【袋定傍身】10個防止黑客入侵貼士
黑客經常利用未修補的軟件漏洞,並經常針對錯誤的安全配置進行攻擊,美國網絡安全和基礎設施安全局 (CISA)、FBI 和國家安全局 (NSA) 以及來自加拿大、新西蘭、荷蘭和英國的網絡安全當局,早前編制了一份清單,列出了防禦者在安全控制薄弱、配置差和安全實踐差的問題,提出建議阻止黑客的初始入侵,下文將有他們的集體建議及緩解措施。
CISA 指出,網絡攻擊者經常透過失當的安全配置,例如配置錯誤或不安全、薄弱的控制,和其他差劣的網絡衛生實踐方式,藉以獲得初始訪問權限或作為其他行動策略的一部分,來破壞受害者的系統。不過在關鍵系統上啟用多因素身份驗證 (MFA)或使用 VPN,在複雜的 IT 環境中實施時,亦間有出現配置錯誤,致使黑客有機可乘。
例如,去年俄羅斯黑客將多個 MFA 解決方案共享的默認策略,與升級漏洞的 Windows 打印機特權結合,藉以禁用帳戶的 MFA 運作,然後建立與 Windows 網域控制器的遠程桌面協議 (RDP) 連接。這種複雜性攻擊也可在 VPN 的選擇、部署時出現,而在疫症蔓延之際,VPN 的採用亦增加,因此要多加注意。
Palo Alto Networks 最近的研究發現,99% 的雲端服務使用過多的權限,這與開放最小權限原則相違背,亦令限制攻擊者破壞系統的機會下降。CISA 的列表中列出的安全控制措施可供企業機構當作檢查 checklist,看看有否實施足夠安全措施,因為許多企業組織就疫情而倉促部署遙距工作的 IT 基礎設施,而俄羅斯入侵烏克蘭所導致的地緣政治緊張局勢也加劇問題,早前歐盟與美國五眼聯盟一起就今年針對 Viasat 的歐洲衛星寬頻用戶的網絡攻擊,指摘俄羅斯軍方。
如聯合警報中所述,攻擊者通常利用面向公眾的應用程式、外部遠程服務,並使用網絡釣魚的方式,並利用受信任的關係和有效帳戶,來獲取有效憑證。聯合警報指因為 RDP 通常用於部署勒索軟件,建議對所有人強制執行 MFA,CISA 建議不要將任何用戶,尤其是管理員,排除在 MFA 要求之外。設定存取控制列表中錯誤的權限,能阻止未經授權的用戶或系統進程存取對象。
另外,確保軟件是最新的版本,同時不要使用供應商提供的默認配置,或默認用戶名和密碼,因為這通常是公開的秘密,NSA 強烈要求管理員在其網絡基礎設施安全指南中,刪除供應商提供的默認設置以保安全。CISA 指出,網絡設備一般都預先配置了默認管理員用戶名和密碼,以簡化設置,而這些默認憑證並不安全,因為它們可能在設備上貼上寫有密碼資訊的標籤,這些資料甚至能從互聯網上輕鬆獲得。設置不變會為惡意活動創造入侵機會,包括未經授權存取訊息和被安裝惡意軟件。
CISA 指出,遠程服務如 VPN等缺乏足夠的控制來防止未經授權的訪問。企業應添加 MFA 等訪問控制機制以降低風險。此外,將 VPN 置於防火牆後面,並使用 IDS 和 IPS 傳感器檢測可疑的網絡活動。
而其他關鍵問題包括:沒有實施強密碼策略;開放的端口和暴露在互聯網上的服務,致使攻擊者可透過互聯網掃描;未能偵測出含有 病毒的 Microsoft Word 和 Excel 的檔案;以及較差的終端檢測和響應。
CISA 的建議包括控制訪問措施、植入憑證強化措施、建立集中式日誌管理、使用防毒軟件、使用檢測工具和搜索漏洞、維護配置管理程序,以及實施更近近管理。CISA 還建議長期目標是採用零信任安全模型,美國聯邦機構必須在 2024 年之前在此有進展。
以下是 CISA 建議安全措施的十個「不」:
- 不強制執行多因素身份驗證 (MFA)。
- 在存取控制列表中錯誤地應用了特權或權限和錯誤。
- 軟件不是最新的。
- 使用供應商提供的默認配置或默認登入名稱名和密碼。
- 遠程服務(例如 VPN)缺乏足夠的控制來防止未經授權的訪問。
- 未實施強度密碼策略。
- 雲端服務不受保護。
- 暴露在互聯網上的開放的端口和錯誤配置的服務。
- 未能檢測或阻止網絡釣魚嘗試。
- 端點檢測和響應不佳。
