NSA และ CISA เปิดเผยรายงาน 10 อันดับของการตั้งค่าที่ไม่ปลอดภัยบนระบบ

สำนักงานความมั่นคงแห่งชาติ (NSA) และหน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐาน (CISA) ได้เปิดเผยรายงานการค้นพบการตั้งค่าที่ไม่ปลอดภัยที่พบบ่อยที่สุด 10 อันดับ ซึ่งถูกพบโดย Red และ Blue Team ของบริษัทชั้นนำในโลก และหน่วยงานของรัฐบาล

รวมไปถึงรายงานดังกล่าวยังให้ข้อมูลเกี่ยวกับ กลยุทธ์ เทคนิค และขั้นตอน (TTP) ที่ Hacker นำการตั้งค่าที่ไม่ปลอดภัยไปใช้ร่วมกับการโจมตีอย่างหลากหลาย เช่น การเข้าถึงระบบ (Initial Access), การแพร่กระจายไปในระบบ (Lateral Movement) และการขโมยข้อมูลที่สำคัญ (Exfiltration) โดยข้อมูลเหล่านี้ได้มาจากผลการวิเคราะห์ในระหว่างการตอบสนองต่อเหตุการณ์ หรือ Incident Response

10 อันดับของการตั้งค่าที่ไม่ปลอดภัย ที่ถูกค้นพบ Red และ Blue Team รวมถึง ทีม NSA และ CISA Hunt และ Incident Response ได้แก่ :

  1. การใช้การตั้งค่าเริ่มต้นของซอฟต์แวร์ และแอพพลิเคชัน (Default config)
  2. การแยกสิทธิ์ของผู้ใช้งาน และผู้ดูแลระบบที่ไม่ถูกต้อง (Privilege control)
  3. การตรวจสอบเครือข่ายภายในที่ไม่เพียงพอ (Network monitoring)
  4. ไม่มีการแบ่งส่วนต่าง ๆ ของเครือข่ายในระบบ (Network segmentation)
  5. การบริหารจัดการการอัปเดตซอฟต์แวร์ และแอพพลิเคชันที่ไม่มีประสิทธิภาพ (Patch Management)
  6. การหลีกเลี่ยงการเข้าถึงระบบ (Bypass access controls)
  7. การตั้งค่าการตรวจสอบสิทธิ์แบบหลายปัจจัยที่ไม่มีประสิทธิภาพ (Week MFA)
  8. การทำรายการควบคุมการเข้าถึง (ACL) ที่ไม่ครอบคลุมในการแชร์เครือข่าย และบริการ
  9. การใช้ credential ที่ไม่มีประสิทธิภาพ
  10. การใช้ code ได้โดยไม่จำกัด

โดยข้อมูล 10 อันดับของการตั้งค่าที่ไม่ปลอดภัยนี้แสดงถึงความจำเป็นของผู้ผลิตซอฟต์แวร์ที่ต้องพัฒนา และปรับปรุงการออกแบบที่ปลอดภัย เพื่อแก้ไขการตั้งค่าที่ไม่ปลอดภัยได้อย่างมีประสิทธิภาพ ซึ่งต้องเริ่มต้นตั้งแต่การควบคุมความปลอดภัยเข้ากับสถาปัตยกรรมผลิตภัณฑ์ตั้งแต่ระยะเริ่มต้นของการพัฒนา และตลอดวงจรการพัฒนาซอฟต์แวร์ รวมถึงการใช้มาตรการป้องกันเชิงรุกเพื่อป้องกันช่องโหว่ทุกประเภท เช่น การใช้ภาษาการเขียนโค้ดที่ปลอดภัยสำหรับหน่วยความจำ หรือการการใช้คำสั่งแบบกำหนดพารามิเตอร์

นอกจากนี้ควรมี multifactor authentication (MFA) สำหรับ privileged user และการกำหนดค่า MFA ให้เป็นค่าเริ่มต้น เพื่อเป็นแนวทางปฏิบัติตามมาตรฐานของการตั้งค่าที่ปลอดภัย

NSA และ CISA ยังได้แนะนำให้ผู้ดูและระบบใช้มาตรการต่าง ๆ เพื่อลดความเสี่ยงในการถูกโจมตีจากการตั้งค่าที่ไม่ปลอดภัยดังนี้ :

  • การยกเลิกการใช้ค่า Default config และ Default credential และเปลี่ยนไปตั้งค่าให้มีความแข็งแรงมากยิ่งขึ้น
  • การปิดใช้งานบริการที่ไม่ได้ใช้ และตั้งค่าการใช้งาน access controls อย่างเข้มงวด
  • การทำ Patch Management อย่างสม่ำเสมอ และจัดลำดับความสำคัญของการแก้ไขช่องโหว่ ให้แก่ช่องโหว่ที่ถูกใช้ในการโจมตี
  • มีการควบคุม จำกัดตรวจสอบ และติดตาม administrative account หรือ privilege account อย่างต่อเนื่อง

รวมถึงการนำ “MITRE ATT&CK for Enterprise framework” มาปรับใช้กับองค์กรเพื่อรับมือเหตุการณ์ด้านความปลอดภัยอีกด้วย

ที่มา : bleepingcomputer