Turvallisuuskauhut: NSA:n ja CISA:n kymmenen suurimman turvallisuushuijauksen luettelo

Turvaton verkko on kyberturvallisuuden puolustajan pahin painajainen ja hyökkääjän unelma. Yksikin virheellinen määritys voi jättää verkkoon aukon. Mutta olipa kyse tietämättömyydestä, häiriötekijöistä, riittämättömästä ylläpitäjistä tai liian monista, nämä virheasetukset ovat yleisiä. Yhdysvaltain kansallinen turvallisuusvirasto (NSA) ja Cybersecurity and Infrastructure Security Agency (CISA) näkevät niin monia samoja, että ne julkaisivat raportti kymmenen yleisintä. Olemme listanneet ne tänne, sekä keskustellut niiden mahdollisista vaikutuksista ja mahdollisista lieventämistoimenpiteistä.

Ohjelmistojen ja sovellusten oletusasetukset

Tämä klassinen suojaus SNAFU sisältää oletusarvoisten järjestelmänvalvojan käyttöoikeuksien käytön, jotka löytyvät helposti verkosta. Jos niitä ei muuteta, hallinnollinen valvonta on avoinna kaikille, jotka voivat päästä portaaliin.

Oletusmääritysongelmat ulottuvat muuhunkin kuin esiasetettujen tehdaskirjautumisten käyttöön. Palveluissa, kuten Active Directoryssa (joita esiintyy runsaasti ryhmien analyyseissä), on oletusarvoiset käyttöoikeusasetukset eri palveluille tai ne jättävät haavoittuvat vanhat palvelut päälle oletuksena.

Esimerkiksi Microsoft jätti Active Directory Link-Local Multicast Name Resolutionin (LLMNR) oletusarvoisesti käyttöön pitkäksi aikaa, vaikka tämä nimenselvityspalvelu julistettiin ajalta, jolloin DNS ei ollut yhtä yleinen kuin nyt. Tässä protokollassa on tietoturvaongelma, jota hyökkääjät voivat hyödyntää. Microsoft ilmoitti huhtikuussa 2022 luopuvansa palvelun käytöstä uudemman, turvallisemman mDNS:n hyväksi.

Käyttäjän/järjestelmänvalvojan oikeuksien virheellinen erottelu

Vähiten etuoikeus on nykyaikaisen tietoturvan perusperiaate, mutta monet järjestelmänvalvojat jättävät tileille liiallisia oikeuksia, joita hyökkääjät voivat hyödyntää. Palvelutilejä käytetään resurssien käyttämiseen, koska niillä on usein korkeammat oikeudet, jotta he voivat käyttää joitain järjestelmäresursseja. Ne ovat arvostettu hyödyke hyökkääjille.

Tässä on useita korjaavia toimenpiteitä, mukaan lukien etuoikeutettujen tilien käytön rajoittaminen yleisten tehtävien suorittamiseen, jotka voivat tehdä niistä haavoittuvia (kuten sähköpostin käyttö), käyttäjätilien tarkastaminen ja vähiten soveltaminen etuoikeus. Pidimme myös ajatuksesta poistaa järjestelmänvalvojatilit käytöstä ja sallia niihin pääsy vain pyynnöstä tietyn ajan.

Riittämätön sisäisen verkon valvonta

Vähemmän kokeneet hyökkääjät voivat aiheuttaa melua päästäessään verkkoon ja liikkuessaan sen ympärillä sivusuunnassa. Organisaatiot, jotka eivät valvo verkkojaan, jäävät huomaamatta näitä signaaleja. Joissakin tapauksissa tiimit havaitsivat, että jotkut ihmiset tarkkailivat isäntäkoneita, vaikka he eivät tarkistaneet verkkoa, mikä tarkoittaa, että he saattoivat nähdä hyökkäyksen vaikutuksen palvelimeen, mutta he eivät voineet nähdä, mistä se tuli.

