网络安全和基础设施安全局以及国家安全局发布的联合网络安全咨询警告各组织,导致数字网络容易受到外部攻击的十种最常见的软件配置错误表明需要采用安全设计方法。
该建议于周四发布,是通过机构官员进行的一系列红队和蓝队(分别是进攻队和防守队)测试而形成的。测试结果显示数字系统中十大错误配置:
- 软件和应用程序的默认配置
- 用户/管理员权限分离不当
- 内网监控不足
- 缺乏网络分段
- 补丁管理不善
- 绕过系统访问控制
- 多因素身份验证方法薄弱或配置错误
- 网络共享和服务的访问控制列表不足
- 凭证卫生状况不佳
- 不受限制的代码执行
“这些错误配置说明了(1)许多大型组织中系统性弱点的趋势,包括那些拥有成熟网络态势的组织,以及(2)软件制造商采用设计安全原则以减轻网络防御者负担的重要性,”通知摘要如下。
两个机构提供的建议的基础是采用安全设计方法来进行软件设计和部署;拜登政府数字政策中宣扬的理念。
CISA 和 NSA 推荐的几种安全设计方法包括在软件开发和生命周期的架构中嵌入安全协议、消除默认密码和登录凭据以及采用多因素身份验证方法。
该建议还强调了通过确保登录方案能够安全地抵御此类尝试来减少网络钓鱼攻击机会的重要性,因为各机构部署的红色和蓝色团队能够通过网络钓鱼方法访问网络。
发表评论
您还未登录,请先登录。
登录