当前位置: 首页 > news >正文

CISA与USCG在关键基础设施威胁狩猎中发现网络安全改进领域

CISA与USCG在关键基础设施威胁狩猎中发现网络安全改进领域

发布日期:2025年7月31日
警报代码:AA25-212A

摘要

网络安全和基础设施安全局(CISA)与美国海岸警卫队(USCG)联合发布此网络安全咨询,介绍近期威胁狩猎活动的发现。本咨询旨在突出已识别的网络安全问题,帮助其他组织的安全防御人员了解潜在类似问题,并鼓励他们采取主动措施加强网络安全态势。

CISA在美国关键基础设施组织进行了主动威胁狩猎,期间未发现恶意网络活动证据,但识别出以下网络安全风险:

  • 日志记录不足
  • 凭据存储不安全
  • 多台工作站共享本地管理员凭据
  • 本地管理员账户无限制远程访问
  • IT与运营技术(OT)资产间网络分段配置不足
  • 多个设备配置错误

技术细节

关键发现

共享本地管理员账户与非唯一明文存储密码

细节:CISA发现少数本地管理员账户使用非唯一密码,这些账户在多台主机间共享。每个账户的凭据以明文形式存储在批处理脚本中。

潜在影响:明文凭据存储增加了广泛未授权访问风险,非唯一密码使用促进了网络内横向移动。

IT与运营技术环境间网络分段配置不足

细节:评估客户IT与OT环境互连性时,CISA发现OT环境配置不当。标准用户账户可直接从IT主机访问监控与数据采集(SCADA)虚拟局域网(VLAN)。

潜在影响:OT网络分段配置不足和非特权用户使用其凭据访问关键SCADA VLAN存在安全风险,可能影响人员安全、基础设施完整性和设备功能。

日志保留与实施不足

细节:CISA无法按计划狩猎所有MITRE ATT&CK程序,部分原因是组织的事件日志系统不足以支持此分析。

潜在影响:缺乏全面详细日志阻碍了基于行为和异常的检测,使网络面临未检测横向移动和未授权访问风险。

其他发现

生产服务器sslFlags配置错误

细节:CISA在生成IIS服务器上检查ApplicationHost.config文件,发现HTTPS绑定配置为sslFlags="0",这使IIS保持传统的"每IP一个证书"模式。

生产服务器结构化查询语言连接配置错误

细节:CISA审查生产服务器上的machine.config文件,发现为配置文件和角色提供程序配置了集中数据库连接字符串LocalSqlServer。

缓解措施

CISA和USCG建议关键基础设施组织实施以下缓解措施:

为管理员账户实施唯一凭据和访问控制措施

  • 在所有系统上为本地管理员账户配置唯一复杂凭据
  • 要求对所有管理访问实施防网络钓鱼多因素认证(MFA)
  • 使用专用于管理任务的特权访问工作站(PAW)
  • 实施最小权限原则

安全存储和管理凭据

  • 从System Center Configuration Manager(SCCM)中清除凭据
  • 不要将明文凭据存储在脚本中
  • 使用加密通信
  • 使用唯一本地管理员密码

在IT与OT环境间建立网络分段

  • 评估现有网络架构确保IT与OT网络有效分段
  • 在IT与OT环境间实施非军事区(DMZ)
  • 考虑完整的网络重新架构
  • 在适当时实施单向网关(数据二极管)

实施全面日志记录、日志保留和分析

  • 在所有系统上实施全面详细日志记录
  • 在带外集中位置聚合日志
  • 持续监控日志以早期检测异常活动
  • 安全存储日志备份并使用防篡改存储

验证安全控制

除应用缓解措施外,CISA和USCG建议组织针对本咨询中映射到MITRE ATT&CK企业框架的威胁行为,演练、测试和验证安全程序。

联系信息

鼓励关键基础设施组织向以下机构报告与本咨询信息相关的可疑或犯罪活动:

  • CISA通过CISA 24/7运营中心
  • 海岸警卫队国家响应中心

附录:MITRE ATT&CK战术与技术

咨询中包含9个表格,详细列出了所有引用的威胁行为者战术和技术,涵盖初始访问、执行、持久化、权限提升、防御规避、凭据访问、发现、横向移动和命令与控制等战术类别。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)

公众号二维码

公众号二维码

http://www.hskmm.com/?act=detail&tid=28434

相关文章:

  • 2025年智慧物联与电子信息工程国际学术会议(IoTEIE 2025)
  • 重磅更新:Claude Code 现在支持插件啦!!
  • 标签的关系,注释,标题标签和段落标签,文本格式化标签
  • 笔记本使用摄像头显示“你的相机报告设备上的开关或按钮已阻止或关闭它”(特别是联想笔记本)
  • 牛客刷题-Day11
  • 网络编程实践笔记_1_阿贝云_免费云服务器_简单GET_POST实现
  • 直播平台开发,如何实现CPU内存使用情况的检测? - 云豹科技
  • 实用指南:FPGA学习笔记——图像处理之对比度调节(直方图均衡化)
  • 第十二届行为与社会计算国际会议(BESC)暨2025年机器学习与社会计算国际研讨会(MLSC 2025)
  • 注解@RequestParam与@RequestBody的使用场景
  • 2025 最新推荐!大连深海原种海参源头厂家权威榜:聚焦全产业链优质供应商及选购指南青海淡干/青海围堰/青海圈养/青海吊笼/青海网箱/青海大棚海参厂家推荐
  • 博客导航
  • 金碟KIS迷你版v12.0sp1注册补丁/金蝶迷你版破解
  • 2025 年酒店一次性用品源头厂家最新推荐榜单:含牙签牙线筷子套杯盖等多品类品牌及配套能力与质检体系详解
  • MP4和WMV2压缩机制对比 - 详解
  • Rokid JSAR开发:开发实现小游戏语音控制
  • 2025 年餐饮一次性用品实力厂家最新推荐榜单:资质完备、口碑卓越的标杆企业权威甄选餐饮一次性牙签/牙线/筷子套/杯盖用品厂家推荐
  • 金蝶KIS专业版v12.3_破解补丁/金蝶KIS专业版v12.3下载
  • 2025 年金属线槽厂家最新推荐排行榜:涵盖不锈钢 / 铝合金 / 防火 / 大跨距 / 喷塑类型,助您精准选优质厂家企业
  • 金蝶KIS行政事业版v11.0免费补丁/行政事业版11破解版
  • 视觉异常检测系统的机器学习实践
  • 2025 年最新电缆桥架厂家推荐排行榜:精选不锈钢 / 铝合金 / 热镀锌等多类型优质桥架厂家,助力高效选购热镀锌/热浸锌/托盘式/防火/喷塑电缆桥架厂家推荐
  • PK-CWT/600 罗氏线圈在高压输变电线路故障监测中的应用
  • 金蝶店铺版v5.0.7安装包及店铺版v5.0.7破解补丁
  • 模切 vs CO₂激光切割:非金属材料加工工艺终极对决,如何选择?-外协加工-委外加工-专注于河南郑州激光微纳代加工-激光切割雕刻打孔打标镭雕焊接划线表面处理-芯晨微纳(河南)光电科技有限公司
  • 阵列信号处理波束形成
  • 高QE sCMOS相机在SIM超分辨显微成像中的应用 - 详解
  • 基本骨架
  • HTML5-标签语法
  • 金蝶KIS云.标准版v14.0破解补丁(20211201)