近日，美国、加拿大、新西兰、荷兰和英国等多个国家网络安全政府机构发布联合安全公告，揭示了网络攻击者最常利用的十大攻击媒介。公告还提供了缓解这些经常被利用的弱安全控制、糟糕的安全配置和不良做法的指南。

NSA网络空间安全总监Rob Joyce在推文中点评道：“先别管那些时髦的零日漏洞，赶紧把弱安全控制、错误配置这些门户大开的狗洞补上。”

“网络攻击者经常利用糟糕的安全配置（配置错误或不安全）、控制薄弱和糟糕的网络卫生实践来获得初始访问权限，或作为其他攻击策略的一部分来破坏受害者的系统。”公告指出。

攻击者惯常使用一些技术来获得对受害者网络的初始访问权限，包括利用暴露在互联网上的应用程序、公开访问的远程服务、网络钓鱼、滥用组织对其合作伙伴的信任以及使用被盗凭据等。

攻击者最惯常使用的十大获取初始访问权限的攻击媒介如下：

1. 不强制执行多因素身份验证(MFA)。MFA，尤其是远程桌面访问，可以帮助防止帐户接管。

2. 在访问控制列表中错误地应用了特权或权限和错误。这些错误可能会阻止执行访问控制规则，并可能允许未经授权的用户或系统进程被授予对对象的访问权限。

3. 软件未及时更新。未打补丁的软件可能允许攻击者利用众所周知的漏洞来访问敏感信息、发起拒绝服务攻击或控制系统。

4. 使用供应商提供的默认配置或默认登录用户名和密码。许多软件和硬件产品“开箱即用”，出厂默认配置过于宽松，旨在使产品易于使用并减少客户服务的故障排除时间。

5. 远程服务，例如虚拟专用网络(VPN)，缺乏足够的控制来防止未经授权的访问。近年来，已经观察到针对远程服务的恶意威胁行为者。

6. 未实施强密码策略。恶意网络攻击者可以使用多种方法来利用弱密码、泄露密码或受损密码，并未经授权访问受害系统。

7. 云服务配置错误。配置错误的云服务是网络攻击者的常见目标。糟糕的配置可能会导致敏感数据被盗，甚至是加密劫持。

8. 开放的端口和错误配置的服务暴露在互联网上。这是最常见的漏洞之一。网络攻击者使用扫描工具来检测开放端口，并经常将其用作初始攻击媒介。

9. 未能检测或阻止网络钓鱼电子邮件攻击。网络攻击者发送带有恶意宏的电子邮件（主要是在Microsoft Word文档或Excel文件中）以感染计算机系统。

10. 端点检测和响应不佳。网络攻击者使用模糊的恶意脚本和PowerShell攻击绕过端点安全控制并对目标设备发起攻击。

 降低攻击风险的最佳实践

该联合公告还包含一份最佳实践候选清单，以帮助保护网络免受针对上述弱安全控制、不良配置和不良安全实践的攻击。

它包括使用控制访问、强化凭据（包括MFA和更改默认密码）、集中式日志管理以及防病毒和检测工具（包括入侵检测和预防系统）。具体内容如下：

控制访问

• 采用零信任安全模型，消除对任何一个元素、节点或服务的隐含信任，通过来自多个来源的实时信息对操作场景进行持续验证，以确定访问授权和其他系统响应。零信任架构支持精细的权限访问管理，并且可以只为用户分配执行分配任务所需的（最小）权限。
• 限制本地管理员帐户从远程会话登录的能力（例如，拒绝从网络访问此计算机）并阻止通过RDP会话进行访问。此外，为特权用户会话使用专用的管理工作站，以限制与设备或用户遭入侵相关的所有威胁。
• 控制谁有权访问您的数据和服务。仅授予人员访问他们执行工作所需的数据和系统权限。这种基于角色的访问控制，也称为最小权限原则，应该适用于帐户和物理访问。如果恶意网络参与者获得访问权限，访问控制可以限制恶意参与者可以采取的行动，并可以减少错误配置和用户错误的影响。网络防御者还应该使用这种基于角色的访问控制来限制对服务、机器和功能帐户的访问，以及对管理权限的使用，这是必要的。实施访问控制模型时请考虑以下事项：
• 确保对数据和服务的访问是专门为每个用户量身定制的，每个员工都有自己的用户帐户。
• 只允许员工访问执行任务所需的资源。
• 安装或调试时更改设备和系统的默认密码。
• 确保员工的进出和内部流动有适当的流程。删除未使用的帐户，并立即从不再需要访问权限的离职员工的帐户中删除对数据和系统的访问权限。停用服务帐户，并仅在执行维护时激活它们。
• 强化条件访问策略。查看和优化VPN和访问控制规则，以管理用户连接到网络和云服务的方式。
• 确认所有设备（包括基于云的虚拟机实例）都没有打开的RDP端口。将任何具有开放RDP端口的系统置于防火墙后，并要求用户使用VPN才能通过防火墙访问它。

