NSA 和 CISA 联合揭露当下十大网络安全错误配置
💡
原文中文,约900字,阅读约需3分钟。
📝
内容提要
美国国家安全局和网络安全与基础设施安全局公布了十大网络安全错误配置,建议网络安全人员消除默认凭证、停用未使用的服务、确保定期更新并自动化修补过程、减少、限制、审计和密切监控管理帐户和权限。软件厂商应采取积极主动的做法,将安全控制集成到产品架构中,停止使用默认密码,并强制执行多重身份验证。
🎯
关键要点
- 美国国家安全局和网络安全与基础设施安全局公布了十大网络安全错误配置。
- 错误配置由红蓝团队在大型组织网络中发现,涉及国防部、联邦民事行政部门、州和地方政府及私营部门。
- 十大网络安全配置错误包括:默认配置、权限分离不当、内网监控不足、缺乏网络分段、补丁管理不善、绕过系统访问控制、多重身份验证薄弱、访问控制列表不足、凭证复杂性弱、不受限制的代码执行。
- 建议网络安全人员消除默认凭证、停用未使用的服务、确保定期更新并自动化修补过程、审计和监控管理帐户和权限。
- 软件厂商应将安全控制集成到产品架构中,停止使用默认密码,并强制执行多重身份验证。
- 多重身份验证应设置为默认功能,成为标准做法。
➡️
