执行摘要
网络安全和基础设施安全局(CISA)与美国海岸警卫队(USCG)发布此网络安全公告,通报在关键基础设施组织进行威胁搜寻的发现。虽然未发现恶意活动证据,但识别出多个网络安全风险,包括:
- 日志记录不足
- 凭证不安全存储
- 多工作站共享本地管理员凭证
- 本地管理员账户无限制远程访问
- IT与运营技术(OT)资产间网络分段配置不足
- 多个设备配置错误
技术详情
共享本地管理员账户与明文存储密码
详情: CISA发现多个本地管理员账户使用非唯一密码,这些账户在多台主机间共享。凭证以明文形式存储在批处理脚本中。一个脚本配置为创建管理员账户(密码以明文存储在脚本中)并自动添加到管理员组。
潜在影响: 明文凭证存储和相同密码使用增加了未经授权访问风险,促进横向移动。攻击者可利用这些凭证登录管理员账户,通过RDP横向移动到其他工作站。
IT与OT环境间网络分段配置不足
详情: 评估客户IT与OT环境互联时,CISA发现OT环境配置不当。标准用户账户可直接从IT主机访问监控与数据采集(SCADA)虚拟局域网(VLAN)。
潜在影响: IT网络中非特权用户可使用其凭证访问关键SCADA VLAN,带来安全风险。攻击者可利用RDP或SSH协议从受损IT工作站横向移动到OT系统。
日志保留与实施不足
详情: CISA无法按计划搜寻所有MITRE ATT&CK程序,部分原因是组织的事件日志系统不足。工作站Windows事件日志未转发到SIEM,详细命令行审计未启用,日志保留期不允许彻底的历史活动分析。
潜在影响: 缺乏全面详细日志阻碍了基于行为和异常的检测,使网络面临未检测到的威胁。
生产服务器sslFlags配置错误
详情: CISA检查生产IIS服务器上的ApplicationHost.config文件,发现HTTPS绑定配置为sslFlags=“0”,这使IIS保持传统的"每IP一证书"模式,禁用现代证书管理功能。
潜在影响: 配置错误的sslFlags可能使威胁参与者尝试中间人攻击,拦截客户端与IIS服务器间传输的凭证和数据。
生产服务器结构化查询语言连接配置错误
详情: CISA审查生产服务器上的machine.config文件,发现配置了集中式数据库连接字符串LocalSqlServer,用于配置文件和角色提供程序。该配置意味着除非在每个应用程序的web.config文件中覆盖,否则服务器上每个ASP.NET站点都连接到同一SQL Express或aspnetdb数据库并共享相同凭证上下文。
潜在影响: 使用集中式数据库方法增加风险,因为此中央SQL数据库服务器的单次泄露或配置错误可能危及所有依赖服务器的应用程序。
缓解措施
CISA和USCG建议关键基础设施组织实施以下缓解措施:
为管理员账户实施唯一凭证和访问控制措施
- 为所有系统上的本地管理员账户配置唯一复杂凭证
- 要求对所有管理访问(包括本地和域级管理员账户、RDP会话和VPN连接)进行防网络钓鱼多因素认证(MFA)
- 使用专用于管理任务的特权访问工作站(PAW)
- 对特权账户进行持续审计
- 应用最小权限原则
安全存储和管理凭证
- 从System Center Configuration Manager(SCCM)中清除凭证
- 不要将明文凭证存储在脚本中
- 使用加密通信
- 使用唯一的本地管理员密码
在IT与OT环境间建立网络分段
- 评估现有网络架构确保IT与OT网络间有效分段
- 在IT与OT环境间实施非军事区(DMZ)
- 考虑完整的网络重新架构
- 在适当时实施单向网关(数据二极管)
通过端口21防止未经授权访问
- 如果不需要,在SCADA设备和服务器上禁用文件传输协议(FTP)服务
- 使用防火墙和ACL阻止端口21上的入站和出站FTP流量
- 实施IDS/IPS技术监控IT网络与SCADA VLAN间的流量
为OT网络访问建立安全堡垒主机
- 确保堡垒主机是专用于访问OT网络的专用安全访问点
- 不允许员工将堡垒主机用作常规工作站
- 定期审计和监控堡垒主机
- 在堡垒主机上配置全面活动日志记录
实施全面日志记录、日志保留和分析
- 在所有系统上实施全面详细日志记录
- 在带外集中位置聚合日志
- 确保堡垒主机上的全面日志记录
- 持续监控日志以及时检测异常活动
附加缓解建议
CISA和USCG建议关键基础设施组织实施以下附加缓解措施:
- 通过为所有与OT网络的远程交互部署专用VPN来保护从IT到OT环境的RDP
- 如果在OT环境中使用无线技术,实施具有强认证协议的WPA3-企业加密
- 验证安全控制措施