Af Eskil Sørensen, 17/10/23
De amerikanske myndigheder på cyber- og sikkerhedsområdet, National Security Agency (NSA) og Cybersecurity and Infrastructure Security Agency (CISA), har udsendt en rapport om de ti mest almindelige fejlkonfigurationer i forhold til cybersikkerhed i store organisationer.
Rapporten er blevet til på baggrund af de iagttagelser, som NSA og CISAs 'røde og blå teams' har opdaget i store organisationers netværk. Dvs. at der er tale om real-life erfaringer.
Fejlkonfigurationerne udgør følgende:
- Standardkonfigurationer af software og applikationer
- Ukorrekt adskillelse af bruger/administratorrettigheder
- Utilstrækkelig intern netværksovervågning
- Manglende netværkssegmentering
- Dårlig patch management
- Omgåelse af systemadgangskontrol
- Svage eller forkert konfigurerede multifaktorautentificeringsmetoder (MFA).
- Utilstrækkelige adgangskontrollister (ACL'er) på netværksshares og –tjenester
- Dårlig legitimationshygiejne
- Ubegrænset kodeudførelse
Rapporten beskriver også de taktikker, teknikker og procedurer (TTP'er), som trusselsaktører bruger til at udnytte fejlkonfigurationerne og gøre det, de har til hensigt: at få adgang til følsom information, bevæge sig sidelæns i en organisations netværk eller gennemføre angreb på informationer eller systemer.
For sikkerhedsfolk er disse observationer næppe overraskende, men som det hedder i rapporten udgør fejlkonfigurationerne 'systemiske' sårbarheder inden for netværk i ’adskillige’ store organisationer. Den peger også på, fremgår det, behovet for, at softwareproducenter indfører security by design-principper i deres løsninger, hvorved risikoen for kompromittering mindskes.
NSA og CISA opfordrer på baggrund af rapporten netværksfolk at implementere afbødende foranstaltninger i forhold til fejlkonfigurationeren, fx.
- eliminering af standardlegitimationsoplysninger og hærdende konfigurationer,
- deaktivering af ubrugte tjenester og implementering af strenge adgangskontroller,
- sikring af regelmæssige opdateringer og automatisering af patching-processen, med prioritet til patchning af kendte sårbarheder, der er blevet udnyttet,
- reduktion, begrænsning, revidering og nøje overvågning af administrative konti og privilegier
Udover ovenstående anbefaler NSA og CISA også at og validere en organisations sikkerhedsprogram mod trusselsadfærden, som det er kortlagt i MITER ATT&CK®. MITER ATT&CK® er en videnbase om angrebstaktikker og -teknikker som også er baseret på observationer fra den virkelige verden. Endelig opfordrer de to amerikanske myndigheder til, at man tester sine sikkerhedskontroller ift. at modstå de nævnte ATT&CK-teknikker.