CISA提醒安全錯誤配置和常見錯誤

最近發布的網絡安全公告警告稱，攻擊者正在利用錯誤配置和薄弱的安全控制來獲得對企業網絡的初始訪問權限。

美國網絡安全和基礎設施安全局（CISA）與來自加拿大、新西蘭、荷蘭和英國的網絡安全當局一起，詳細介紹了在攻擊開始階段被利用最多的控制和做法。

該公告稱：“網絡攻擊者經常利用糟糕的安全配置（配置錯誤或不安全）、控制薄弱和其他糟糕的網絡做法來獲得初始訪問權限，或作為其他策略的一部分來破壞受害者的系統。”

該公告總共列出了五種技術：利用面向公眾的應用程序、外部遠程服務、網絡釣魚、受信任關系和有效帳戶。受信任的關系是指一種危險的技術，攻擊者破壞第二方或第三方以獲取對目標受害者的訪問權限。濫用遠程服務（例如VPN和Microsoft的遠程桌面協議）已成為攻擊者越來越受歡迎的目標。

該公告稱，配置錯誤的云服務是另一個受歡迎的目標。與本地網絡相比，保護云可能更加復雜。該公告警告說，未受保護的云服務通常會在采用初始訪問技術之前被攻擊者利用，并可能導致可怕的后果。

該公告指出：“糟糕的配置可能會導致敏感數據被盜，甚至是加密劫持。”

最難防范的技術之一是利用較差的端點檢測和響應。該公告警告稱，攻擊者使用“混淆的惡意腳本和PowerShell攻擊”來訪問目標端點設備。

TrendMicro發現AvosLocker勒索軟件攻擊者最近使用PowerShell腳本來禁用防病毒軟件并逃避檢測。AvosLocker團伙采用的相對較新的技術還掃描了易受攻擊的端點，這是該公告中強調的另一個威脅。

該公告稱，暴露的開放端口和錯誤配置的服務，是最常見的漏洞發現之一，這可以將攻擊者直接引向易受攻擊的組織。

該公告指出：“網絡攻擊者使用掃描工具來檢測開放端口，并經常將它們用作初始攻擊媒介。”

Shadowserver Foundation也在周二發表的一篇博文中進一步強調了這種風險。這個非營利性信息安全組織最近開始掃描可訪問的Kubernetes API實例，發現在超過450,000個實例中，超過380,000個允許某種形式的訪問。Shadowserver進一步細分它，指出暴露的API占所有實例的近84%。

該博客文章稱：“雖然這并不意味著這些實例完全開放或容易受到攻擊，但這種訪問級別很可能不是故意的，這些實例是不必要的暴露攻擊面。它們還允許有關版本和構建的信息泄漏。”

很多弱點歸結為安全條件差，并突出了企業安全的持續問題，例如未修補的軟件，同時該聯合公告還提供了詳細的緩解步驟。例如，采用零信任模型，通過網絡分段來減少攻擊范圍。

很多緩解措施都集中在身份驗證和保護第三方設備上，因為攻擊者使用的最常見技術涉及暴露的應用程序和濫用憑據。在啟用外部訪問之前，該公告敦促企業安裝防火墻，并與其他安全帳戶和主機（如域控制器）隔離。

此外，該聯合公告建議采取緩解措施來保護控制訪問和強化登錄憑據，例如部署多因素身份驗證和限制管理員帳戶的遠程功能。其他重要做法包括漏洞掃描、更改第三方提供的默認登錄憑據和建立集中式日志管理。最后一點對于取證調查和記錄攻擊技術至關重要。