五眼联盟的全球最佳网络安全指导意见

以NSA(美国国家安全局)为首的,来自美国、加拿大、新西兰、荷兰、英国的国家网络安全机构共同撰写了一份网络安全指导意见,指出了缓解安全问题的最佳做法。

背景

现代的网络攻击者经常利用糟糕的安全配置、薄弱的安全控制和脆弱的安全措施来获得受害者的初始访问权限,以NSA(美国国家安全局)为首的,来自美国、加拿大、新西兰、荷兰、英国的国家网络安全机构共同撰写了一份网络安全指导意见,这份指导意见报告指出了缓解这些安全问题的最佳做法。笔者针对这个意见报告,为粉丝们进行精读翻译。

参考:

https://media.defense.gov/2022/May/17/2002998718/-1/-1/0/CSA_WEAK_SECURITY_CONTROLS_PRACTICES_EXPLOITED_FOR_INITIAL_ACCESS.PDF

保护系统的最佳实践

  • Control access. (访问控制)

  • Harden credentials. (身份凭证加固)

  • Establish centralized log management. (建立集中化的日志管理)

  • Use antivirus. (使用杀毒软件)

  • Employ detection tools. (采用检测工具)

  • Operate services exposed on internet-accessible hosts with secure configurations. (对暴露在互联网上的主机服务进行安全配置操作)

  • Keep software updated.(保持软件系统的更新)

攻防技战术描述

恶意攻击者通常使用以下技术来获得对受害者网络的初始访问权限[TA0001]

  • Exploit Public-Facing Application [T1190](程序开放接口的漏洞利用)

  • External Remote Services [T1133](外部远程服务)

  • Phishing [T1566](钓鱼)

  • Trusted Relationship [T1199](信任关系)

  • Valid Accounts [T1078](有效账户)

那些糟糕的安全配置、薄弱的安全控制和脆弱的安全措施:

  • 多因素认证(MFA)没有被强制执行

  • 访问控制列表中存在不正确的权限配置和特权访问

  • 软件没有及时更新

  • 使用供应商提供的默认配置或默认登录用户名和密码

  • 远程服务,如虚拟专用网络(VPN),缺乏足够的控制,以防止未经授权的访问

  • 没有实施强有力的密码安全策略

  • 云服务不受保护,配置错误的云服务是网络攻击的常见目标

  • 开放端口和配置错误的服务被暴露在互联网上,这是最重要的问题之一

  • 未能发现或阻止网络钓鱼的企图

  • 终端安全检测和响应糟糕

     

防治措施

应用以下做法可以帮助组织机构加强其网络防御

访问控制

  • 采用零信任的安全模式

  • 多因素认证(MFA)没有被强制执行

  • 限制特权账户远程会话登录后的操作

  • 没有控制可以访问的数据和服务的角色

    • 确保对数据和服务的访问是专门为每个用户定制的,每个员工都有自己的用户账户

    • 只让员工访问执行任务所需的资源

    • 在安装或调试时改变设备和系统的默认密码

    • 确保员工进入、离开和内部活动的安全流程程序,清理非活动账号

  • 加固访问策略的安全条件

  • 确认所有机器没有开放远程桌面管理,例如基于云的虚拟机实例开放的RDP端口

实施凭证加固

  • 强制实施MFA(多因素认证)

  • 改变或停用供应商提供的默认用户名和密码

  • 设置监控,以检测在你的系统上失陷凭证的使用情况

建立集中化的日志管理

  • 确定需要哪些日志文件

  • 设置必要的告警

  • 确保你的系统是可用的文件格式存储日志文件,并确保记录的时间戳是准确的,并设置为正确的时区。

  • 将本地系统的日志转发到一个集中的存储库或安全信息事件管理(SIEM)工具

  • 确定日志的保留期和安全存储访问等

采用杀毒软件

  • 在工作站上部署杀毒软件解决方案

  • 定期监测杀毒软件扫描结果

 

