זוועות אבטחה: רשימת ה-NSA וה-CISA של עשרת הסליקות האבטחה המובילות

רשת לא מאובטחת היא הסיוט הכי גרוע של מגן אבטחת סייבר וחלומו של תוקף. תצורה שגויה בודדת יכולה להשאיר חור פעור ברשת. עם זאת, בין אם בגלל בורות, הסחת דעת, לא מספיק מנהלים או יותר מדי, התצורות השגויות האלה נפוצות. הסוכנות לביטחון לאומי של ארה"ב (NSA) והסוכנות לאבטחת סייבר ותשתיות (CISA) רואים כל כך הרבה מאותם צצים עד שהם פרסמו לדווח פירוט עשרת הנפוצים ביותר. סידרנו אותם כאן, יחד עם דיון על ההשפעות הפוטנציאליות שלהם ואמצעי הפחתה אפשריים.

תצורות ברירת מחדל של תוכנות ויישומים

SNAFU אבטחה קלאסי זה כולל שימוש ברירת מחדל של אישורי גישה מנהלתית, שניתן למצוא בקלות באינטרנט. אי שינוים מותיר את השליטה הניהולית פתוחה לכל מי שיכול להגיע לפורטל הגישה.

בעיות תצורת ברירת המחדל מתרחבות מעבר לשימוש בכניסות קבועות מראש של היצרן. שירותים כמו Active Directory (שמוצגים רבות בניתוחים של הצוותים) מגיעים עם הגדרות ברירת מחדל של הרשאות עבור שירותים שונים או משאירים שירותים מדור קודם פגיעים כברירת מחדל.

לדוגמה, במשך זמן רב, מיקרוסופט השאירה את Active Directory Link-Local Multicast Name Resolution (LLMNR) פועלת כברירת מחדל, למרות ששירות פתרון השמות הזה בישר מהתקופה שבה ה-DNS לא היה בכל מקום כמו שהוא עכשיו. לפרוטוקול הזה יש בעיית אבטחה שתוקפים יכולים לנצל. מיקרוסופט הצהירה באפריל 2022 שהיא תוציא את השירות הזה בהדרגה לטובת ה-mDNS החדש והמאובטח יותר.

הפרדה לא נכונה של הרשאות משתמש/מנהל

גישה עם הרשאות נמוכה היא עיקרון בסיסי באבטחה מודרנית, אך מנהלים רבים משאירים חשבונות עם הרשאות מופרזות שתוקפים יכולים לנצל. חשבונות שירות משמשים לגישה למשאבים מכיוון שלעתים קרובות יש להם הרשאות גבוהות כך שהם יכולים לגשת למשאבי מערכת מסוימים. הם נכס מוערך לתוקפים.

יש כאן אמצעי תיקון שונים, כולל הגבלת השימוש בחשבונות מועדפים לביצוע משימות כלליות שעלולות להפוך אותם לפגיעים (כגון גישה לדואר אלקטרוני), ביקורת חשבונות משתמש ויישום לפחות גישה הרשאה. אהבנו גם את הרעיון של השבתת חשבונות ניהול ולאפשר גישה אליהם רק לפי בקשה למסגרת זמן מוגדרת.

ניטור רשת פנימי מספיק

תוקפים פחות מנוסים יכולים לעשות רעש כשהם מקבלים גישה לרשת ומסתובבים בה לרוחב. ארגונים שלא מפקחים על הרשתות שלהם יחמיצו את האותות האלה. בחלק מהמקרים, הצוותים מצאו כמה אנשים שעוקבים אחר מכונות מארחות תוך כשל בבדיקת הרשת, כלומר יכלו לראות את השפעת ההתקפה על השרת אך לא יכלו לראות מאיפה היא באה.