Verkon segmentoinnin puute

Verkon jakaminen loogisiin segmentteihin luo suojavyöhykkeitä, jotka käyttäjät voivat ylittää vain oikeilla oikeuksilla. Se on verkkovastine sisäänkäyntiovien turvaamiseksi rakennuksen eri osiin käyttämällä kulkukorttia. Silti monet organisaatiot pitävät verkkonsa "litteinä", mikä mahdollistaa pääsyn mille tahansa alueelle mistä tahansa. Mukaan a kongressin raporttiTämä henkilöstö- ja hallintotoimiston (OPM) verkoston epäonnistuminen vaikutti sen onnistuneeseen rikkomiseen vuonna 2015.

Huono korjaustiedostojen hallinta

On pettymys, mutta ei yllättävää, että sovellusten ja käyttöjärjestelmien korjaamisen epäonnistuminen on edelleen organisaatioiden ongelma. Tiedämme, että verkon kaiken korjaaminen voi olla raskasta, mutta korjaustiedostojen priorisointi asianmukaisen riskianalyysin perusteella voi auttaa löytämään kiireellisimpiä päivityksiä. Hämmästyttävää on se, että raportin mukaan ryhmät "usein havaitsivat" organisaatiot, jotka eivät vieläkään olleet korjanneet MS08-067:ää – vuoden 2008 koodin etäsuorittamisen haavoittuvuutta, joka mahdollisti Confiderin syntymisen – ja MS17-010:tä, joka mahdollisti EternalBlue-hyökkäyksen, jota vastaan vuoden 2017 WannaCry-haittaohjelma perustui.

Järjestelmän kulunvalvontalaitteiden ohitus

Hyökkääjät ohittavat joskus perinteiset järjestelmän kulunvalvonta. Eräs tekniikka nimeltä "pass the hash" käyttää varastettuja tunnistetietojen tiivisteitä (ehkä pimeässä verkossa julkaistusta tietokannasta) päästäkseen todennusjärjestelmiin ilman selkeää salasanaa.

Heikot tai väärin konfiguroidut monitekijätodennusmenetelmät (MFA).

MFA on arvokas suojakerros, mutta se ei ole ihmelääke, varsinkin jos se toteutetaan väärin. Yleisiä ongelmia ovat SMS-pohjaisen MFA:n käyttö, johon sovelletaan SIM-kortin vaihtoa tai "push bombing", jossa hyökkääjät kiusaavat ihmisiä todentamaan pääsyn. CISA neuvoo käyttämään FIDO/WebAuthnia kultastandardina tällaisten hyökkäysten välttämiseksi. Sovelluspohjaiset autentikaattorit ovat seuraavaksi paras valinta.

Riittämättömät ACL-luettelot verkkoosuuksista ja palveluista

Olet ehkä lukinnut palvelutilisi, mutta entä verkkoasemasi? Verkkoosuuksien jättäminen auki luvattomille tileille tarjoaa hyökkääjille usein hyödynnetyn tavan. Raportin mukaan he voivat käyttää avoimen lähdekoodin työkaluja tai yksinkertaisia ​​järjestelmäkomentoja saatavilla olevien jakojen tarkistamiseen.

Huono todistushygienia

Raportin mukaan helposti murtavien salasanojen käyttäminen tai niiden tallentaminen selkeänä tekstinä ovat molemmat yleisiä tietoturvavirheitä. Salasanojen pitäminen selkeänä tekstinä on ilmeisen epävarma toimenpide. Kuitenkin jopa suuret yritykset, kuten kuten Facebook ja GoDaddy ovat tallentaneet salasanat tällä tavalla tai muodossa, joka on helposti palautettavissa selkeäksi tekstiksi. Jopa tiivistetyt salasanat voidaan hakea salasanojen murskaajan avulla.

Rajoittamaton koodin suoritus

Luettelon kymmenes yleinen virhemääritys sallii vahvistamattomien sovellusten suorittamisen isännissä. Tietojenkalasteluhyökkääjät suostuttelevat usein uhrit suorittamaan luvattomia ohjelmistoja koneissaan.

Raportti ehdottaa, että luettelot, jotka sallivat vain tiettyjen ohjelmien allekirjoitukset, voivat auttaa. Tämä voi kuitenkin olla hankala toteuttaa, koska laillisista ohjelmista on usein useita versioita, jotka luovat useita allekirjoituksia. Raportissa mainitaan myös vain luku -säilöjen ja minimaalisten kuvien käyttö.

