Агентство національної безпеки США ( NSA ) та Агентство з кібербезпеки та захисту інфраструктури США ( CISA ) розкрили десять найбільш поширених помилок у конфігурації кібербезпеки, виявлених їхніми командами в мережах різних великих організацій.

У спільному повідомленні агентств докладно описані методи, якими зловмисники успішно експлуатують ці помилки з різними цілями, включаючи доступ до чутливої ​​інформації або систем.

Інформація для звіту була зібрана командами NSA та CISA під час оцінок та реагування на інциденти. «Ці оцінки показали, як поширені помилки, такі як стандартні облікові дані, неправильний поділ прав, погане управління виправленнями та недостатній моніторинг внутрішньої мережі, ставлять під загрозу кожного американця», — сказав Ерік Гольдштейн, виконавчий помічник директора з кібербезпеки в CISA .

Десять найбільш поширених помилок за версією NSA та CISA включають:

стандартні конфігурації програмного забезпечення;
неправильний поділ привілеїв користувача/адміністратора;
недостатній моніторинг внутрішньої мережі;
відсутність сегментації мережі;
погане керування оновленнями;
обхід систем контролю доступу;
слабкі методи багатофакторної автентифікації;
недостатні списки контролю доступу до мережевих ресурсів;
погана гігієна облікових даних;
необмежену виконання коду.
Гольдштейн закликав виробників програмного забезпечення прийняти низку проактивних практик для ефективного вирішення цих проблем. До таких практик відноситься інтеграція засобів безпеки на початкових етапах розробки та протягом усього життєвого циклу програмного забезпечення.

Також Гольдштейн наголосив на важливості обов’язкового використання багатофакторної автентифікації для привілейованих користувачів, чиї акаунти є особливо ласою метою для кіберзлочинців.

NSA та CISA також рекомендують мережним захисникам впроваджувати рекомендовані заходи щодо зниження ризику експлуатації цих поширених помилок, включаючи регулярні оновлення та автоматизацію процесу встановлення виправлень.

На закінчення федеральні агентства рекомендують «проводити вправи, тестування та перевірку програми безпеки організації відповідно до фреймворку MITRE ATT&CK для підприємств».