Beveiligingsverschrikkingen: de lijst van de tien grootste veiligheidsmislukkingen van de NSA en de CISA

Beveiligingsverschrikkingen: de lijst van de tien grootste beveiligingsfouten van de NSA en de CISA

Door Danny Bradbury • 9 November 2023

Een onveilig netwerk is de ergste nachtmerrie van cybersecurity-verdedigers en de droom van elke aanvaller. Eén enkele misconfiguratie kan een gapend gat in een netwerk achterlaten. Maar of het nu door onwetendheid, afleiding, niet genoeg of te veel beheerders is, deze verkeerde configuraties zijn wijdverbreid. De Amerikaanse National Security Agency (NSA) en de Cybersecurity and Infrastructure Security Agency (CISA) zien zoveel van dezelfde opduiken dat ze een rapport hebben uitgebracht. verslag waarin de tien meest voorkomende worden beschreven. We hebben ze hier op een rij gezet, samen met een bespreking van hun potentiële effecten en mogelijke verzachtende maatregelen.

Standaardconfiguraties van software en applicaties

Deze klassieke beveiligings-SNAFU omvat het gebruik van standaard beheerderstoegangsreferenties, die gemakkelijk online kunnen worden gevonden. Als u deze niet wijzigt, blijft de administratieve controle open voor iedereen die het toegangsportaal kan bereiken.

Standaardconfiguratieproblemen reiken verder dan het gebruik van vooraf ingestelde fabrieksaanmeldingen. Services zoals Active Directory (die veel aandacht krijgt in de analyses van de teams) worden geleverd met standaard privilege-instellingen voor verschillende services of laten kwetsbare verouderde services standaard ingeschakeld.

Microsoft heeft bijvoorbeeld Active Directory Link-Local Multicast Name Resolution (LLMNR) lange tijd standaard ingeschakeld gelaten, ook al luidde deze naamomzettingsservice nog in de tijd dat DNS nog niet zo alomtegenwoordig was als nu. Dat protocol heeft een beveiligingsprobleem waar aanvallers misbruik van kunnen maken. Microsoft verklaarde in april 2022 dat het die dienst zou uitfaseren ten gunste van het nieuwere, veiligere mDNS.

Onjuiste scheiding tussen gebruikers- en beheerdersrechten

Toegang met de minste privileges is een fundamenteel principe van moderne beveiliging, maar toch laten veel beheerders accounts achter met buitensporige privileges die aanvallers kunnen misbruiken. Serviceaccounts worden gebruikt om toegang te krijgen tot bronnen, omdat deze vaak verhoogde rechten hebben, zodat ze toegang hebben tot bepaalde systeembronnen. Ze zijn een waardevol bezit voor aanvallers.

Er zijn hier verschillende herstelmaatregelen, waaronder het beperken van het gebruik van geprivilegieerde accounts om algemene taken uit te voeren die deze kwetsbaar kunnen maken (zoals toegang tot e-mail), het controleren van gebruikersaccounts en het toepassen van de minste privilege-toegang. We hielden ook van het idee om beheerdersaccounts uit te schakelen en er alleen op verzoek toegang toe te verlenen gedurende een bepaalde periode.

Onvoldoende interne netwerkbewaking

Minder ervaren aanvallers kunnen geluid maken wanneer ze toegang krijgen tot het netwerk en zich er zijdelings doorheen bewegen. Organisaties die hun netwerken niet monitoren, zullen deze signalen missen. In sommige gevallen ontdekten de teams dat sommige mensen hostmachines in de gaten hielden terwijl ze het netwerk niet konden controleren, wat betekende dat ze het effect van een aanval op de server konden zien, maar niet konden zien waar deze vandaan kwam.

Gebrek aan netwerksegmentatie

Door uw netwerk in logische segmenten op te delen, ontstaan beveiligingszones die gebruikers alleen kunnen overschrijden met de juiste rechten. Het is het netwerkequivalent van het beveiligen van toegangsdeuren voor verschillende delen van het gebouw met behulp van badgetoegang. Toch houden veel organisaties hun netwerken 'plat', waardoor ze overal toegang hebben tot elk gebied. Volgens een Congresverslagheeft dit falen in het Office of Personnel and Management (OPM)-netwerk bijgedragen aan de succesvolle inbreuk in 2015.

