CISA与USCG在关键基础设施威胁搜寻中发现需改进的网络安全问题

摘要

网络安全和基础设施安全局（CISA）与美国海岸警卫队（USCG）发布此网络安全公告，通报最近在一次威胁搜寻活动中发现的网络安全问题。虽然未发现恶意活动证据，但识别出多项安全风险，包括日志记录不足、凭证存储不安全、共享本地管理员凭证等。

技术发现

共享的本地管理员账户与明文存储密码

详情：CISA发现少数本地管理员账户使用非唯一密码，这些账户在多台主机间共享。每个账户的凭证以明文形式存储在批处理脚本中。

潜在影响：明文凭证存储和使用相同密码增加了未经授权访问和横向移动的风险。攻击者可利用这些凭证登录管理员账户并建立RDP连接到其他工作站。

IT与运营技术环境间网络分段配置不足

详情：评估客户IT与OT环境互联时，CISA发现OT环境配置不当，标准用户账户可直接从IT主机访问SCADA VLAN。

潜在影响：IT网络中非特权用户使用其凭证访问关键SCADA VLAN存在安全风险，可能危及人员安全、基础设施完整性和设备功能。

日志保留与实施不足

详情：CISA无法按计划搜寻所有MITRE ATT&CK程序，部分原因是组织的事件日志系统不足。工作站Windows事件日志未转发到SIEM，详细命令行审计未启用。

潜在影响：缺乏全面详细的日志和正常网络行为基线，阻碍了基于行为和异常的检测，使网络面临未检测到的威胁。

生产服务器上sslFlags配置错误

详情：CISA在IIS生产服务器上检查ApplicationHost.config文件，发现HTTPS绑定配置为sslFlags=“0”，这使IIS处于传统的"每IP一个证书"模式。

潜在影响：配置错误的sslFlags可能使威胁参与者尝试中间人攻击拦截凭证和数据，利用旧版SSL/TLS协议漏洞，增加协议降级攻击风险。

缓解措施

CISA和USCG建议关键基础设施组织实施以下缓解措施：

管理员账户实施唯一凭证和访问控制措施

• 为所有系统上的本地管理员账户配置唯一复杂凭证
• 要求使用防钓鱼多因素认证进行所有管理访问
• 使用专门用于管理任务的特权访问工作站

安全存储和管理凭证

• 清除System Center Configuration Manager中的凭证
• 不要将明文凭证存储在脚本中
• 使用加密通信检索凭证

在IT与OT环境间建立网络分段

• 评估现有网络架构确保IT与OT网络有效分段
• 在IT与OT环境间实施非军事区
• 考虑完整的网络重新架构

实施全面日志记录、日志保留和分析

• 在所有系统上实施全面详细的日志记录
• 将日志聚合到带外集中位置
• 持续监控日志以便早期检测异常活动

验证安全控制

CISA和USCG建议组织针对本公告中映射到MITRE ATT&CK框架的威胁行为，测试和验证安全程序。选择ATT&CK技术，调整安全技术对抗该技术，测试技术性能，并基于生成的数据调整安全程序。

联系信息

鼓励关键基础设施组织向CISA 24/7运营中心或当地FBI外勤报告与此公告信息相关的可疑或犯罪活动。海事运输系统子部门组织应向海岸警卫队国家响应中心报告恶意活动。