米NSAとCISAが選ぶ、ネットワーク誤設定トップ10
2023年10月12日 17:05
headless 曰く、 米国家安全保障局 (NSA) とサイバーセキュリティ・インフラストラクチャーセキュリティ庁 (CISA) が 5 日、よくあるネットワークの誤設定トップ 10 を取り上げたアドバイザリーを公開した(CISA のブログ記事、The Register の記事、アドバイザリー: PDF)。
誤設定トップ 10 は以下の通り。
ソフトウェアとアプリケーションをデフォルト構成で使用 ユーザー/管理者権限の不適切な分離 不十分な内部ネットワーク監視 ネットワークセグメンテーションの欠如 不十分なパッチ管理 システムアクセス制御のバイパスが可能 弱い・正しく設定されていないMFA ネットワーク共有とサービスに対する不十分なアクセス制御リスト 不十分な認証情報の安全性 無制限なコード実行 1 位のデフォルト構成としては、デフォルトの認証情報やサービスのパーミッション設定などが挙げられている。6 位は代替の認証方法を悪用したシステムへのアクセスが可能な状態、7 位は多要素認証 (MFA) 移行後もそのまま残されるパスワードハッシュやフィッシングに弱い MFA、9 位は容易にクラック可能なパスワードや平文で保存されるパスワード、といったものだ。
スラドの皆さんはついやってしまうネットワークのバッドプラクティスがあるだろうか。