Büyük kuruluşların ağ altyapısında sistemik bir zayıflık var: Ulusal Güvenlik Ajansı ile Siber Güvenlik ve Altyapı Güvenlik Ajansı bu ayın başlarında yaptıkları bir açıklamada ortak sorunların onarılmadığını söyledi. danışma.
CISA, federal siber yetkililerin “ağ savunucuları ve yazılım üreticilerinin ortak sorunları çözmeleri yönündeki” ricasının, tasarım gereği güvenlik ilkelerinin öneminin altını çizdiğini söyledi.
Siber güvenlik uzmanlarına ve analistlere göre en yaygın on yanlış yapılandırma, temel standartların ve en iyi uygulamaların bir listesi gibi görünüyor. CISA’ya göre bu zayıflıklar, olgun siber güvenlik duruşuna sahip kuruluşlarda çokça görülüyor.
Büyük kuruluşlardaki en önemli 10 siber güvenlik yanlış yapılandırması şunları içerir:
- Varsayılan yazılım ve uygulama yapılandırmaları
- Yanlış kullanıcı ve yönetici kullanıcı ayrımı
- Yetersiz dahili ağ izleme
- Ağ bölümleme eksikliği
- Kötü yama yönetimi
- Sistem erişim kontrollerini atlamak
- Zayıf veya yanlış yapılandırılmış MFA
- Paylaşılan hizmetlerde yetersiz erişim kontrol listesi
- Yetersiz kimlik bilgisi yönetimi
- Sınırsız kod yürütme
Hiçbir siber güvenlik profesyoneli bu yanlış yapılandırmalara şaşırmamalıdır. Liste, 10 yıl önce yayınlanmış olan listeden pek fazla değişmedi. Katell Thielemann, Gartner’ın seçkin Başkan Yardımcısı analisti.
Thielemann e-posta yoluyla, “Eğer büyük kuruluşlar bu sorunları çözemiyorsa, küçük ve orta ölçekli işletmelerin içinde bulunduğu kötü durumu düşünün.” dedi.
Thielemann, “Bunları temel siber hijyenin zayıf olduğuna işaret eden ‘sistemik zayıflık’ olarak adlandırmak, şimdiye kadar herkesin bildiği en iyi uygulamalar ile bunların gerçek dünyada uygulanmasının gerçek karmaşıklıkları arasında keskin bir kopukluk olduğunu gösteriyor” dedi.
siber güvenliğin temelleriGörünüşe göre o kadar da basit değil.
Thielemann, bu liste ile federal kurumların diğer “dediğimi yap” bültenleri arasındaki en büyük farkın, yazılım üreticilerine adım atmaları yönündeki üstü kapalı çağrı olduğunu söyledi.
CISA ve diğer kurumlar, ilk olarak Nisan ayında açıklanan bir dizi ilke ve taktiği uygulamaya devam ediyor. güvenlik sorumluluğunu zorlamak Ürün üreten şirketlere ve bu ürünleri kullanan müşterilere daha az önem verilmektedir.
Ajanslar, danışma belgesinde “NSA ve CISA, yazılım üreticilerini, tasarım gereği güvenli ve varsayılan taktikleri benimseyerek müşterilerinin güvenlik sonuçlarını iyileştirme sorumluluğunu üstlenmeye teşvik ediyor” dedi.
Bu önlemler arasında güvenlik kontrollerinin başlangıçtan itibaren ürün mimarisine yerleştirilmesi, parolaların ortadan kaldırılması, çok faktörlü kimlik doğrulama talimatları ve hiçbir ek maliyet olmadan yüksek kaliteli denetim günlükleri yer alıyor.
NSA ve CISA, bu en yaygın zayıf noktalara yönelik ayrıntılı azaltma önlemlerini paylaştı ve daha geniş anlamda ağ savunucularına varsayılan kimlik bilgilerini kaldırma, kullanılmayan hizmetleri devre dışı bırakma, düzeltme ekini otomatikleştirme ve yönetici hesaplarını ve ayrıcalıklarını kısıtlama ve izleme tavsiyesinde bulundu.
“Gösterilen eksikliklerin tümü, 366. günden itibaren değil, ilk günden itibaren ele alınmalıdır. Sabit kodlu şifreler, kimlik konfigürasyonu kayması, varlık koruması ve ağ erişimi, günlük operasyonların ayrılmaz bir parçasıdır.” Heath Mullins, Forrester’ın kıdemli analistie-posta yoluyla söyledi.
Mullins, “Liderlik bu raporu bir uyandırma çağrısı olarak görmelidir, çünkü bu sorunlar çok yaygın ve yaygındır, güvenlik uygulamaları konusunda geniş ve derin bir anlayışa sahip olmayan biri için açıkça anlaşılamaz” dedi.