De National Security Agency (NSA) en de Amerikaanse Cyber Defense Agency (CISA) hebben een nieuw gezamenlijk advies uitgebracht over urgente cyberbeveiligingskwesties. De twee bureaus brachten problemen met software- en IT-configuraties bij meerdere Amerikaanse overheidsinstanties onder de aandacht en gaven tegelijkertijd aanbevelingen aan klanten en fabrikanten.
Na recente waarschuwingen over de ‘BlackTech’-dreiging tegen Cisco-routers hebben de National Security Agency (NSA) en de Computer Information Security Association (CISA) een nieuw gezamenlijk advies uitgebracht waarin de top tien van ‘topnetwerkmisconfiguraties’ worden geïdentificeerd die tot inbraken en beveiligingsincidenten leiden. In de aankondiging staat dat rode teams (aanvalssimulatie) en blauwe teams (IT-systeemanalyse) van de twee Amerikaanse agentschappen "de afgelopen jaren" hebben gewerkt om organisaties te beoordelen en de meest voorkomende problemen in IT-configuraties te identificeren.
Analisten van de National Security Agency en CISA hebben jarenlang geprobeerd te begrijpen hoe kwaadwillende actoren toegang krijgen, zich lateraal verplaatsen en zich richten op “gevoelige systemen of informatie” bij Amerikaanse overheidsinstanties op federaal en lokaal niveau. Ze onderzochten “vele netwerken” van het Ministerie van Defensie (DoD), federale civiele uitvoerende instanties, staats-, lokale, tribale en territoriale (SLTT) regeringen en de particuliere sector, op zoek naar problemen met verkeerde configuraties.
Het officiële advies vermeldt de volgende 10 meest voorkomende netwerkconfiguratiefouten die zijn gedetecteerd door de NSA en CISA Red en Blue Teams:
Standaardconfiguratie van software en applicaties
Onjuiste scheiding van gebruikers-/beheerdersrechten
Onvoldoende interne netwerkmonitoring
Gebrek aan netwerksegmentatie
Slecht patch- en updatebeheer
Omzeil de toegangscontrole van het systeem
Methoden voor meervoudige authenticatie (MFA) zijn zwak of slecht geconfigureerd
Onvoldoende toegangscontrolelijsten (ACL's) voor netwerkshares en services
Slechte documentreinheid
Onbeperkte code-uitvoering
Deze misconfiguraties illustreren een gevaarlijke trend van ‘systemische zwakheden in veel grote organisaties’, inclusief die met volwassen ‘cyberhoudingen’. Daarom moedigen de NSA en CISA cyberverdedigers en IT-beheerders aan om de aanbevelingen en maatregelen in het advies te implementeren om het risico op succesvolle aanvallen door cybercriminelen en APT-actoren te verminderen.
In de aanbevelingen staat dat IT-beheerders standaardreferenties moeten verwijderen en configuraties moeten versterken, ongebruikte services moeten uitschakelen en sterke toegangscontroles moeten implementeren. Bovendien moeten er regelmatige en geautomatiseerde patchingmaatregelen worden geïmplementeerd, vooral voor bekende kwetsbaarheden. Administratieve accounts en machtigingen moeten ook worden verminderd, beperkt, gecontroleerd en regelmatig worden gecontroleerd.
CISA benadrukte ook ‘dringende’ IT-maatregelen die softwarefabrikanten moeten nemen om de incidentie van fouten in de beveiligingsconfiguratie tot een minimum te beperken, waaronder het elimineren van standaardwachtwoorden, het aannemen van een veilige ontwerpbenadering bij de ontwikkeling van software, het gratis maken van ‘auditlogs van hoge kwaliteit’ voor klanten, en het maken van multifactorauthenticatie (MFA) tot een standaardfunctie in plaats van een optionele functie. Het agentschap maakt ook reclame voor de onlangs gelanceerde nationale campagne Protect Our World, die eenvoudige maar effectieve manieren introduceert om mensen te helpen zichzelf, hun gezinnen en hun bedrijven te beschermen tegen cyberdreigingen.