Loading
Poprzez oceny zespołów Red i Blue NSA i CISA oraz działania zespołów Hunt & Incident Response NSA i CISA, agencje określiły dziesięć najbardziej typowych, błędnych konfiguracji sieci:
1. Domyślne konfiguracje oprogramowania i aplikacji.
Te domyślne konfiguracje obejmują:
Załóżmy, że infrastruktura klienta nie ma systemów z domyślnymi hasłami. W takim przypadku można je łatwo emulować, tworząc wabiki sieciowe z dobrze znanymi hasłami lub parami login-hasło przy użyciu technologii cyber decepcji.
2. Niewłaściwe rozdzielenie uprawnień użytkownika/administratora (na przykład dla użytkowników z przypisanymi wieloma rolami).
3. Brak wewnętrznego monitorowania sieci (monitorowanie oparte na hoście nie jest połączone z monitorowaniem sieci): system decepcji jest często jedynym narzędziem, które może wykryć aktywność atakujących, którzy przeniknęli do wnętrza sieci firmowej. Jednocześnie takie systemy nie generują dużej liczby fałszywych alarmów.
4. Brak segmentacji sieci: sprawdź, czy produkty są kompatybilne z segmentowanymi środowiskami sieciowymi. W takich sytuacjach atakujący często próbują stosować ataki MiTM (man-in-the-middle). Emulacja działań użytkownika, takich jak surfowanie po Internecie lub korzystanie z folderów w sieci wewnętrznej, stworzona przez wabik typu ClientOS-point, szybko przyciąga uwagę atakującego. Labirynth wykryje próbę zakłócenia komunikacji sieciowej wabika i wyśle ostrzeżenie do operatorów systemu.
5. Słabe zarządzanie poprawkami:
6. Obejście kontroli dostępu do systemu, takie jak użycie skrótów do uwierzytelnienia przy użyciu niestandardowych środków, takich jak pass-the-hash (PtH) lub Kerberoasting. Ataki typu pass-the-hash (wykorzystanie zdobytych poświadczeń) również mogą być łatwo wykryte przez platformę decepcji Labyrinth. Wystarczy utworzyć tylko jeden wabik sieciowy określonego typu w żądanym segmencie sieci.
7. Słabe lub źle skonfigurowane metody uwierzytelniania wieloskładnikowego (MFA): karty smart lub tokeny, w których hashe haseł rzadko ulegają zmianie.
8. Niewystarczające listy kontroli dostępu (ACL) na udziałach sieciowych i usługach.
9. Słaba higiena poświadczeń: łatwe do złamania hasła i ujawnianie haseł w postaci czystego tekstu. Ponadto możliwe jest zwabienie atakującego do pułapek sieciowych poprzez ustawienie na nich słabych haseł lub poprzez dystrybucję przynęt plikowych na prawdziwych hostach, które wyglądają jak: kopie zapasowe konfiguracji, pliki INI lub YAML itp. Pliki-przynęty mogą zawierać dane uwierzytelniające w postaci zwykłego tekstu lub atakujący może je odgadnąć na podstawie zawartości plików.
10. Nieograniczone wykonywanie kodu: należy włączyć ustawienia systemowe, które uniemożliwiają uruchamianie aplikacji pobranych z niezaufanych źródeł.
Agencje CISA i NSA zalecają również ciągłe testowanie programów bezpieczeństwa na dużą skalę w środowisku produkcyjnym, aby zapewnić optymalną wydajność przeciw technikom MITRE ATT&CK .
Dowiedz się więcej: