美國國家安全局(NSA)和網絡安全與基礎設施安全局(CISA)在本周五的報告中公布了其紅隊和藍隊在大型組織網絡中發現的十大最常見網絡安全誤配置。NSA和CISA在安全建議中詳細說明了攻擊者經常使用哪些策略、技術和程序(TTPs)來成功利用這些誤配置，實現各種目標，包括獲得訪問權限、橫向移動和定位敏感信息或系統等。

報告分析的數據來自兩家機構的紅隊和藍隊在對多個美國政府部門進行的網絡安全評估和事件響應活動，包括來自國防部(DoD)、聯邦民用執行部門(FCEB)、州、地方、部落和領土(SLTT)政府以及私營企業網絡的數據。

評估顯示，一些最常見的錯誤配置可將整個國家的人民置于網絡安全風險之中，例如軟件和應用程序的默認憑證、服務權限和配置、用戶/管理員權限的不當分離、內部網絡監控不足、糟糕的補丁管理等。

報告公布的十大最常見網絡安全錯誤配置包括：

1. 軟件和應用程序的默認配置
2. 用戶/管理員權限的不當分離
3. 內網監控不足
4. 缺乏網絡分段
5. 糟糕的補丁管理
6. 系統訪問控制的繞過
7. 弱或誤配置的多因素認證(MFA)方法
8. 網絡共享和服務的訪問控制列表(ACLs)不足
9. 糟糕的憑證衛生
10. 無限制的代碼執行

上述錯誤配置是許多大型企業網絡中最常見的系統性漏洞和攻擊風險，凸顯了軟件開發商采用和遵循安全設計原則的重要性和緊迫性。

報告建議軟件開發商停止使用默認密碼，并確保單個安全控制點被入侵后不會危及整個系統的完整性。此外，采取積極措施消除整個漏洞類別也至關重要，例如使用內存安全的編碼語言或實施參數化查詢。

最后，報告建議強制實施特權用戶進行多因素認證(MFA)，并將MFA設為默認措施，使其成為標準實踐而非可選項。

NSA和CISA還建議網絡防御者實施推薦的緩解措施，以減少攻擊者利用這些常見誤配置的風險。這些緩解措施包括：

• 消除默認憑證并加固配置
• 停用未使用的服務并實施嚴格的訪問控制
• 確保定期更新并自動化補丁過程，優先補丁已知的已被利用的漏洞
• 減少、限制、審計和密切監控管理帳戶和權限

NSA和CISA還建議軟件開發商也采納安全設計和默認策略來提高客戶端的安全性，具體緩解措施建議如下：

• 減少錯誤配置。從開發開始就將安全控制嵌入產品架構，并在整個軟件開發生命周期(SDLC)中進行。
• 消除默認密碼。
• 免費為客戶提供高質量的，詳細且易于理解的審計日志。
• 強制實施多因素認證(MFA)。對特權用戶強制實施多因素認證(MFA)，并將MFA作為默認而非可選功能，理想情況下可以防范網絡釣魚。

此外，NSA和CISA推薦“針對MITRE ATT&CK for Enterprise框架映射的威脅行為來演練、測試和驗證組織的安全計劃”。

兩個機構還建議測試組織現有的安全控制清單，以評估它們對建議中描述的ATT&CK技術的性能。