Sikkerhedsrædsler: NSA og CISA's liste over top ti sikkerhedsslip-ups

Et usikkert netværk er en cybersikkerhedsforsvarers værste mareridt og en angribers drøm. En enkelt fejlkonfiguration kan efterlade et gabende hul i et netværk. Men uanset om det skyldes uvidenhed, distraktion, ikke nok administratorer eller for mange, er disse fejlkonfigurationer udbredte. US National Security Agency (NSA) og Cybersecurity and Infrastructure Security Agency (CISA) ser så mange af de samme dukke op, at de udgav en indberette beskriver de ti mest almindelige. Vi har opstillet dem her sammen med en diskussion af deres potentielle virkninger og mulige afværgeforanstaltninger.

Standardkonfigurationer af software og applikationer

Denne klassiske sikkerheds-SNAFU involverer brug af standard administrative adgangsoplysninger, som nemt kan findes online. Hvis du ikke ændrer dem, er den administrative kontrol åben for alle, der kan nå adgangsportalen.

Standardkonfigurationsproblemer strækker sig ud over brugen af ​​forudindstillede fabrikslogin. Tjenester som Active Directory (udviklet meget i teams analyser) kommer med standardindstillinger for privilegier for forskellige tjenester eller lader sårbare ældre tjenester være aktiveret som standard.

For eksempel har Microsoft i lang tid ladet Active Directory Link-Local Multicast Name Resolution (LLMNR) være slået til som standard, selvom denne navneløsningstjeneste indvarslede fra det tidspunkt, hvor DNS ikke var så allestedsnærværende, som det er nu. Denne protokol har et sikkerhedsproblem, som angribere kan udnytte. Microsoft erklærede i april 2022, at det ville udfase denne tjeneste til fordel for den nyere, mere sikre mDNS.

Ukorrekt adskillelse af bruger/administratorrettigheder

Mindst privilegeret adgang er et grundlæggende princip i moderne sikkerhed, men mange administratorer efterlader konti med overdrevne privilegier, som angribere kan udnytte. Tjenestekonti bruges til at få adgang til ressourcer, da disse ofte har forhøjede privilegier, så de kan få adgang til nogle systemressourcer. De er et værdsat aktiv for angribere.

Der er forskellige afhjælpende foranstaltninger her, herunder begrænsning af brugen af ​​privilegerede konti til at udføre generelle opgaver, der kan gøre dem sårbare (såsom e-mailadgang), revision af brugerkonti og anvendelse af mindst privilegeret adgang. Vi kunne også godt lide ideen om at deaktivere administrative konti og kun give adgang til dem efter anmodning i en fastsat tidsramme.

Utilstrækkelig intern netværksovervågning

Mindre erfarne angribere kan lave støj, når de får adgang til netværket og bevæger sig rundt på det sideværts. Organisationer, der ikke overvåger deres netværk, vil gå glip af disse signaler. I nogle tilfælde fandt holdene nogle mennesker, der overvågede værtsmaskiner, mens de undlod at tjekke netværket, hvilket betyder, at de kunne se et angrebs effekt på serveren, men ikke kunne se, hvor det kom fra.

Mangel på netværkssegmentering

At dele dit netværk op i logiske segmenter skaber sikkerhedszoner, som brugere kun kan krydse med de korrekte privilegier. Det er netværksækvivalenten til at sikre indgangsdøre til forskellige dele af bygningen ved hjælp af badgeadgang. Alligevel holder mange organisationer deres netværk 'flade', hvilket giver adgang til ethvert område fra hvor som helst. Ifølge en kongresrapport, denne fejl i netværket Office of Personnel and Management (OPM) bidrog til dets succesfulde brud i 2015.

Dårlig Patch Management

Det er skuffende, men ikke overraskende, at manglende opdatering af applikationer og operativsystemer stadig er et problem for organisationer. Vi ved, at det kan være et tungt løft at patche alt på netværket, men at prioritere patches baseret på korrekt risikoanalyse kan hjælpe med at identificere de mest presserende opdateringer. Hvad der er forbløffende er, at ifølge rapporten "observerede holdene" ofte organisationer, der stadig ikke havde patchet MS08-067 - sårbarheden i fjernudførelse af kode fra 2008, der gjorde det muligt for Confider at spawne - og MS17-010, som tillod EternalBlue-angrebet, som 2017 WannaCry malware var baseret.

Omgåelse af systemadgangskontrol

Angribere vil nogle gange omgå traditionelle systemadgangskontrol. En teknik kaldet 'pass the hash' bruger stjålne hashes af legitimationsoplysninger (måske fra en database offentliggjort på det mørke web) til at få adgang til godkendelsessystemer uden at bruge en klartekstadgangskode.

Svage eller forkert konfigurerede Multi-Factor Authentication (MFA) metoder

MFA er et værdifuldt beskyttelseslag, men det er ikke noget universalmiddel, især hvis det implementeres forkert. Almindelige problemer omfatter brug af SMS-baseret MFA, der er genstand for SIM-bytning, eller 'push bombing', hvor angribere plager folk for at autentificere adgang. CISA anbefaler at bruge FIDO/WebAuthn som guldstandarden for at undgå sådanne angreb. App-baserede autentificeringer er det næstbedste valg.

Utilstrækkelige adgangskontrollister (ACL'er) på netværksshares og -tjenester

Du har muligvis låst dine tjenestekonti, men hvad med dine netværksdrev? At lade netværksshares være åbne for uautoriserede konti giver en ofte udnyttet vej ind for angribere. Rapporten siger, at de kan bruge open source-værktøjer eller simple systemkommandoer til at scanne tilgængelige delinger.

Dårlig legitimationshygiejne

Ifølge rapporten er brugen af ​​adgangskoder, der er nemme at knække, eller at gemme dem i klartekst, begge almindelige sikkerhedsglidninger. At holde adgangskoder i klartekst er et åbenlyst usikkert træk. Men selv store virksomheder som f.eks som Facebook og GoDaddy har gemt adgangskoder på denne måde eller i et format, der let kan vendes til klar tekst. Selv adgangskoder, der er hashed, kan hentes ved hjælp af adgangskodeknækkere.

Ubegrænset kodeudførelse

Den tiende almindelige fejlkonfiguration, der deles på listen, tillader ubekræftede applikationer at køre på værter. Phishing-angribere vil ofte overtale ofre til at køre uautoriseret software på deres maskiner.

Rapporten foreslår, at lister, der kun tillader specifikke programsignaturer, kan hjælpe. Dette kan dog være vanskeligt at implementere, da legitime programmer ofte kommer i flere versioner, hvilket skaber adskillige signaturer. Rapporten nævner også brug af skrivebeskyttede containere og minimale billeder.

Afhjælpningstrin

Rapporten opregner adskillige begrænsninger for disse risici, hvoraf mange burde være indlysende for kompetente sikkerhedseksperter. Det faktum, at NSA og CISA offentliggjorde separate afhjælpningstrin for netværksforsvarere og softwareproducenter, var prisværdigt. Alt for ofte, leverandører slipper for kritik for deres egen usikre praksis.

Producentbegrænsninger foreslået i rapporten inkluderede følgende retningslinjer for sikker softwareudvikling fra begyndelsen. Dette ville hjælpe med at eliminere de fejl, der førte til efterfølgende softwarerettelser. Leverandører bør også sende software, der er hærdet som standard i stedet for at kræve ekstra arbejde fra kundens side. Vi kunne godt lide ideen om at "løsne vejledninger", der viser kunderne, hvordan de kan slappe af i sikkerhedsindstillingerne, hvor det er nødvendigt, sammen med risikoen ved at gøre det. Det er meget sværere at tilføje sikkerhedskontroller end at opgive dem, der allerede er på plads.

Andre langvarige foranstaltninger omfatter eliminering af standardadgangskoder. Mens kompetente administratorer bør ændre disse, gør mange det ikke. Design af software (for ikke at nævne hardware), der ikke har dem, ville tvinge brugerdefinerede konfigurationsindstillinger. En anden er standardunderstøttelse af MFA og obligatorisk MFA for privilegerede brugere.

At levere omfattende revisionslogfiler ud af boksen ville hjælpe med at understøtte netværksovervågning og opdage omgåelse af adgangskontrol, tilføjede rapporten. Adgangskontrol lister med minimale nødvendige privilegier kan gøre tingene lidt mindre bekvemme for brugerne, men vil også minimere risikoen for systemet fra kaprede konti.

Et andet forslag er understøttelse af kodeudførelse kontroller ud af boksen i operativsystemer og applikationer, som ville hjælpe med at undgå at køre usædvanlig kode. Vi har allerede set noget af dette, som med Apples advarsel, når du kører kode, der ikke er fra app-butikken, og Microsofts beslutning om at blokere VBA-makroer fra internettet. Der er masser af plads til flere.

Det er skuffende, at så mange af de almindelige fejl på denne liste er hårdføre stauder. De har alle dukket op i årevis i sikkerhedsbrud og vil gøre det for mange flere. Ved at tilbyde afbødende trin for både kunder og leverandører, lægger NSA og CISA i det mindste grundlaget for mere ansvarlig databehandling.

Lås op for kraften ved sikkerhedsrammer med ISMS.online

Udnyttelse af rammer som ISO 27001 og NIST giver organisationer dokumenteret vejledning til opbygning af omfattende sikkerhedsprogrammer.

Ved at vedtage de krav og kontroller, der er skitseret i disse rammer, kan virksomheder systematisk adressere risici, beskytte kritiske aktiver og sikre overholdelse af relevante regler. Den strukturerede tilgang til at kortlægge en organisations specifikke behov til etablerede rammer låser op for industriens bedste praksis for informationssikkerhed, hvilket giver en strategisk vej til løbende at forbedre forsvaret i et komplekst trussellandskab.

Med den korrekte anvendelse af førende sikkerhedsstandarder kan selv små teams bygge effektive programmer, der sikrer drift og data. Lav et opkald med en af ​​vores eksperter i dag for at finde ud af, hvordan vedtagelsen af ​​en sikkerhedsramme kan gavne din organisation.