美国CISA 发布 2020 年度风险和漏洞评估分析报告
每年,网络安全和基础设施安全局(CISA)都会对联邦民事执行局(FCEB)、关键基础设施(CI)和州、地方、部落和领土(SLTT)利益相关者进行风险和脆弱性评估。RVA评估组织在识别和解决网络漏洞方面的总体有效性。在2020财年(FY20),CISA对各部门的多个利益相关者进行了37次RVA评估,并将结果与MIRE ATT&CK®框架相一致。RVA分析的目标是制定有效的战略,积极影响FCEB、SLTT和CI利益相关者的安全态势。在RVA期间,CISA通过现场评估收集数据,并将其与国家威胁和脆弱性信息相结合,为组织提供可采取行动的补救建议,并按风险优先次序进行。CISA设计了RVA,以识别对手可能利用的漏洞来破坏网络安全控制。RVA可包含以下方法:基于场景的网络渗透测试Web应用程序测试社会工程测试无线测试服务器和数据库的配置审查检测和响应能力评估完成RVA后,CISA向组织提供了一份最终报告,其中包括业务执行建议、特定发现、潜在缓解措施和技术攻击路径详细信息。
CISA 总共进行 37 次 RVA,利用 MITRE ATT&CK 框架了解风险并帮助组织修复黑客可能在实时攻击中破坏网络安全控制的弱点。在CISA 发布的一份报告中,详细介绍了一个由六个连续步骤组成的攻击路径,即初始访问、命令和控制 (C&C)、横向移动、特权升级、收集和渗透。这些步骤大致基于黑客使用的 ATT&CK 方法。
这条路径并不包含黑客使用的潜在步骤,并非所有攻击路径都遵循此模型。这些步骤有助于突出 RVA 期间使用的一些更成功的攻击策略以及这些策略对目标网络的影响,在其评估中,CISA 成功地在 49% 的攻击中使用网络钓鱼链接进行初始访问,在 42% 的 RVA 中使用 Web 协议进行命令和控制,在大约 30% 的攻击中使用传递哈希进行横向移动, 在25% 的事件中使用RDP,在 37.5% 的“攻击”中,有效账户被用于提权。数据主要从本地系统收集(占 32% 的攻击),并使用 C&C 渠道泄露(占 68% 的情况)。在许多情况下成功的其他攻击技术包括网络钓鱼附件、利用面向 Web 的应用程序、凭据转储、账户发现、WMI、Mshta 以及使用档案进行数据泄露。
CISA 的 FY20 RVA 报告还包括组织可以用来改善其整体安全状况的建议,例如应用程序白名单、禁用宏、识别和解决面向公众和内部应用程序中的漏洞、实施强大的电子邮件安全、审查用户和应用程序权限级别、使用代理、监控网络流量、禁用未使用的远程服务、始终保持软件更新以及防止在应用程序中存储凭据。在对 CISA 执行的 37 份 RVA 报告进行趋势分析后,确定了几个高级观察结果。网络钓鱼和使用默认凭据等方法仍然是可行的攻击方式。这表明用于破坏我们大部分基础设施的方法并没有随着时间的推移而发生巨大变化。因此,网络防御者必须重新集中精力部署大量已知有效的缓解措施。最后,CISA得出结论是这种性质的分析有助于跨多个部门和组织的网络维护者有效地优先识别和缓解高级别漏洞。CISA打算在今后的迭代中纳入评估小组使用的特定TTP,将有助于进行更彻底的分析,并可能改进缓解建议。扩展材料:美国网络安全和基础设施安全局(CISA)成立于 2018 年 11 月 16 日,是一个独立的美国联邦机构,隶属于国土安全部(DHS)的监督,作用是为提高网络安全跨各级政府,协调与网络安全方案美国各州,并提高对私人和民族国家政府的网络安全防护黑客,是美国国家保护和计划局 (NPPD) 的延续。其子部门包括:网络安全司基础设施安全司应急通讯科国家风险管理中心综合运营部利益相关者参与部National Emergency Technology Guard参考资料:FY20_RVAs_Mapped_to_the_MITRE_ATTCK_Framework_508_correctedFY20-RVA-Analysis_508C维基百科工业控制系统安全:信息安全防护指南金融数据安全:数据生命周期安全规范思维导图网络安全等级保护:一起回看2006年等保重要政策文件7号文网络安全等级保护:法律要求应急响应与保障必不可少工业控制系统安全:工控系统信息安全分级规范思维导图金融数据安全:数据安全分级指南思维导图