其評估的美國政府單位,包括美國國防部、聯邦政府各民事行政部門、各州政府、地區行政單位、海外行政組織,以及多個私部門單位。
報告列出的 10 大資安錯誤設定如下:
- 使用軟體或應用程式的預設設定值;
- 未妥善區分一般使用者與管理者帳號權限;
- 內部網路監控不足;
- 網路分區設定不當;
- 軟體更新管理不當;
- 忽略系統存取控制限制;
- 多階段登入驗證防護薄弱或設定錯誤;
- 針對網路分享或服務的存取控制清單設定不夠妥善;
- 未能妥善進行密碼清理作業;
- 未限制程式碼執行。
CISA 官員也指出,上面列出的設定錯誤廣泛發生在多個大型單位,成為嚴重的資安防護漏洞,且軟體開發廠商未能在設計時以資安防護為優先考慮,使得使用單位還需費力進行額外防護。
建議可以依 NSA 與 CISA 要求檢視單位的資安防護是否存有上述問題,並且立即採取對策加以彌補,包括停止使用預設帳號密碼與安全設定值、停用未經使用的網路服務、強化資源存取權限控管、經常更新系統,且在第一時間更新已發布的漏洞。
本文轉載自TWCERT/CC。