执行摘要

网络安全和基础设施安全局（CISA）与美国海岸警卫队（USCG）发布此网络安全公告，旨在通报近期威胁狩猎活动中发现的网络安全问题。该公告旨在向其他组织的安全防御人员通报潜在的类似问题，并鼓励他们采取积极措施增强网络安全态势。

CISA在美国关键基础设施组织主导了一次主动威胁狩猎活动，并得到USCG分析人员的支持。在此次活动中，虽然未发现恶意网络活动或攻击者存在的证据，但识别出多项网络安全风险：

• 日志记录不足
• 凭证存储不安全
• 多台工作站共享本地管理员凭证
• 本地管理员账户无限制远程访问
• IT与运营技术（OT）资产间网络分段配置不足
• 若干设备配置错误

技术细节

关键发现

共享本地管理员账户与非唯一明文密码

CISA发现少数本地管理员账户使用非唯一密码，这些账户在多台主机间共享。每个账户的凭证以明文形式存储在批处理脚本中。这些授权脚本配置为创建具有本地管理员权限的用户账户，并设置相同的永不过期密码——这些密码以明文形式存储在脚本中。

IT与运营技术环境间网络分段配置不足

在评估客户IT与OT环境互联性时，CISA发现OT环境配置不当。具体而言，标准用户账户可直接从IT主机直接访问监控与数据采集（SCADA）虚拟局域网（VLAN）。

日志保留与实施不足

CISA无法按计划狩猎所有MITRE ATT&CK程序，部分原因是组织的事件日志系统不足以支持此分析。例如，工作站的Windows事件日志未转发到组织的安全信息事件管理（SIEM）系统，未启用详细命令行审计，SIEM中的日志记录不够全面，且日志保留期不允许对历史活动进行彻底分析。

其他发现

生产服务器上sslFlags配置错误

CISA使用PowerShell检查生产IIS服务器上的ApplicationHost.config文件，观察到HTTPS绑定配置为sslFlags=“0”，这使IIS保持传统的"每IP一个证书"模式。此模式禁用现代证书管理功能，且由于相互传输层安全（TLS）（客户端证书认证）必须单独在"SSL设置"中启用，绑定默认关闭客户端证书强制执行，允许任何TLS客户端匿名完成握手。

生产服务器上结构化查询语言连接配置错误

CISA审查生产服务器上的machine.config文件，发现其配置了集中式数据库连接字符串LocalSqlServer，用于配置文件和角色提供程序。此配置意味着，除非在每个应用程序的web.config文件中被覆盖，否则服务器上的每个ASP.NET站点都连接到相同的SQL Express或aspnetdb数据库，并共享相同的凭证上下文。

缓解措施

CISA和USCG建议关键基础设施组织实施以下缓解措施，按重要性从高到低排序：

为管理员账户实施唯一凭证和访问控制措施

• 在所有系统上为本地管理员账户配置唯一且复杂的凭证
• 要求对所有管理访问（包括本地和域级管理员账户、RDP会话和VPN连接）实施防网络钓鱼的多因素认证（MFA）
• 使用专门用于管理任务的特权访问工作站（PAW）
• 执行特权账户的持续审计

安全存储和管理凭证

• 从System Center Configuration Manager（SCCM）中清除凭证
• 不要将明文凭证存储在脚本中
• 使用加密通信
• 使用唯一的本地管理员密码

在IT与OT环境间建立网络分段

• 评估现有网络架构，确保IT与OT网络间的有效分段
• 在IT与OT环境间实施非军事区（DMZ）
• 考虑完整的网络重新架构
• 在适当时实施单向网关（数据二极管）

通过端口21防止未经授权的访问

• 在SCADA设备和服务器上禁用文件传输协议（FTP）服务（如不需要）
• 使用防火墙和ACL阻止端口21上的入站和出站FTP流量
• 实施IDS/IPS技术监控IT网络与SCADA VLAN间的流量

为OT网络访问建立安全堡垒主机

• 确保堡垒主机是专门的安全访问点
• 不允许员工将堡垒主机用作常规工作站
• 定期审计和监控堡垒主机
• 配置堡垒主机的全面活动日志记录

实施全面日志记录、日志保留和分析

• 在所有系统上实施全面且详细的日志记录
• 在带外集中位置聚合日志
• 确保护卫主机的全面日志记录
• 持续监控日志以早期检测异常活动

验证安全控制

除了应用缓解措施外，CISA和USCG建议根据本公告中映射到MITRE ATT&CK for Enterprise框架的威胁行为，演练、测试和验证组织的安全计划。CISA和USCG建议测试现有的安全控制清单，以评估它们对本文所述ATT&CK技术的表现。