Slecht patchbeheer

Het is teleurstellend, maar niet verrassend dat het niet patchen van applicaties en besturingssystemen nog steeds een probleem is voor organisaties. We weten dat het patchen van alles op het netwerk een hele klus kan zijn, maar het prioriteren van patches op basis van een goede risicoanalyse kan helpen om de meest dringende updates te identificeren. Wat verbazingwekkend is, is dat de teams volgens het rapport vaak organisaties ‘observeerden’ die MS08-067 – de kwetsbaarheid voor het uitvoeren van externe code uit 2008 waardoor Confider kon spawnen – en MS17-010, die de EternalBlue-aanval mogelijk maakte, nog steeds niet hadden gepatcht. de WannaCry-malware uit 2017 was gebaseerd.

Omzeilen van systeemtoegangscontroles

Aanvallers zullen soms de traditionele methoden omzeilen toegangscontroles voor systemen. Eén techniek genaamd 'pass the hash' maakt gebruik van gestolen hashes van inloggegevens (misschien uit een database die op het dark web is gepubliceerd) om toegang te krijgen tot authenticatiesystemen zonder een wachtwoord in gewone tekst te gebruiken.

Zwakke of verkeerd geconfigureerde Multi-Factor Authenticatie (MFA)-methoden

MFA is een waardevolle beschermingslaag, maar het is geen wondermiddel, vooral niet als het verkeerd wordt geïmplementeerd. Veelvoorkomende problemen zijn onder meer het gebruik van op SMS gebaseerde MFA die onderworpen is aan SIM-swapping, of 'push bombing', waarbij aanvallers mensen lastigvallen om de toegang te verifiëren. CISA adviseert om FIDO/WebAuthn als gouden standaard te gebruiken om dergelijke aanvallen te voorkomen. App-gebaseerde authenticators zijn de beste keuze.

Onvoldoende toegangscontrolelijsten (ACL's) voor netwerkshares en -services

Mogelijk hebt u uw serviceaccounts vergrendeld, maar hoe zit het met uw netwerkschijven? Door netwerkshares open te laten voor ongeautoriseerde accounts, kunnen aanvallers vaak misbruikt worden. Het rapport zegt dat ze open-sourcetools of eenvoudige systeemopdrachten kunnen gebruiken om beschikbare shares te scannen.

Slechte geloofsbrievenhygiëne

Volgens het rapport zijn het gebruik van wachtwoorden die gemakkelijk te kraken zijn of het opslaan ervan in gewone tekst, beide veelvoorkomende beveiligingsfouten. Het bewaren van wachtwoorden in duidelijke tekst is duidelijk een onveilige zet. Toch hebben zelfs grote bedrijven zulke als Facebook en GoDaddy hebben wachtwoorden op deze manier opgeslagen of in een formaat dat gemakkelijk omkeerbaar is naar duidelijke tekst. Zelfs wachtwoorden die zijn gehasht, kunnen worden achterhaald met behulp van wachtwoordkrakers.

Onbeperkte code-uitvoering

De tiende veel voorkomende misconfiguratie die in de lijst wordt gedeeld, is het toestaan dat niet-geverifieerde applicaties op hosts worden uitgevoerd. Phishing-aanvallers zullen hun slachtoffers vaak overhalen om ongeautoriseerde software op hun machines te gebruiken.

Het rapport suggereert dat lijsten die alleen specifieke programmahandtekeningen toestaan, kunnen helpen. Dit kan echter lastig te implementeren zijn, omdat legitieme programma's vaak in meerdere versies verkrijgbaar zijn, waardoor er talloze handtekeningen ontstaan. Het rapport maakt ook melding van het gebruik van alleen-lezen containers en minimale afbeeldingen.

Mitigatiestappen

Het rapport somt verschillende maatregelen op om deze risico's te beperken, waarvan vele voor competente beveiligingsprofessionals duidelijk zouden moeten zijn. Het feit dat de NSA en de CISA afzonderlijke mitigatiemaatregelen voor netwerkverdedigers en softwarefabrikanten publiceerden, was lovenswaardig. Veel te vaak, leveranciers ontsnappen aan kritiek vanwege hun eigen onzekere praktijken.

De in het rapport voorgestelde oplossingen van de fabrikant omvatten het vanaf het begin volgen van richtlijnen voor de ontwikkeling van veilige software. Dit zou helpen bij het elimineren van de bugs die tot daaropvolgende softwarepatches hebben geleid. Leveranciers moeten ook software leveren die standaard is gehard, zodat er geen extra werk van de kant van de klant nodig is. Wij vonden het een goed idee om 'handleidingen los te maken' die klanten laten zien hoe ze de beveiligingsinstellingen waar nodig kunnen versoepelen, en wat de risico's zijn die dit met zich meebrengt. Het is veel moeilijker om beveiligingsmaatregelen toe te voegen dan bestaande controles op te geven.

