2022年3月1日,美國(guó)國(guó)家安全局(NSA)發(fā)布了一份《網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全指南》技術(shù)報(bào)告。這份網(wǎng)絡(luò)安全技術(shù)報(bào)告旨在向所有組織提供最新的保護(hù)IT網(wǎng)絡(luò)基礎(chǔ)設(shè)施應(yīng)對(duì)網(wǎng)絡(luò)攻擊的建議,建議側(cè)重于防止現(xiàn)有網(wǎng)絡(luò)常見漏洞和弱點(diǎn)的設(shè)計(jì)和配置,用于指導(dǎo)網(wǎng)絡(luò)架構(gòu)師和管理員建立網(wǎng)絡(luò)的最佳實(shí)踐。該報(bào)告由NSA網(wǎng)絡(luò)安全局編寫。
一
發(fā)布背景
此前,NSA曾被指出沒有相關(guān)網(wǎng)絡(luò)安全機(jī)構(gòu),原因在于幾乎從未公開發(fā)表相關(guān)信息。在經(jīng)歷了一系列來自某些國(guó)家的高調(diào)黑客攻擊和違規(guī)行為后,該機(jī)構(gòu)認(rèn)為必須提升相關(guān)安全技能,并且同時(shí)設(shè)立相關(guān)組織來幫助某些私營(yíng)部門。
2019年,NSA成立了網(wǎng)絡(luò)安全局,負(fù)責(zé)預(yù)防和消除對(duì)美國(guó)國(guó)家安全系統(tǒng)(NSS)和關(guān)鍵基礎(chǔ)設(shè)施的威脅,最初的重點(diǎn)是國(guó)防工業(yè)基地及其服務(wù)提供商。隨后,網(wǎng)絡(luò)安全局利用NSA豐富的信息保障遺產(chǎn),重新調(diào)整了工作重點(diǎn),以滿足當(dāng)前和未來的需求。它將NSA網(wǎng)絡(luò)安全任務(wù)的關(guān)鍵部分,如威脅情報(bào)、脆弱性分析、密碼技術(shù)和防御行動(dòng)進(jìn)行了整合,更加公開透明,旨在提高整個(gè)政府和行業(yè)的網(wǎng)絡(luò)安全門檻,同時(shí)增加美國(guó)對(duì)手的代價(jià)。
網(wǎng)絡(luò)安全局自2019年成立以來,已經(jīng)發(fā)布了50多份網(wǎng)絡(luò)安全報(bào)告。特別地,網(wǎng)絡(luò)安全局利用NSA卓越的技術(shù)能力,針對(duì)不斷演變的網(wǎng)絡(luò)安全威脅制定的建議和緩解措施是其中的重要組成?!毒W(wǎng)絡(luò)基礎(chǔ)設(shè)施安全指南》技術(shù)報(bào)告,正是網(wǎng)絡(luò)安全局針對(duì)國(guó)家安全系統(tǒng)、國(guó)防部信息系統(tǒng)和國(guó)防工業(yè)基地的威脅,制定和發(fā)布的相關(guān)網(wǎng)絡(luò)安全規(guī)范和緩解措施之一,用于指導(dǎo)網(wǎng)絡(luò)架構(gòu)師和管理員建立網(wǎng)絡(luò)的最佳實(shí)踐。
二
主要內(nèi)容
該技術(shù)報(bào)告介紹了總體網(wǎng)絡(luò)安全和保護(hù)單個(gè)網(wǎng)絡(luò)設(shè)備的最佳做法,并指導(dǎo)管理員阻止對(duì)手利用其網(wǎng)絡(luò)。該指南是通用的,可以應(yīng)用于多種類型的網(wǎng)絡(luò)設(shè)備。它提供的建議涵蓋網(wǎng)絡(luò)設(shè)計(jì)、設(shè)備密碼和密碼管理、遠(yuǎn)程登錄、安全更新、密鑰交換算法等等。概括起來,有以下主要內(nèi)容:
1.網(wǎng)絡(luò)體系架構(gòu)與設(shè)計(jì)采用多層防御
報(bào)告認(rèn)為,實(shí)現(xiàn)多層防御的安全網(wǎng)絡(luò)設(shè)計(jì)對(duì)于抵御威脅和保護(hù)網(wǎng)絡(luò)中的資源至關(guān)重要。無論網(wǎng)絡(luò)外設(shè)還是內(nèi)部設(shè)備,其設(shè)計(jì)均應(yīng)該遵循安全最佳實(shí)踐和典型零信任原則。對(duì)此,報(bào)告建議:(1)在網(wǎng)絡(luò)周邊配置和安裝安全設(shè)備;(2)將網(wǎng)絡(luò)中的類似系統(tǒng)邏輯組合在一起,以防止其他類型系統(tǒng)的對(duì)抗性橫向移動(dòng);(3)取消所有后門網(wǎng)絡(luò)連接,并在使用多個(gè)網(wǎng)絡(luò)接口連接設(shè)備時(shí)謹(jǐn)慎使用;(4)采用嚴(yán)格的外設(shè)訪問控制策略;(5)實(shí)現(xiàn)網(wǎng)絡(luò)訪問控制(NAC)解決方案,以識(shí)別和驗(yàn)證連接到網(wǎng)絡(luò)的唯一設(shè)備;(6)限制和加密虛擬專用網(wǎng)(VPN)。
2.定期進(jìn)行安全維護(hù)
報(bào)告認(rèn)為,過時(shí)的硬件和軟件可能包含已知的漏洞,并為對(duì)手利用網(wǎng)絡(luò)提供了一種簡(jiǎn)單的機(jī)制。通過定期將硬件和軟件升級(jí)到供應(yīng)商支持的更新版本,可以緩解這些漏洞。對(duì)此,報(bào)告建議:(1)驗(yàn)證軟件和配置的完整性;(2)維護(hù)正確的文件系統(tǒng)和引導(dǎo)管理;(3)維護(hù)軟件和操作系統(tǒng)的及時(shí)升級(jí)更新;(4)對(duì)開發(fā)商提供的過時(shí)或不受支持的硬件設(shè)備應(yīng)立即升級(jí)或更換,以確保網(wǎng)絡(luò)服務(wù)和安全支持的可用性。
3.采用認(rèn)證、授權(quán)和審計(jì)來實(shí)施訪問控制并減少維護(hù)
報(bào)告認(rèn)為,集中式認(rèn)證、授權(quán)和審計(jì)(AAA)服務(wù)器可提高訪問控制的一致性,減少配置維護(hù),降低管理成本。對(duì)此,報(bào)告建議:(1)實(shí)現(xiàn)集中式服務(wù)器;(2)配置集中式的認(rèn)證、授權(quán)和審計(jì)(AAA);(3)運(yùn)用最小特權(quán)原則;(4)限制身份驗(yàn)證嘗試的次數(shù)。
4.創(chuàng)建具有復(fù)雜口令的唯一本地賬戶
報(bào)告認(rèn)為,本地賬戶對(duì)于網(wǎng)絡(luò)設(shè)備的管理至關(guān)重要。對(duì)此,報(bào)告建議:(1)使用唯一的用戶名和賬戶設(shè)置;(2)更改默認(rèn)口令;(3)刪除不必要的賬戶;(4)采用個(gè)人賬戶;(5)使用最安全的算法存儲(chǔ)設(shè)備上的所有口令;(6)為所有級(jí)別的訪問(包括用戶訪問和特權(quán)級(jí)別訪問)分配唯一和復(fù)雜的口令;(7)為每個(gè)設(shè)備上的每個(gè)賬戶和特權(quán)級(jí)別分配唯一、復(fù)雜和安全口令;(8)根據(jù)需要更改口令。
5.實(shí)施遠(yuǎn)程記錄和監(jiān)控
報(bào)告認(rèn)為,日志記錄是記錄設(shè)備活動(dòng)和跟蹤網(wǎng)絡(luò)安全事件的重要機(jī)制,為管理員提供了檢查可疑活動(dòng)日志和調(diào)查事件的能力。對(duì)此,報(bào)告建議:?jiǎn)⒂萌罩?,至少建立兩個(gè)遠(yuǎn)程集中日志服務(wù)器,以確保設(shè)備日志消息的監(jiān)視、冗余和可用性;將每個(gè)設(shè)備上的陷阱和緩沖區(qū)日志級(jí)別至少設(shè)置系統(tǒng)日志的“信息”級(jí)別,以收集所有必要的信息;每個(gè)設(shè)備和遠(yuǎn)程日志服務(wù)器至少使用兩個(gè)可信賴和可靠的時(shí)間服務(wù)器,以確保信息的準(zhǔn)確性和可用性,等等。
6.實(shí)施遠(yuǎn)程管理和網(wǎng)絡(luò)業(yè)務(wù)
報(bào)告認(rèn)為,管理員可通過SSH、HTTP、SNMP和FTP等各種業(yè)務(wù)對(duì)網(wǎng)絡(luò)設(shè)備實(shí)施遠(yuǎn)程管理,而這些業(yè)務(wù)也是對(duì)手利用和獲得對(duì)設(shè)備的特權(quán)級(jí)別訪問的攻擊目標(biāo)。為此,報(bào)告建議:使用加密業(yè)務(wù)保護(hù)網(wǎng)絡(luò)通信,并禁用所有明文管理業(yè)務(wù);確保足夠的加密強(qiáng)度;使用最新版本的協(xié)議,并適當(dāng)啟用安全設(shè)置;限制對(duì)業(yè)務(wù)的訪問;設(shè)置可接受的超時(shí)時(shí)間;使傳輸控制協(xié)議保持可用狀態(tài);禁用出站連接;禁用每個(gè)設(shè)備上的所有不必要的業(yè)務(wù),禁用特定接口上的發(fā)現(xiàn)協(xié)議,等等。
7.配置網(wǎng)絡(luò)應(yīng)用路由器以對(duì)抗惡意濫用
報(bào)告認(rèn)為,如果路由器本身或動(dòng)態(tài)選路協(xié)議配置不當(dāng),則可能讓對(duì)手將數(shù)據(jù)包重定向到不同的目的地,從而使敏感數(shù)據(jù)被收集、操縱或丟棄,這將違反機(jī)密性、完整性或可用性。對(duì)此,報(bào)告建議:禁用所有設(shè)備上的IP源路由;在外圍路由器的外部接口上啟用單播反向路徑轉(zhuǎn)發(fā)(URPF);啟用路由認(rèn)證,等等。
8.正確配置接口端口
報(bào)告認(rèn)為,正確配置的接口端口可以防止對(duì)手對(duì)網(wǎng)絡(luò)實(shí)施攻擊嘗試。對(duì)此,報(bào)告建議:禁用動(dòng)態(tài)中繼;啟用端口安全;禁用默認(rèn)VLAN ;禁用未使用的端口;禁用端口監(jiān)視;禁用代理地址解析協(xié)議(ARP),等等。
三
幾點(diǎn)分析
該技術(shù)報(bào)告有以下幾個(gè)特點(diǎn):
1.建議詳盡且具有可操作性
該份技術(shù)報(bào)告從多個(gè)不同維度對(duì)網(wǎng)絡(luò)架構(gòu)師和管理員給出指導(dǎo),每個(gè)維度下均有具體的細(xì)分建議。本報(bào)告中的指導(dǎo)建議對(duì)于客戶評(píng)估其網(wǎng)絡(luò)和即時(shí)加固網(wǎng)絡(luò)設(shè)備,無論是從深度和廣度上均具有充分性。管理員除了必要的維護(hù)功能外,還在防御網(wǎng)絡(luò)對(duì)抗敵對(duì)威脅方面發(fā)揮著關(guān)鍵作用。遵循這一指導(dǎo)意見將有助于這些網(wǎng)絡(luò)維護(hù)者將網(wǎng)絡(luò)安全最佳做法付諸行動(dòng),降低受到損害的風(fēng)險(xiǎn),并確保網(wǎng)絡(luò)更加安全和得到更好的保護(hù)。這些建議是NSA網(wǎng)絡(luò)專家對(duì)于網(wǎng)絡(luò)設(shè)計(jì)配置給出的最佳實(shí)踐指南,具有很強(qiáng)的可操作性。
2.支持零信任模式
該報(bào)告同時(shí)提到了零信任架構(gòu),這是一種假設(shè)網(wǎng)絡(luò)內(nèi)外都存在威脅并持續(xù)驗(yàn)證用戶、設(shè)備和數(shù)據(jù)的安全模型。利用零信任原則,系統(tǒng)管理員可以控制用戶、進(jìn)程和設(shè)備如何使用數(shù)據(jù)。這些原則可以防止濫用受損的用戶憑據(jù)、遠(yuǎn)程利用或內(nèi)部威脅,甚至可以減輕供應(yīng)鏈攻擊的影響。白宮的指導(dǎo)規(guī)定,所有聯(lián)邦機(jī)構(gòu)都必須采用這種安全模式,并將其放在首位。NSA表示完全支持零信任安全模式,但隨著系統(tǒng)所有者引入新的網(wǎng)絡(luò)設(shè)計(jì)以實(shí)現(xiàn)更成熟的零信任原則,報(bào)告中的指導(dǎo)可能需要修改。
3.與相關(guān)技術(shù)指南和管理政策保持高度一致性
該份技術(shù)報(bào)告里面涉及的相關(guān)內(nèi)容與CISA 2022年發(fā)布的“通過分段分層網(wǎng)絡(luò)安全”、NSA 2019年發(fā)布的“分部網(wǎng)絡(luò)和部署應(yīng)用程序感知防御”、NSA 2021年發(fā)布的“選擇和強(qiáng)化遠(yuǎn)程訪問VPN解決方案”、NSA 2020年發(fā)布的“配置IPsec虛擬專用網(wǎng)絡(luò)”、NSA 2019年發(fā)布的“緩解最近VPN漏洞”、管理和預(yù)算辦公室2021年發(fā)布的“提高聯(lián)邦政府對(duì)網(wǎng)絡(luò)安全事件的調(diào)查和補(bǔ)救能力”等技術(shù)指南具有相關(guān)繼承性;同時(shí),該技術(shù)報(bào)告遵循了拜登政府2021年發(fā)布的行政命令14028“改善國(guó)家的網(wǎng)絡(luò)安全”、DISA和NSA 2021年發(fā)布的“國(guó)防部零信任參考體系架構(gòu)”以及NSA 2021年發(fā)布的“擁抱零信任安全模式”等相關(guān)政策和戰(zhàn)略思想??梢钥闯?,NSA在制定和實(shí)施改善國(guó)家網(wǎng)絡(luò)安全的行政命令方面發(fā)揮了重要作用。
四
結(jié) 語
目前,NSA已經(jīng)轉(zhuǎn)型為網(wǎng)絡(luò)安全界的一個(gè)開放型領(lǐng)導(dǎo)機(jī)構(gòu)。2021年,NSA發(fā)起了多個(gè)合作論壇,在非密、秘密和絕密級(jí)別與NSS、關(guān)鍵基礎(chǔ)設(shè)施和重要資源機(jī)構(gòu)分享威脅、脆弱性和緩解措施。
在過去一年中,針對(duì)對(duì)手當(dāng)前使用的戰(zhàn)術(shù)和技術(shù),NSA總共發(fā)布了23份報(bào)告,其中有12份報(bào)告是與一個(gè)或多個(gè)合作伙伴共同完成。通過與美國(guó)政府和私營(yíng)部門的合作,NSA和合作伙伴能夠分享更全面的威脅理解和最頂層的防御行動(dòng)。2022年,NSA已發(fā)布了多份報(bào)告及技術(shù)指南,《網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全指南》是其中一份建議;未來,NSA將會(huì)發(fā)布更多的指南、實(shí)踐與政策,值得持續(xù)關(guān)注。