• 發布單位:TWCERT/CC
• 更新日期:2023-10-16
• 點閱次數:396

美國國家安全局（National Security Agency, NSA）與網路安全暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency, CISA）日前聯合發表資安指引，列出前 10 大最常出現的資安設定錯誤；建議各公私單位參考該指引，強化自身資安防護能力。

NSA 和 CISA 的這份指引，係由兩個單位內的資安紅隊與藍隊，針對各大公私單位組織的資安防護設定進行模擬攻防後所擬定，詳細說明各種駭侵者如何利用這些錯誤設定，以發動資安攻擊的策略、技術與程序（TTP），進行各種目的的攻擊，包括取得存取或控制權、資料或資源的竊取，以及如何鎖定機敏資訊或系統等等。

NSA 指出，接受其評估的美國政府單位，包括美國國防部、聯邦政府各民事行政部門、各州政府、地區行政單位、海外行政組織，以及多個私部門單位。

報告列出的 10 大資安錯誤設定如下：

• 使用軟體或應用程式的預設設定值；
• 未妥善區分一般使用者與管理者帳號權限；
• 內部網路監控不足；
• 網路分區設定不當；
• 軟體更新管理不當；
• 忽略系統存取控制限制；
• 多階段登入驗證防護薄弱或設定錯誤；
• 針對網路分享或服務的存取控制清單設定不夠妥善；
• 未能妥善進行密碼清理作業；
• 未限制程式碼執行。

CISA 官員也指出，上面列出的設定錯誤廣泛發生在多個大型單位，成為嚴重的資安防護漏洞，且軟體開發廠商未能在設計時以資安防護為優先考慮，使得使用單位還需費力進行額外防護。

建議可以依 NSA 與 CISA 要求檢視單位的資安防護是否存有上述問題，並且立即採取對策加以彌補，包括停止使用預設帳號密碼與安全設定值、停用未經使用的網路服務、強化資源存取權限控管、經常更新系統，且在第一時間更新已發布的漏洞。