失陷原因大公開：10個讓駭客輕鬆入侵的錯誤資安設定

備受矚目的10大資安設定錯誤

每當看到資安報導某某單位遭受資安攻擊的訊息時，您認為是因為駭客的高招與狡猾？或是受害單位的某些環節疏忽所導致呢？根據今年(2023)十月的時候，由美國國家安全局（NSA）與美國網路安全暨基礎設施安全局（CISA）所聯合發佈的一份資安報告，詳列出常見的 「10 大資安設定錯誤」。該報告是透過NSA及CISA這兩個資安重量級組織的紅隊與藍隊評估，以及威脅獵捕與事件應變團隊的活動，找出的 10 種常見資安設定錯誤。

在此所謂的「設定錯誤」原文為Misconfiguration，並非只是針對單一系統上的操作設定，而是包涵更多關於配置、設計、及政策上的層面。在近幾年來，資安專家觀察到許多組織單位即使採購及佈建多種最高級別的資安方案，但往往未能達到應有的防護效果，其中的關鍵因素之一就在於「設定錯誤(Misconfigurations)」，也因此造成網路攻擊者有隙可乘的機會。報告所列出的 10 大資安設定錯誤如下：

1. 軟體與應用程式的預設設定

2. 使用者與管理者權限的分離不當

3. 內部網路監控不足

4. 缺乏網路分段

5. 修補程式的管理不善

6. 可繞過系統存取控制

7. 多重要素驗證（MFA）方法薄弱或設定錯誤

8. 網路共享和服務的存取控制清單不足

9. 憑證的管理不善

10. 程式執行未受限制

從3個實務經驗分享

由於這10大資安設定錯誤的實用性太有幫助，網路上已經有非常豐富的文章可供學習，而我們在此則進一步針對過往的資安服務過程中更經常觀察到的實務狀況，挑選了「軟體與應用程式的預設設定」、「內部網路監控不足」和「修補程式的管理不善」這三項來進行說明。

1. 軟體與應用程式的預設設定

首先在「軟體與應用程式的預設設定」這部分，可分為預設憑證資訊和預設服務權限與設定這兩方面。有些裝置、設備是透過軟體或網站來登入進行使用，本身可能就有內建管理帳號和預設憑證。例如可能透過簡單的網站搜尋就能找到預設的憑證資訊來登入，或是透過可預測的忘記密碼問題來重新設定內建管理帳號的密碼等。

而預設服務權限與設定上會遇到的問題，主要是服務存取寬鬆和容易被攻擊的設定。例如 ADCS 伺服器啟用 web-enrollment 服務或是 ADCS 範本低權限使用者的設定問題，另外像是一些易受攻擊的網路服務可能是預設開啟的情況，如 Link-Local Multicast Name Resolution（LLMNR）與 NetBIOS Name Service（NBT-NS）等服務，攻擊者可能透過 spoofing、poisoning、relay 等方式來取得網域雜湊值、系統存取等等。還有像 Server Message Block（SMB）服務預設不會執行 SMB 簽署 ，攻擊者可利用沒有 SMB 簽署和名稱解析 poisoning 的方式，無需捕獲和破解雜湊就能存取遠端系統。

改善的建議如下

1. 開始時就變更或停用預設使用者和密碼，設定密碼時使用超過15個字元的隨機密碼。

2. 參考供應商提供的安全強化指南進行相關設定。

3. 關閉非必要的服務，服務開啟相關的安全機制。

4. 檢視範本內的權限設定並進行適當的限制與調整。

2. 內部網路監控不足

接著在「內部網路監控不足」的部分，常見的是沒有對主機、設備、網路等流量收集與日誌收集的偵測做最佳化，因此可能造成無法立即偵測發現異常活動。例如只收集部分設備資訊，可能無法有效識別感染來源，無法阻止橫向移動與感染。或是只收集網路流量資訊，可能無法發現在端點主機上發生的異常行為。

改善的建議如下

1. 建立組織的基準線，例如網路流量、效能、主機活動狀況、使用者行為等，調查與基準線有偏差的情況。

2. 定期稽核存取與使用狀況，特別是跟管理行為有關的部分。

3. 網路、端點日誌、EDR、IDS 等系統紀錄與事件，利用 SIEM 系統來進行聚合、查詢、關聯、視覺化、告警等等的整合。

3. 修補程式的管理不善

最後在「修補程式的管理不善」這部分，可以分為缺乏定期的修補更新和使用已不支援的作業系統與過舊的韌體這兩方面。未能定期進行修補更新，可能會造成攻擊者透過漏洞掃描、研究資料等方式利用系統、服務、應用程式等的已知漏洞來進行攻擊。而使用供應商已不再提供安全更新的軟體、硬體，會發生漏洞無法進行修補的情況，攻擊者可能利用無法修補的漏洞進行未經授權存取、取得敏感資訊、程式碼執行等行為。

改善的建議如下

1. 使用最新、穩定版本的作業系統和軟體，定期執行軟體更新，優先修補已知被利用的漏洞。

2. 如因限制而無法進行修補更新，應採取額外的保護措施降低風險。

3. 應對 BIOS 和其他韌體進行修補更新，防止已知的漏洞利用

以MDR為例，善用奧援來減少錯誤

綜觀分析這10大資安設定錯誤的發生，多半會伴隨以下幾種情況：我不知道（專業知識或資訊不足）、我以為（單兵作業而缺乏查核）、我忘了（事務繁多而忙中有錯），尤其在資安能量有限的中小企業組織是更為常見的情況。舉個近期的案例，某個單位因為VPN漏洞問題遭受入侵受駭，經過調查得知情況為：我不知道電腦上的RDP遠端桌面也有安全問題，我以為RDP是微軟系統內建的工具所以安全，我忘了把臨時申請的RDP遠端連線關閉；在這個案例中，雖然只是對於RDP這項應用服務的設定錯誤，卻導致被利用來注入Lockbit勒索軟體的惡意攻擊。

對此結果，該單位的副總自覺到企業自家的MIS雖然程式開發能力好，但資安事務的處理上並不具備足夠的條件來避免相同資安事件再次發生，即使採購更高價專業的資安產品也無法改善多少，因此改採現代化的MDR服務模式，並與企業內部資訊人員的相互合作協助，逐步的將企業資安成熟提升。

以現代化的MDR 服務來說，具備的是主動式防護跟持續性異常偵測響應能力，受保護的端點主機上所安裝佈防的Agent進行監控防護，偵測到異常行為能第一時間進行阻止外，並且透過 SOC 服務持續的監控，以達到快速偵測異常事件並進行處理，補強資安設定發生錯誤疏失的第二道或第三道防守線。

當然，尋求外部的專業協助並不只有MDR服務，比如像是弱點掃描、滲透測試、防火牆政策都是常見的資安稽核方法，能夠幫助檢驗跟察覺有哪些存在的資安設定錯誤。雖然，傳統的習慣上是以符合規範的心態進行一年一次的初測與複測方式，不過在近年來隨著資安意識的提升，相對在資安檢測方法的要求上都能夠有更自動化及便捷的做法達到輔助效果，減少資安設定錯誤絕對是降低組織單位遭受攻擊威脅的上策。