CISA与USCG关键基础设施威胁狩猎发现网络安全改进领域

CISA与美国海岸警卫队通过对关键基础设施组织进行主动威胁狩猎,发现多项网络安全风险并提供具体缓解措施,包括凭证安全、网络分段、日志记录等关键领域的技术建议。

总结

网络安全和基础设施安全局(CISA)与美国海岸警卫队(USCG)发布本网络安全公告,旨在通报近期威胁狩猎活动的发现。该公告重点指出已识别的网络安全问题,以提醒其他组织的安全防御人员注意潜在类似问题,并鼓励他们采取主动措施增强网络安全态势。本次狩猎活动已与参与组织协调完成。

在此次活动中,CISA未发现该组织网络存在恶意网络活动或攻击者证据,但识别出以下网络安全风险:

  • 日志记录不足
  • 凭证存储不安全
  • 多台工作站共享本地管理员凭证
  • 本地管理员账户无限制远程访问
  • IT与运营技术(OT)资产间网络分段配置不足
  • 若干设备配置错误

技术细节

主要发现

共享本地管理员账户与非唯一明文存储密码 CISA发现少数本地管理员账户使用非唯一密码,这些账户在多台主机间共享。每个账户的凭证以明文形式存储在批处理脚本中。CISA发现这些授权脚本配置为创建具有本地管理员权限的用户账户,并设置相同的永不过期密码——这些密码以明文形式存储在脚本中。

IT与运营技术环境间网络分段配置不足 评估客户IT与OT环境互联性时,CISA发现OT环境配置不当。具体而言,标准用户账户可直接从IT主机访问监控与数据采集(SCADA)虚拟局域网(VLAN)。CISA还发现客户未配备足够的专用安全堡垒主机用于访问SCADA和暖通空调(HVAC)系统。

日志保留与实施不足 CISA无法按计划狩猎所有MITRE ATT&CK程序,部分原因是组织的事件日志系统不足以支持此分析。例如,工作站的Windows事件日志未转发至组织的安全信息事件管理(SIEM)系统,未启用详细命令行审计,SIEM中的日志记录未达到分析所需的全面性,且日志保留期不允许对历史活动进行彻底分析。

其他发现

生产服务器sslFlags配置错误 CISA使用PowerShell检查生产IIS服务器上的ApplicationHost.config文件,发现HTTPS绑定配置为sslFlags=“0”,这将IIS保持在其传统的“每IP一个证书”模式。此模式禁用现代证书管理功能,且由于相互传输层安全(TLS)(客户端证书认证)必须分别在“SSL设置”中或通过添加单独启用,该绑定默认关闭客户端证书强制执行,允许任何TLS客户端匿名完成握手。

生产服务器结构化查询语言连接配置错误 CISA审查生产服务器上的machine.config文件,发现其配置了用于配置文件和角色提供程序的集中式数据库连接字符串LocalSqlServer。此配置意味着除非在每个应用程序的web.config文件中覆盖,否则服务器上的每个ASP.NET站点都连接到相同的SQL Express或aspnetdb数据库并共享相同的凭证上下文。

缓解措施

CISA和USCG建议关键基础设施组织实施以下缓解措施以改善其网络安全态势。针对本次活动中CISA发现的每个问题列出了降低网络风险的建议,并按实施重要性从高到低排序。

管理员账户实施唯一凭证和访问控制措施

  • 为所有系统上的本地管理员账户配置唯一复杂凭证
  • 要求对所有管理访问(包括本地和域级管理员账户、RDP会话和VPN连接)实施防网络钓鱼多因素认证(MFA)
  • 使用专用于管理任务的特权访问工作站(PAW)

安全存储和管理凭证

  • 从System Center Configuration Manager(SCCM)中清除凭证
  • 不要将明文凭证存储在脚本中
  • 使用加密通信

在IT与OT环境间建立网络分段

  • 评估现有网络架构确保IT与OT网络间有效分段
  • 在IT与OT环境间实施非军事区(DMZ)
  • 考虑完整的网络重新架构

实施全面日志记录、日志保留和分析

  • 在所有系统上实施全面详细的日志记录
  • 将日志聚合到带外集中位置
  • 持续监控日志以早期检测异常活动

安全配置HTTPS绑定和LocalSqlServer连接字符串

  • 在ApplicationHost.config文件中将sslFlags设置配置为“3”
  • 限制服务器仅使用安全且最新的SSL/TLS协议和密码套件
  • 通过修改每个应用程序的web.config文件覆盖machine.config中的全局设置

强制执行强密码策略

  • 对所有受密码保护的IT资产和所有OT资产实施系统强制策略,要求最小密码长度为15个或更多字符
  • 在最小密码长度技术上不可行的情况下,应用并记录补偿控制
  • 除了强密码外,实施MFA

验证安全控制

除了应用缓解措施外,CISA和USCG建议组织针对本公告中映射到MITRE ATT&CK for Enterprise框架的威胁行为进行演练、测试和验证组织安全计划。CISA和USCG建议测试现有安全控制清单,以评估它们对抗本公告中描述的ATT&CK技术的表现。

附录:MITRE ATT&CK战术与技术

参见表1至表9了解本公告中引用的所有威胁行为者战术和技术。有关将恶意网络活动映射到MITRE ATT&CK框架的帮助,请参阅CISA和MITRE ATT&CK的MITRE ATT&CK映射最佳实践和CISA的Decider工具。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次