CISA与USCG在关键基础设施威胁狩猎中发现网络安全改进领域
发布日期:2025年7月31日
警报代码:AA25-212A
摘要
网络安全和基础设施安全局(CISA)与美国海岸警卫队(USCG)联合发布此网络安全咨询,介绍近期威胁狩猎活动的发现。本咨询旨在突出已识别的网络安全问题,帮助其他组织的安全防御人员了解潜在类似问题,并鼓励他们采取主动措施加强网络安全态势。
CISA在美国关键基础设施组织进行了主动威胁狩猎,期间未发现恶意网络活动证据,但识别出以下网络安全风险:
- 日志记录不足
- 凭据存储不安全
- 多台工作站共享本地管理员凭据
- 本地管理员账户无限制远程访问
- IT与运营技术(OT)资产间网络分段配置不足
- 多个设备配置错误
技术细节
关键发现
共享本地管理员账户与非唯一明文存储密码
细节:CISA发现少数本地管理员账户使用非唯一密码,这些账户在多台主机间共享。每个账户的凭据以明文形式存储在批处理脚本中。
潜在影响:明文凭据存储增加了广泛未授权访问风险,非唯一密码使用促进了网络内横向移动。
IT与运营技术环境间网络分段配置不足
细节:评估客户IT与OT环境互连性时,CISA发现OT环境配置不当。标准用户账户可直接从IT主机访问监控与数据采集(SCADA)虚拟局域网(VLAN)。
潜在影响:OT网络分段配置不足和非特权用户使用其凭据访问关键SCADA VLAN存在安全风险,可能影响人员安全、基础设施完整性和设备功能。
日志保留与实施不足
细节:CISA无法按计划狩猎所有MITRE ATT&CK程序,部分原因是组织的事件日志系统不足以支持此分析。
潜在影响:缺乏全面详细日志阻碍了基于行为和异常的检测,使网络面临未检测横向移动和未授权访问风险。
其他发现
生产服务器sslFlags配置错误
细节:CISA在生成IIS服务器上检查ApplicationHost.config文件,发现HTTPS绑定配置为sslFlags="0",这使IIS保持传统的"每IP一个证书"模式。
生产服务器结构化查询语言连接配置错误
细节:CISA审查生产服务器上的machine.config文件,发现为配置文件和角色提供程序配置了集中数据库连接字符串LocalSqlServer。
缓解措施
CISA和USCG建议关键基础设施组织实施以下缓解措施:
为管理员账户实施唯一凭据和访问控制措施
- 在所有系统上为本地管理员账户配置唯一复杂凭据
- 要求对所有管理访问实施防网络钓鱼多因素认证(MFA)
- 使用专用于管理任务的特权访问工作站(PAW)
- 实施最小权限原则
安全存储和管理凭据
- 从System Center Configuration Manager(SCCM)中清除凭据
- 不要将明文凭据存储在脚本中
- 使用加密通信
- 使用唯一本地管理员密码
在IT与OT环境间建立网络分段
- 评估现有网络架构确保IT与OT网络有效分段
- 在IT与OT环境间实施非军事区(DMZ)
- 考虑完整的网络重新架构
- 在适当时实施单向网关(数据二极管)
实施全面日志记录、日志保留和分析
- 在所有系统上实施全面详细日志记录
- 在带外集中位置聚合日志
- 持续监控日志以早期检测异常活动
- 安全存储日志备份并使用防篡改存储
验证安全控制
除应用缓解措施外,CISA和USCG建议组织针对本咨询中映射到MITRE ATT&CK企业框架的威胁行为,演练、测试和验证安全程序。
联系信息
鼓励关键基础设施组织向以下机构报告与本咨询信息相关的可疑或犯罪活动:
- CISA通过CISA 24/7运营中心
- 海岸警卫队国家响应中心
附录:MITRE ATT&CK战术与技术
咨询中包含9个表格,详细列出了所有引用的威胁行为者战术和技术,涵盖初始访问、执行、持久化、权限提升、防御规避、凭据访问、发现、横向移动和命令与控制等战术类别。
