NSA и CISA публикуют рекомендации по десяти основным неправильным настройкам кибербезопасности

Агентство национальной безопасности (АНБ) и Агентство по кибербезопасности и инфраструктурной безопасности (CISA) выпустили совместную консультацию по кибербезопасности (CSA), красные и синие команды АНБ и CISA делятся десятью лучшими неправильными настройками кибербезопасности, в которой представлены наиболее распространенные неправильные настройки кибербезопасности в крупных организациях и подробно описаны тактики, методы и процедуры (TTP), используемые участниками для использования этих неправильных настроек.

Неправильные настройки в CSA иллюстрируют тенденцию к системным недостаткам во многих крупных организациях, в том числе со зрелыми киберпозициями, и подчеркивают важность того, чтобы производители программного обеспечения придерживались принципов безопасности по дизайну, чтобы снизить нагрузку на сетевых защитников. Прочитайте сообщение исполнительного помощника директора в блоге CISA о “срочности внедрения производителями программного обеспечения принципов безопасности по дизайну“.

Кроме того, NSA и CISA рекомендуют организациям ознакомиться с совместным CSA на предмет рекомендуемых шагов и передовой практики для снижения риска использования злоумышленниками выявленных неправильных настроек. Для получения дополнительной информации о принципах обеспечения безопасности по замыслу посетите разделы “Безопасность по замыслу” и “Безопасность по замыслу и по умолчанию”

КРАТКОЕ ИЗЛОЖЕНИЕ

Агентство национальной безопасности (NSA) и Агентство по кибербезопасности и инфраструктурной безопасности (CISA) выпускают этот совместный консультативный документ по кибербезопасности (CSA), в котором освещаются наиболее распространенные неправильные настройки кибербезопасности в крупных организациях и подробно описываются тактики, методы и процедуры (TTPp), используемые участниками для использования этих неправильных настроек.

С помощью оценок команд красных и синих команд АНБ и CISA, а также благодаря деятельности групп поиска АНБ и CISA и реагирования на инциденты агентства выявили следующие 10 наиболее распространенных сетевых ошибок:

1. Конфигурации программного обеспечения и приложений по умолчанию
2. Неправильное разделение прав пользователя и администратора
3. Недостаточный мониторинг внутренней сети
4. Отсутствие сегментации сети
5. Плохое управление исправлениями
6. Обход контроля доступа к системе
7. Слабые или неправильно настроенные методы многофакторной аутентификации (MFA)
8. Недостаточно списков контроля доступа (ACL) к общим сетевым ресурсам и службам
9. Плохая гигиена учетных данных
10. Неограниченное выполнение кода

Эти неправильные конфигурации иллюстрируют (1) тенденцию к системным недостаткам во многих крупных организациях, в том числе со зрелыми киберпозициями, и (2) важность того, чтобы производители программного обеспечения придерживались принципов безопасности по дизайну, чтобы снизить нагрузку на защитников сетей:

• Должным образом обученные, укомплектованные персоналом и финансируемые команды сетевой безопасности могут внедрить известные способы устранения этих недостатков.
• Производители программного обеспечения должны снизить распространенность этих неправильных настроек — тем самым укрепляя уровень безопасности клиентов — путем включения принципов и тактик защиты по замыслу и по умолчанию в свою практику разработки программного обеспечения.

АНБ и CISA рекомендуют сетевым защитникам выполнять рекомендации, содержащиеся в разделе “Меры по смягчению последствий” данного руководства, включая следующие, чтобы снизить риск использования злоумышленниками выявленных неправильных настроек.

• Удалите учетные данные по умолчанию и ужесточите конфигурации.
• Отключите неиспользуемые службы и внедрите контроль доступа.
• Регулярно обновляйте и автоматизируйте исправления, уделяя приоритетное внимание исправлению известных эксплуатируемых уязвимостей.
• Сокращайте, ограничивайте, проверяйте и контролируйте административные учетные записи и привилегии.

NSA и CISA призывают производителей программного обеспечения взять на себя ответственность за улучшение показателей безопасности своих клиентов, применяя тактику защиты по замыслу и по умолчанию, включая:

• Внедрение элементов управления безопасностью в архитектуру продукта с самого начала разработки и на протяжении всего жизненного цикла разработки программного обеспечения (SDLC).
• Устранение паролей по умолчанию.
• Предоставление высококачественных журналов аудита клиентам без дополнительной оплаты.
• Обязательный MFA, в идеале устойчивый к фишингу, для привилегированных пользователей и делающий MFA функцией по умолчанию, а не для подписки.