สำนักงานความมั่นคงแห่งชาติ (NSA) และหน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐาน (CISA) ได้เปิดเผยรายงานการค้นพบการตั้งค่าที่ไม่ปลอดภัยที่พบบ่อยที่สุด 10 อันดับ ซึ่งถูกพบโดย Red และ Blue Team ของบริษัทชั้นนำในโลก และหน่วยงานของรัฐบาล
รวมไปถึงรายงานดังกล่าวยังให้ข้อมูลเกี่ยวกับ กลยุทธ์ เทคนิค และขั้นตอน (TTP) ที่ Hacker นำการตั้งค่าที่ไม่ปลอดภัยไปใช้ร่วมกับการโจมตีอย่างหลากหลาย เช่น การเข้าถึงระบบ (Initial Access), การแพร่กระจายไปในระบบ (Lateral Movement) และการขโมยข้อมูลที่สำคัญ (Exfiltration) โดยข้อมูลเหล่านี้ได้มาจากผลการวิเคราะห์ในระหว่างการตอบสนองต่อเหตุการณ์ หรือ Incident Response
10 อันดับของการตั้งค่าที่ไม่ปลอดภัย ที่ถูกค้นพบ Red และ Blue Team รวมถึง ทีม NSA และ CISA Hunt และ Incident Response ได้แก่ :
- การใช้การตั้งค่าเริ่มต้นของซอฟต์แวร์ และแอพพลิเคชัน (Default config)
- การแยกสิทธิ์ของผู้ใช้งาน และผู้ดูแลระบบที่ไม่ถูกต้อง (Privilege control)
- การตรวจสอบเครือข่ายภายในที่ไม่เพียงพอ (Network monitoring)
- ไม่มีการแบ่งส่วนต่าง ๆ ของเครือข่ายในระบบ (Network segmentation)
- การบริหารจัดการการอัปเดตซอฟต์แวร์ และแอพพลิเคชันที่ไม่มีประสิทธิภาพ (Patch Management)
- การหลีกเลี่ยงการเข้าถึงระบบ (Bypass access controls)
- การตั้งค่าการตรวจสอบสิทธิ์แบบหลายปัจจัยที่ไม่มีประสิทธิภาพ (Week MFA)
- การทำรายการควบคุมการเข้าถึง (ACL) ที่ไม่ครอบคลุมในการแชร์เครือข่าย และบริการ
- การใช้ credential ที่ไม่มีประสิทธิภาพ
- การใช้ code ได้โดยไม่จำกัด
โดยข้อมูล 10 อันดับของการตั้งค่าที่ไม่ปลอดภัยนี้แสดงถึงความจำเป็นของผู้ผลิตซอฟต์แวร์ที่ต้องพัฒนา และปรับปรุงการออกแบบที่ปลอดภัย เพื่อแก้ไขการตั้งค่าที่ไม่ปลอดภัยได้อย่างมีประสิทธิภาพ ซึ่งต้องเริ่มต้นตั้งแต่การควบคุมความปลอดภัยเข้ากับสถาปัตยกรรมผลิตภัณฑ์ตั้งแต่ระยะเริ่มต้นของการพัฒนา และตลอดวงจรการพัฒนาซอฟต์แวร์ รวมถึงการใช้มาตรการป้องกันเชิงรุกเพื่อป้องกันช่องโหว่ทุกประเภท เช่น การใช้ภาษาการเขียนโค้ดที่ปลอดภัยสำหรับหน่วยความจำ หรือการการใช้คำสั่งแบบกำหนดพารามิเตอร์
นอกจากนี้ควรมี multifactor authentication (MFA) สำหรับ privileged user และการกำหนดค่า MFA ให้เป็นค่าเริ่มต้น เพื่อเป็นแนวทางปฏิบัติตามมาตรฐานของการตั้งค่าที่ปลอดภัย
NSA และ CISA ยังได้แนะนำให้ผู้ดูและระบบใช้มาตรการต่าง ๆ เพื่อลดความเสี่ยงในการถูกโจมตีจากการตั้งค่าที่ไม่ปลอดภัยดังนี้ :
- การยกเลิกการใช้ค่า Default config และ Default credential และเปลี่ยนไปตั้งค่าให้มีความแข็งแรงมากยิ่งขึ้น
- การปิดใช้งานบริการที่ไม่ได้ใช้ และตั้งค่าการใช้งาน access controls อย่างเข้มงวด
- การทำ Patch Management อย่างสม่ำเสมอ และจัดลำดับความสำคัญของการแก้ไขช่องโหว่ ให้แก่ช่องโหว่ที่ถูกใช้ในการโจมตี
- มีการควบคุม จำกัดตรวจสอบ และติดตาม administrative account หรือ privilege account อย่างต่อเนื่อง
รวมถึงการนำ “MITRE ATT&CK for Enterprise framework” มาปรับใช้กับองค์กรเพื่อรับมือเหตุการณ์ด้านความปลอดภัยอีกด้วย
ที่มา : bleepingcomputer
You must be logged in to post a comment.