11/10/2566

NSA และ CISA เปิดเผยรายงาน 10 อันดับของการตั้งค่าที่ไม่ปลอดภัยบนระบบ


    สำนักงานความมั่นคงแห่งชาติ (NSA) และหน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐาน (CISA) ได้เปิดเผยรายงานการค้นพบการตั้งค่าที่ไม่ปลอดภัยที่พบบ่อยที่สุด 10 อันดับ ซึ่งถูกพบโดย Red และ Blue Team ของบริษัทชั้นนำในโลก และหน่วยงานของรัฐบาล
    รวมไปถึงรายงานดังกล่าวยังให้ข้อมูลเกี่ยวกับ กลยุทธ์ เทคนิค และขั้นตอน (TTP) ที่ Hacker นำการตั้งค่าที่ไม่ปลอดภัยไปใช้ร่วมกับการโจมตีอย่างหลากหลาย เช่น การเข้าถึงระบบ (Initial Access), การแพร่กระจายไปในระบบ (Lateral Movement) และการขโมยข้อมูลที่สำคัญ (Exfiltration) โดยข้อมูลเหล่านี้ได้มา   จากผลการวิเคราะห์ในระหว่างการตอบสนองต่อเหตุการณ์ หรือ Incident Response 10 อันดับของการตั้งค่าที่ไม่ปลอดภัย ที่ถูกค้นพบ Red และ Blue Team รวมถึง ทีม NSA และ CISA Hunt และ Incident Response ได้แก่ :
  1. การใช้การตั้งค่าเริ่มต้นของซอฟต์แวร์ และแอพพลิเคชัน (Default config)
  2. การแยกสิทธิ์ของผู้ใช้งาน และผู้ดูแลระบบที่ไม่ถูกต้อง (Privilege control)
  3. การตรวจสอบเครือข่ายภายในที่ไม่เพียงพอ (Network monitoring)
  4. ไม่มีการแบ่งส่วนต่าง ๆ ของเครือข่ายในระบบ (Network segmentation)
  5. การบริหารจัดการการอัปเดตซอฟต์แวร์ และแอพพลิเคชันที่ไม่มีประสิทธิภาพ (Patch Management)
  6. การหลีกเลี่ยงการเข้าถึงระบบ (Bypass access controls)
  7. การตั้งค่าการตรวจสอบสิทธิ์แบบหลายปัจจัยที่ไม่มีประสิทธิภาพ (Week MFA)
  8. การทำรายการควบคุมการเข้าถึง (ACL) ที่ไม่ครอบคลุมในการแชร์เครือข่าย และบริการ
  9. การใช้ credential ที่ไม่มีประสิทธิภาพ
  10. การใช้ code ได้โดยไม่จำกัด (Unrestricted code execution)
    โดยข้อมูล 10 อันดับของการตั้งค่าที่ไม่ปลอดภัยนี้แสดงถึงความจำเป็นของผู้ผลิตซอฟต์แวร์ที่ต้องพัฒนา และปรับปรุงการออกแบบที่ปลอดภัย เพื่อแก้ไขการตั้งค่าที่ไม่ปลอดภัยได้อย่างมีประสิทธิภาพ ซึ่งต้องเริ่มต้นตั้งแต่การควบคุมความปลอดภัยเข้ากับสถาปัตยกรรมผลิตภัณฑ์ตั้งแต่ระยะเริ่มต้นของการพัฒนา และตลอดวงจรการพัฒนาซอฟต์แวร์ รวมถึงการใช้มาตรการป้องกันเชิงรุกเพื่อป้องกันช่องโหว่ทุกประเภท เช่น การใช้ภาษาการเขียนโค้ดที่ปลอดภัยสำหรับหน่วยความจำ หรือการการใช้คำสั่งแบบกำหนดพารามิเตอร์
    นอกจากนี้ควรมี multifactor authentication (MFA) สำหรับ privileged user และการกำหนดค่า MFA ให้เป็นค่าเริ่มต้น เพื่อเป็นแนวทางปฏิบัติตามมาตรฐานของการตั้งค่าที่ปลอดภัย
    NSA และ CISA ยังได้แนะนำให้ผู้ดูและระบบใช้มาตรการต่าง ๆ เพื่อลดความเสี่ยงในการถูกโจมตีจากการตั้งค่าที่ไม่ปลอดภัยดังนี้ :
  • การยกเลิกการใช้ค่า Default config และ Default credential และเปลี่ยนไปตั้งค่าให้มีความแข็งแรงมากยิ่งขึ้น
  • การปิดใช้งานบริการที่ไม่ได้ใช้ และตั้งค่าการใช้งาน access controls อย่างเข้มงวด
  • การทำ Patch Management อย่างสม่ำเสมอ และจัดลำดับความสำคัญของการแก้ไขช่องโหว่ ให้แก่ช่องโหว่ที่ถูกใช้ในการโจมตี
  • มีการควบคุม จำกัดตรวจสอบ และติดตาม administrative account หรือ privilege account อย่างต่อเนื่อง
  • รวมถึงการนำ “MITRE ATT&CK for Enterprise framework” มาปรับใช้กับองค์กรเพื่อรับมือเหตุการณ์ด้านความปลอดภัยอีกด้วย
ที่
ป้ายกำกับ: , ,

ไม่มีความคิดเห็น:

แสดงความคิดเห็น

สมัครสมาชิก: ส่งความคิดเห็น (Atom)