网络安全建议：减轻常见的安全漏洞

关键要点

• 近日，美国、加拿大、新西兰、荷兰及英国的政府机构联合发布了一份网络安全建议，指出常被利用的安全控制和实践，及其缓解措施。
• 恶意网络攻击者常常利用不良安全配置和薄弱控制来获取初步访问权限，这为系统的进一步破坏提供了机会。
• 建议采用零信任安全模型，以消除对任何元素、节点或服务的隐性信任，提升安全防护能力。

政府机构联合发布的网络安全建议指出，目前的网络攻击者可能利用常见的安全控制和实践缺陷，获得对受害者系统的初步访问权限。建议中列出了一系列不当实践及其缓解措施，包括实施多因素认证（MFA）和更新软件。

不良安全实践及其缓解措施

1. 未强制实施多因素认证（MFA）

MFA，尤其是在远程桌面访问时，可以有效防止账户被接管。由于远程桌面协议（RDP）是勒索软件的一种常见感染途径，MFA在减轻恶意网络活动方面显得尤为重要。所有用户，包括管理员，都应被要求使用
MFA。

2. 权限或允许错误设置及访问控制列表中的错误

这些错误可能导致访问控制规则无法得到执行，从而可能使未授权用户或系统进程获得对象访问权限。

3. 软件未及时更新

未打补丁的软件可能让攻击者利用已知漏洞来访问敏感信息、发起拒绝服务攻击或控制系统。这被认为是最普遍的不良安全实践之一。

4. 远程服务（如虚拟私人网络VPN）缺乏有效的安全控制

近年来，恶意网络攻击者越来越频繁地针对远程服务。网络防护者可以通过增加访问控制机制，比如实施 MFA、在 VPN前添加边界防火墙，并利用入侵检测系统/入侵防御系统传感器来检测异常网络活动，从而降低远程服务受到攻击的风险。

5. 未保护的云服务

配置错误的云服务通常是网络攻击者的目标。不当配置可能导致敏感数据被盗以及加密挖矿等问题。

最重要的是，联合建议建议安全组织采用零信任安全模型，排除对任何元素、节点或服务的隐性信任。相反，需通过来自多个来源的实时信息，对操作情况进行持续验证，以确定访问权限和其他系统响应。零信任架构允许进行细粒度权限访问管理，使安全团队只能为所需任务分配必要的访问权限。

联合建议还指出，安全团队应限制本地管理员账户通过远程会话登录的能力，并防止通过 RDP会话访问。此外，建议使用专用的管理工作站进行特权用户会话，以帮助减少与设备或用户被侵犯相关的各种威胁。