实施凭据强化

• 实施MFA。特别强调对所有VPN连接、面向外部的服务和特权帐户应用MFA。需要为关键服务提供抗网络钓鱼MFA（例如安全密钥或PIV卡）。在未实施MFA的情况下，实施强密码策略以及其他基于属性的信息，例如设备信息、访问时间、用户历史记录和地理位置数据。请参阅NSA关于选择安全多因素身份验证解决方案的网络安全信息、美国国家标准与技术研究院(NIST)特别出版物800-63B–数字身份指南：身份验证和生命周期管理，以及CCCS的信息技术安全指南–信息的用户身份验证指南技术系统了解启用深度身份验证安全性的其他步骤。
• 更改或禁用供应商提供的默认用户名和密码。强制使用强密码。（请参阅NIST的指南。）
• 设置监控以检测系统上被盗凭据的使用情况。实施控制以防止在您的网络上使用受损或弱密码。

建立集中的日志管理

• 确保每个应用程序和系统都生成足够的日志信息。日志文件在检测攻击和处理事件方面发挥着关键作用。通过实施强大的日志收集和保留，组织能够拥有足够的信息来调查事件并检测威胁行为者的行为。实施日志收集和保留时请考虑以下事项：
• 确定需要哪些日志文件。这些文件可能与系统日志记录、网络日志记录、应用程序日志记录和云日志记录有关。
• 在必要时设置警报。这些应包括基于日志文件分析的可疑登录尝试通知。
• 确保您的系统以可用的文件格式存储日志文件，时间戳记录准确并设置为正确的时区。
• 将本地系统的日志转发到集中存储库或安全信息和事件管理(SIEM)工具。使用强大的帐户和架构保护措施来保护SIEM工具。
• 决定日志文件的保留期限。如果您长时间保留日志文件，您可以在事件发生很久之后参考它们来确定事实。另一方面，日志文件可能包含隐私敏感信息并占用存储空间。限制对日志文件的访问并将它们存储在单独的网段中。如果攻击者能够修改或删除日志文件，则几乎不可能进行事件调查。

使用防病毒程序

• 作为操作系统安全基线的一部分，在工作站上部署反恶意软件解决方案以防止间谍软件、广告软件和恶意软件。
• 定期监控防病毒扫描结果。

使用检测工具并搜索漏洞

• 实施端点和检测响应工具。这些工具可以高度了解端点的安全状态，并有助于有效防范恶意网络攻击者。
• 采用入侵检测系统或入侵防御系统来保护网络和本地设备免受恶意活动。使用签名来帮助检测与已知威胁活动相关的恶意网络活动。
• 进行渗透测试以识别错误配置。有关CISA的免费网络卫生服务（包括远程渗透测试）的更多信息，请参阅下文。
• 进行漏洞扫描以检测和解决应用程序漏洞。
• 使用云服务提供商工具检测过度共享的云存储并监控异常访问。

维护严格的配置管理程序

• 对联网主机上的公开可访问服务始终启用安全配置。在没有补偿控制（例如边界防火墙和网络分段）的情况下，切勿启用外部访问。持续评估面向互联网的服务和任务需求。遵循安全配置的最佳实践，尤其是阻止来自互联网的文档中的宏。

启动软件和补丁管理程序

• 实施资产和补丁管理流程以使软件保持最新。通过执行漏洞扫描和修补活动来识别和缓解不受支持的、生命周期结束的和未修补的软件和固件。优先修补已知被利用的漏洞。

其他值得关注的安全公告还包括上个月五眼网络安全机构与NSA和FBI合作发布的2021年攻击者经常利用的前15个漏洞列表（2021年最流行的15个安全漏洞）。

以及，去年11月MITRE发布了2021年困扰硬件的最危险的编程、设计和架构安全漏洞（MITRE首次发布最危险硬件漏洞列表），以及2019年和2020年困扰软件的25个最常见和最危险的漏洞。

报告链接：

https://www.cisa.gov/uscert/sites/default/files/publications/AA22-137A-Weak_Security_Controls_and_Practices_Routinely_Exploited_for_Initial_Access.pdf