Andere langverwachte maatregelen zijn onder meer het elimineren van standaardwachtwoorden. Hoewel competente beheerders deze zouden moeten veranderen, doen velen dat niet. Het ontwerpen van software (om nog maar te zwijgen van hardware) die deze niet heeft, zou aangepaste configuratie-instellingen afdwingen. Een andere is standaardondersteuning voor MFA en verplichte MFA voor bevoegde gebruikers.

Het verstrekken van uitgebreide auditlogboeken zou helpen bij het ondersteunen van netwerkmonitoring en het detecteren van het omzeilen van toegangscontroles, aldus het rapport. Toegangscontrole Lijsten met minimaal noodzakelijke rechten kunnen de zaken iets minder handig maken voor gebruikers, maar zullen ook het risico voor het systeem als gevolg van gekaapte accounts minimaliseren.

Een andere suggestie is ondersteuning voor het uitvoeren van code kant-en-klare bedieningselementen in besturingssystemen en applicaties, die zouden helpen voorkomen dat ongebruikelijke code wordt uitgevoerd. We hebben hiervan al iets gezien, zoals de waarschuwing van Apple bij het uitvoeren van code die niet uit de App Store komt en het besluit van Microsoft om VBA-macro's van internet te blokkeren. Er is genoeg ruimte voor meer.

Het is teleurstellend dat zoveel van de veelgemaakte fouten in deze lijst winterharde vaste planten zijn. Ze zijn allemaal al jaren betrokken bij inbreuken op de beveiliging en zullen dat nog vele jaren blijven doen. Door zowel klanten als leveranciers mitigatiemaatregelen aan te bieden, leggen de NSA en de CISA in ieder geval de basis voor een meer verantwoord computergebruik.

Ontgrendel de kracht van beveiligingsframeworks met ISMS.online

Door gebruik te maken van raamwerken als ISO 27001 en NIST krijgen organisaties bewezen richtlijnen voor het bouwen van uitgebreide beveiligingsprogramma's.

Door de eisen en controles uit deze raamwerken over te nemen, kunnen bedrijven systematisch risico's aanpakken, kritieke activa beschermen en naleving van relevante regelgeving garanderen. De gestructureerde aanpak waarbij de specifieke behoeften van een organisatie in kaart worden gebracht aan gevestigde kaders ontsluit de kracht van best practices uit de sector voor informatiebeveiliging en biedt een strategisch pad voor het voortdurend verbeteren van de verdediging in een complex dreigingslandschap.

Met de juiste toepassing van toonaangevende beveiligingsstandaarden kunnen zelfs kleine teams effectieve programma's bouwen die activiteiten en gegevens beschermen. Plan vandaag nog een gesprek met een van onze experts om erachter te komen hoe het invoeren van een beveiligingsframework uw organisatie ten goede kan komen.

Danny Bradbury

Danny Bradbury is sinds 1989 een printjournalist gespecialiseerd in technologie en sinds 1994 freelanceschrijver. Hij heeft geschreven voor nationale publicaties aan beide zijden van de Atlantische Oceaan en heeft prijzen gewonnen voor zijn onderzoeksjournalistieke werk op het gebied van cyberbeveiliging.

Lees meer van Danny Bradbury

Cyber security 15 januari 2026

Van perimeterbeveiliging naar identiteit als beveiliging.

Je kunt tegenwoordig geen beveiligingsevenement bekijken zonder de term 'zero trust' tegen te komen. Het is inderdaad een modewoord, maar...

Danny Bradbury

Cyber security 18 December 2025

Hoe navigeer je door het doolhof van AI-compliance in de VS? Banner

Hoe navigeer je door het doolhof van AI-regelgeving in de VS?

Als het om regelgeving gaat, is de term 'Verenigde Staten' een contradictie. De wetten van de staten zijn allesbehalve uniform, en elke jurisdictie hanteert eigen regels...

Danny Bradbury

Cyber security 20 November 2025

Wat de Salesforce-inbreuken ons leren over gedeelde verantwoordelijkheid

2025 was geen goed jaar voor Salesforce-klanten. Een louche criminele organisatie voerde een reeks aanvallen uit op haar klanten, met uiteindelijk gevolgen voor...

Danny Bradbury