使用安全检测工具和发现安全漏洞

  • 部署端点和检测响应工具(EDR),这些工具允许对端点的安全状态有高度的安全视野

  • 采用IDS或IPS来保护网络和企业内部设备免受恶意活动的影响,使用签名规则来帮助检测与已知威胁活动相关的恶意网络活动

  • 进行渗透测试以识别错误的系统配置

  • 进行漏洞扫描,检测和解决应用程序的漏洞

  • 使用云服务提供商的工具来检测过度共享的云存储,并监测异常访问

保持严格的安全配置管理程序

  • 始终以安全的配置操作暴露在互联网上的主机的服务。不要在没有安全管控能力和措施的情况下启用外部访问,如没有网络边界防火墙和其他更安全的内部主机(如域控制器)网络分割策略。需要不断地评估面向互联网的服务业务和任务需求。遵循安全配置的最佳实践做法,例如微软的一系列攻击面缩减措施,如阻止来自互联网恶意文档中的宏。

启动软件的安全补丁管理计划

实施资产的安全补丁管理程序,以保持软件的更新。识别并通过执行漏洞扫描和打补丁活动,减少不支持的、已过期的和未打补丁的软件和固件。修复CISA EXPLOITED VULNERABILITIES CATALOG中所有的优先级最高的已知在野利用漏洞。

本文来自QZ的安全悟道

版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/466905.html

(0)
上一篇 2022-05-19 17:57
下一篇 2022-06-02 19:34

相关推荐

  • 最全APP抓包大法

    前言:最近工作中遇到一些比较奇葩的App,一边测试一边搜集整理出了比较全的姿势。如有错误之处,还请各位师傅多多指教。 0x01 不走代理的App 如何判断:连接Fiddler代理&…

    CSO方法 2021-03-26
    02.0K0
  • 真香系列-个人逆向虚拟机分享

    收录于话题 点击蓝字关注我哦 前言 在此之前我分享过一个pwn的虚拟机,粉丝回馈说很不错!,那么今天我就把我平时进行逆向分析和免杀的虚拟机分享出来,继续延续真香系列。 效果截图 因…

    2021-03-26
    01.0K0
  • Linux中编写Shell脚本

    收录于话题 Linux中编写Shell脚本 目录 Shell Shell脚本的执行 Shell脚本编写规范 Shell 中的变量 变量的算术运算 双小括号 (())  数…

    CSO方法 2021-03-26
    08620
  • 首席安全官数据安全分级分类实践指南

    数据泄露的发生通常由混乱的数据资产管理,不当的数据资产保护措施造成。数据安全分级分类按照数据敏感度、重要级别等对数据资产进行严格的分级分类,并采取对应级别的保护措施,能够显著的保护数据,有效规避数据泄露风险,是防止数据泄露的重要环节。

    CSO方法 2021-04-18
    01.2K0
  • 蚂蚁集团数据安全复合治理研究与实践

    过去几年的数据安全实践中,蚂蚁集团通过持续加大对数据、算法、产品的建设力度,不断强化规范制定的建设和实际落地,同时大幅提升数据安全相关的培训、认证、考试及各种日常宣导。总结了一套目前来看比较有效,覆盖数据采集、传输、存储、使用等全周期的数据安全治理体系,提出复合治理的新模式。

    CSO方法 2021-02-20
    03.7K0
  • 从XXE到AWS元数据泄露

      最近,我在HackerOne上的一个私人漏洞计划上发现了一个关键漏洞,让我可以获得他们的亚马逊网络服务根密钥。正因为如此,该漏洞被评为10.0级危急,是最高级别的。 我用我的自…

    CSO方法 2021-03-26
    01.9K0
  • 简评美国弗吉尼亚州消费者数据保护法案

    法案借鉴了许多美国加州《消费者隐私法》以及欧盟《通用数据保护条例》的成熟经验,主要内容如下。

    2021-03-22
    08310
  • 美国防部云计算部署拖延阻碍人工智能和网络安全发展

    美国防部的三个云支柱项目的进展比预期要慢得多,这些延误阻碍了国防部整个云企业的愿景,也阻碍了依赖于大型云项目的人工智能和网络安全的进展。

    CSO方法 2021-03-16
    09630
  • MSF使用详解

      Metasploit Metasploit Framework(MSF)是一款开源安全漏洞检测工具,附带数千个已知的软件漏洞,并保持持续更新。Metasploit可以用来信息收…

    2021-03-26
    03.4K0
  • 春日招聘|唯品会聘安全人才

    收录于话题 敢想敢做唯 唯品会安全部门期待你的加入! “ 唯品会作为全球最大特卖电商,一直致力于营造安全,健康的线上特卖平台。唯品会安全部门将坚持不断完善自身安全体系与信息安全技术…

    CSO方法 2021-03-28
    07530

发表回复

登录后才能评论