米NSAとCISAが選ぶ、ネットワーク誤設定トップ10

headless 曰く、　米国家安全保障局 (NSA) とサイバーセキュリティ・インフラストラクチャーセキュリティ庁 (CISA) が 5 日、よくあるネットワークの誤設定トップ 10 を取り上げたアドバイザリーを公開した(CISA のブログ記事、The Register の記事、アドバイザリー: PDF)。

誤設定トップ 10 は以下の通り。

　 ソフトウェアとアプリケーションをデフォルト構成で使用　
　ユーザー/管理者権限の不適切な分離　
　不十分な内部ネットワーク監視　
　ネットワークセグメンテーションの欠如　
　不十分なパッチ管理　
　システムアクセス制御のバイパスが可能　
　弱い・正しく設定されていないMFA　
　ネットワーク共有とサービスに対する不十分なアクセス制御リスト　
　不十分な認証情報の安全性　
　無制限なコード実行　1 位のデフォルト構成としては、デフォルトの認証情報やサービスのパーミッション設定などが挙げられている。6 位は代替の認証方法を悪用したシステムへのアクセスが可能な状態、7 位は多要素認証 (MFA) 移行後もそのまま残されるパスワードハッシュやフィッシングに弱い MFA、9 位は容易にクラック可能なパスワードや平文で保存されるパスワード、といったものだ。

スラドの皆さんはついやってしまうネットワークのバッドプラクティスがあるだろうか。

　スラドのコメントを読む | セキュリティセクション | セキュリティ | ネットワーク

　関連ストーリー：
トヨタ、約10年間約215万人分の車両情報が漏洩。クラウド設定ミスが原因 2023年05月16日
既知の脆弱性を含むコード、時間がなければ仕方なくデプロイする？ 2023年04月29日
教育出版大手マグロウヒル、S3 バケットの誤設定で学生 10 万人以上のデータを公開状態にしていた 2022年12月24日
オランダの裁判所、海賊版対策企業からの警告状を ISP がサブスクライバーに転送する必要はないと判断 2022年06月12日