חוסר פילוח רשת

חלוקה של הרשת שלך למקטעים לוגיים יוצרת אזורי אבטחה שמשתמשים יכולים לחצות רק עם ההרשאות הנכונות. זוהי המקבילה לרשת של אבטחת דלתות כניסה לחלקים שונים של הבניין באמצעות גישה לתג. עם זאת, ארגונים רבים שומרים על הרשתות שלהם 'שטוחות', ומאפשרות גישה לכל אזור מכל מקום. לפי א דו"ח הקונגרס, כישלון זה ברשת משרד כוח אדם וניהול (OPM) תרם לפריצה המוצלחת שלו ב-2015.

ניהול תיקון לקוי

זה מאכזב אך לא מפתיע שכשל בתיקון יישומים ומערכות הפעלה הוא עדיין בעיה עבור ארגונים. אנו יודעים שתיקון הכל ברשת יכול להיות מאמץ כבד, אבל תעדוף תיקונים המבוססים על ניתוח סיכונים נכון יכול לעזור לזהות את העדכונים הדחופים ביותר. מה שמדהים הוא שלפי הדו"ח, הצוותים "צפו לעתים קרובות" בארגונים שעדיין לא תיקנו את MS08-067 - פגיעות ביצוע הקוד מרחוק משנת 2008 שאפשרה ל-Confider להופיע - ו-MS17-010, שאפשרה את ההתקפה של EternalBlue עליה התוכנה הזדונית WannaCry 2017 הייתה מבוססת.

עקיפת בקרות גישה למערכת

תוקפים לפעמים יעקפו את המסורתיות בקרות גישה למערכת. טכניקה אחת שנקראת 'עבר את ה-hash' משתמשת ב-hash גנובים של אישורים (אולי ממסד נתונים שפורסם ברשת האפלה) כדי לגשת למערכות אימות ללא שימוש בסיסמת טקסט ברור.

שיטות אימות רב-גורמי (MFA) חלש או שגוי

MFA הוא שכבת הגנה חשובה, אבל זה לא תרופת פלא, במיוחד אם מיושמת בצורה לא נכונה. בעיות נפוצות כוללות שימוש ב-MFA מבוסס SMS הכפוף להחלפת SIM, או 'הפצצת דחיפה', שבה התוקפים מטרידים אנשים כדי לאמת גישה. CISA ממליצה להשתמש ב-FIDO/WebAuthn כסטנדרט הזהב כדי להימנע מהתקפות כאלה. מאמתים מבוססי אפליקציה הם הבחירה הטובה ביותר.

רשימות בקרת גישה לא מספקות (ACL) על שיתופי רשת ושירותים

אולי נעלת את חשבונות השירות שלך, אבל מה לגבי כונני הרשת שלך? השארת שיתופי רשת פתוחים לחשבונות לא מורשים מספקת דרך מנוצלת לעתים קרובות עבור תוקפים. הדוח אומר שהם יכולים להשתמש בכלי קוד פתוח או בפקודות מערכת פשוטות כדי לסרוק שיתופים זמינים.

היגיינת אישורים לקויה

על פי הדו"ח, שימוש בסיסמאות שקל לפיצוח או אחסוןן בטקסט ברור הן שתיהן תקלות אבטחה נפוצות. שמירת סיסמאות בטקסט ברור הוא מהלך לא בטוח בעליל. עם זאת, אפילו חברות גדולות כאלה בתור פייסבוק ו קדימה אבא אחסנו סיסמאות בצורה זו או בפורמט שניתן להפוך בקלות לטקסט נקי. אפילו סיסמאות שהן גיבוב ניתנות לשליפה באמצעות פיצוצי סיסמאות.

ביצוע קוד בלתי מוגבל

התצורה השגויה הנפוצה העשירית המשותפת ברשימה היא לאפשר ליישומים לא מאומתים לפעול על מארחים. תוקפי פישינג לרוב ישכנעו קורבנות להפעיל תוכנה לא מורשית על המחשבים שלהם.

הדוח מציע שרשימות המאפשרות רק חתימות ספציפיות של תוכניות יכולות לעזור. עם זאת, זה יכול להיות מסובך ליישום מכיוון שתוכניות לגיטימיות מגיעות לרוב במספר גרסאות, ויוצרות חתימות רבות. הדוח מזכיר גם שימוש בקונטיינרים לקריאה בלבד ובתמונות מינימליות.

