• 發布單位:TWCERT/CC
• 更新日期:2023-11-28
• 點閱次數:957

美國國家安全局（National Security Agency, NSA）與網路安全暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency, CISA）於今年 10 月時，聯名公布該單位旗下紅隊與藍隊共同歸納出的 10 大最常見網路資安設定錯誤，以供各公私單位參考並解決問題。

最常見資安錯誤設定第一名為使用軟體與應用程式的預設組態，包括使用預設登入資訊、使用預設的服務存取權限設定等；駭侵者只要用簡單的搜尋，就能找到各種軟硬體的預設登入帳密，並取得系統的存取權限，甚至進行進一步的駭侵攻擊。

第二名為未適當區隔使用者與管理者權限，這會造成一般低階使用者擁有太多不必要的管理權限，駭侵者只要利用釣魚攻擊等手法取得一般使用者存取權，即可進行各種進階操作，甚至提升己身權限以執行進階駭侵攻擊。

第三名為內部網路監控能力不足，許多單位未對主機和內部網路的流量進行充分的監控，可能導致偵測不到駭侵攻擊活動，或是缺少足夠的資料用以分析或應對資安威脅。

第四名為缺少網路分段作為，這可能導致未經授權的使用者或駭侵者，可以輕易存取關鍵內部網路資源；這種錯誤特別易使勒贖攻擊者輕易取得單位機敏資訊。

第五名為資安漏洞修補不充分，導致系統存有已知漏洞，容易遭致駭侵者用於攻擊；第六名為可略過的系統存取控制，這將使駭侵者或未經授權者可輕易存取系統，甚至提升執行權限。

第七名為不夠強或錯誤設定的多重登入驗證，包括設定錯誤的智慧卡或代碼產生器，或是缺少能抵抗釣魚攻擊的多重登入驗證程序，都將使取得登入資訊的駭侵者極易入侵系統。第八名是對網路分享資源與服務存取限制不足，駭侵者可輕易使用共享資料夾，或使用未關閉的服務來存取系統。

第九名是密碼管理強度不足，包括易於猜測破解的密碼，甚至是以明文儲存的密碼，都無法有效抵擋駭侵者攻擊；第十名則為未限制的程式碼執行，這使駭侵者只要掌握登入資訊，即可執行各種攻擊用程式碼酬載，嚴重危及系統安全。

建議各單位可以參考此指南，檢視並加強現存的資安防護設定錯誤，以提高資安攻擊的防護能力。