Lieventämisvaiheet

Raportissa luetellaan useita näiden riskien lievennyskeinoja, joista monien pitäisi olla pätevien tietoturva-ammattilaisten ilmeisiä. Se, että NSA ja CISA julkaisivat erilliset lieventämistoimenpiteet verkon puolustajille ja ohjelmistovalmistajille, oli kiitettävä. Aivan liian usein, myyjät välttyvät kritiikiltä omista epävarmoista käytännöistään.

Raportissa ehdotetut valmistajan lievennykset sisälsivät turvallisten ohjelmistokehitysohjeiden noudattamisen alusta alkaen. Tämä auttaisi poistamaan virheet, jotka johtivat myöhempään ohjelmistokorjaukseen. Toimittajien on myös toimitettava ohjelmisto, joka on oletusarvoisesti kovetettu sen sijaan, että se vaatisi lisätyötä asiakkaalta. Pidimme ajatuksesta "löysätä oppaita", jotka osoittavat asiakkaille, kuinka turva-asetuksia voidaan tarvittaessa rentoutua, sekä siihen liittyvät riskit. On paljon vaikeampaa lisätä suojausohjaimia kuin luopua jo olemassa olevista.

Muita kauan odotettuja toimenpiteitä ovat oletussalasanojen poistaminen. Vaikka pätevien ylläpitäjien pitäisi muuttaa näitä, monet eivät tee sitä. Ohjelmistojen suunnittelu (puhumattakaan laitteistosta), jossa niitä ei ole, pakottaisi mukautettuja kokoonpanoasetuksia. Toinen on oletustuki MFA:lle ja pakollinen MFA etuoikeutetuille käyttäjille.

Raportti lisäsi, että kattavien tarkastuslokien tarjoaminen heti valmiiksi auttaisi tukemaan verkon valvontaa ja havaitsemaan pääsynvalvontatoimintojen ohituksen. Kulunvalvonta luettelot, joissa on minimaaliset tarvittavat oikeudet, saattavat tehdä asioista hieman vähemmän mukavia käyttäjille, mutta myös minimoivat kaapattujen tilien riskin järjestelmälle.

Toinen ehdotus on koodin suorittamisen tuki hallintalaitteet käyttöjärjestelmissä ja sovelluksia, jotka auttavat välttämään epätavallisen koodin suorittamisen. Olemme jo nähneet osan tästä, kuten Applen varoituksesta, kun käytät koodia, joka ei ole peräisin sovelluskaupasta, ja Microsoftin päätöksen estää VBA-makrot Internetistä. Tilaa riittää lisää.

On pettymys, että niin monet tämän luettelon yleisistä virheistä ovat kestäviä perennoja. Ne kaikki ovat törmänneet vuosien ajan tietoturvaloukkauksiin ja tekevät niin vielä monta vuotta. Tarjoamalla lieventäviä toimia asiakkaille ja toimittajille, NSA ja CISA luovat pohjan vastuullisemmalle tietojenkäsittelylle.

Vapauta suojauskehysten voima ISMS.onlinen avulla

ISO 27001:n ja NIST:n kaltaisten puitteiden hyödyntäminen tarjoaa organisaatioille todistettua ohjausta kattavien tietoturvaohjelmien rakentamiseen.

Ottamalla käyttöön näissä viitekehyksessä määritellyt vaatimukset ja kontrollit yritykset voivat systemaattisesti puuttua riskeihin, suojata kriittisiä omaisuuseriä ja varmistaa asiaankuuluvien määräysten noudattamisen. Strukturoitu lähestymistapa, jossa kartoitetaan organisaation erityistarpeet vakiintuneisiin kehyksiin, vapauttaa alan parhaiden käytäntöjen voiman tietoturvan alalla ja tarjoaa strategisen polun puolustuskeinojen jatkuvaan parantamiseen monimutkaisessa uhkaympäristössä.

Johtavien tietoturvastandardien asianmukaisella soveltamisella pienetkin tiimit voivat rakentaa tehokkaita ohjelmia, jotka suojaavat toimintaa ja tietoja. Soita asiantuntijamme kanssa jo tänään saadaksesi selville, kuinka tietoturvakehyksen käyttöönotto voisi hyödyttää organisaatiotasi.