שלבי הקלה

הדו"ח מפרט מספר הקלות עבור סיכונים אלה, שרבים מהם צריכים להיות ברורים לאנשי אבטחה מוסמכים. העובדה שה-NSA וה-CISA פרסמו צעדי הפחתה נפרדים עבור מגיני רשת ויצרני תוכנה ראויה לשבח. לעתים קרובות מדי, ספקים בורחים מביקורת על הפרקטיקות הלא בטוחות שלהם.

ההפחתות של היצרן שהוצעו בדוח כללו הנחיות לפיתוח תוכנה מאובטח מההתחלה. זה יעזור לחסל את הבאגים שהובילו לתיקוני תוכנה הבאים. ספקים צריכים גם לשלוח תוכנה מוקשחת כברירת מחדל במקום לדרוש עבודה נוספת מצד הלקוח. אהבנו את הרעיון של 'מדריכים לשחרר' שמראים ללקוחות כיצד להרפות את הגדרות האבטחה היכן שצריך, יחד עם הסיכונים שבכך. הרבה יותר קשה להוסיף בקרות אבטחה מאשר לוותר על אלה שכבר קיימים.

אמצעים אחרים שחלפו זמן רב כוללים ביטול סיסמאות ברירת מחדל. בעוד שמנהלים מוסמכים צריכים לשנות את אלה, רבים לא עושים זאת. עיצוב תוכנה (שלא לדבר על חומרה) שאין להן יאלץ הגדרות תצורה מותאמות אישית. אחר הוא תמיכת ברירת מחדל עבור MFA ו-MFA חובה עבור משתמשים מורשים.

אספקת יומני ביקורת מקיפים מחוץ לקופסה תעזור לתמוך בניטור רשת ולזהות את עקיפת בקרות הגישה, הוסיף הדו"ח. בקרת גישה רשימות עם הרשאות מינימליות הכרחיות עשויות להפוך את הדברים לקצת פחות נוחים למשתמשים, אך גם ימזערו את הסיכון למערכת מחשבונות שנחטפו.

הצעה נוספת היא תמיכה בביצוע קוד פקדים מחוץ לקופסה במערכות הפעלה ויישומים, שיעזרו להימנע מהפעלת קוד חריג. כבר ראינו חלק מזה, כמו באזהרה של אפל בעת הפעלת קוד שאינו מחנות האפליקציות וההחלטה של ​​מיקרוסופט לחסום פקודות מאקרו VBA מהאינטרנט. יש הרבה מקום לעוד.

זה מאכזב שכל כך הרבה מהטעויות הנפוצות ברשימה זו הן צמחים רב שנתיים עמידים. כולם צצו במשך שנים בפרצות אבטחה ויעשו זאת להרבה יותר. על ידי מתן שלבי הפחתה ללקוחות וספקים כאחד, ה-NSA וה-CISA לפחות מניחים את הבסיס למחשוב אחראי יותר.

פתיחת הכוח של מסגרות אבטחה עם ISMS.online

מינוף מסגרות כמו ISO 27001 ו-NIST מספק לארגונים הדרכה מוכחת לבניית תוכניות אבטחה מקיפות.

על ידי אימוץ הדרישות והבקרות המתוארות במסגרות אלו, חברות יכולות לטפל באופן שיטתי בסיכונים, להגן על נכסים קריטיים ולהבטיח עמידה ברגולציה הרלוונטית. הגישה המובנית של מיפוי הצרכים הספציפיים של ארגון למסגרות מבוססות פותחת את הכוח של שיטות עבודה מומלצות בתעשייה לאבטחת מידע, ומספקת נתיב אסטרטגי לשיפור מתמיד של הגנות בנוף איומים מורכב.

עם יישום נכון של תקני אבטחה מובילים, אפילו צוותים קטנים יכולים לבנות תוכניות יעילות ששומרות על פעולות ונתונים. קבע עוד היום שיחה עם אחד המומחים שלנו כדי לגלות כיצד אימוץ מסגרת אבטחה יכול להועיל לארגון שלך.