行业新闻与博客
CISA 和 NSA 发布十大错误配置
美国两个主要政府安全机构分享了十大最常见的网络安全错误配置,以提高公共和私营部门组织的基线安全性。
美国国家安全局和网络安全与基础设施安全局 (CISA) 的报告是根据他们的红队和蓝队评估以及政府和私营部门组织的机构搜寻和事件响应小组活动编写的。
这些机构指出:“这些最常见的错误配置说明了几个大型组织中系统性弱点的趋势,以及软件制造商采用设计安全原则以降低妥协风险的重要性。”
“CSA 中提到的一些错误配置包括软件和应用程序的默认配置、薄弱或错误配置的多重身份验证 (MFA) 方法以及不受限制的代码执行。”
十大常见错误配置
完整名单如下:
- 软件和应用程序的默认配置
- 用户 / 管理员权限分离不当
- 内网监控不足
- 缺乏网络分段
- 补丁管理不善
- 绕过系统访问控制
- 多重身份验证 (MFA) 方法薄弱或配置错误
- 网络共享和服务的访问控制列表 (ACL) 不足
- 凭证卫生状况不佳
- 不受限制的代码执行
该报告还包含一长串对网络防御者和软件制造商有用的缓解措施清单,政府希望这些措施将有助于改善全国的网络安全。
报告总结道: “上述错误配置在评估中非常常见,所列出的技术是多个恶意行为者利用的标准技术,导致了许多真正的网络危害。”
“学习他人的弱点,并正确实施上述缓解措施,以保护网络、其敏感信息和关键任务。”
问题是,在预算面临压力之际,各组织(尤其是私营部门)是否有时间和资源优先考虑这些工作。
最近新闻
OpenAI 发布 GPT-5.6 Sol 网络安全模型,限制早期访问
2026年07月06日
“Exploitarium” 背后的研究人员解释了未公开零日漏洞的发布原因
2026年07月06日
微软加快量子安全技术推进,推出新时间表
2026年07月02日
无文件恶意软件利用 Google Blogspot 在内存中部署信息窃取程序
2026年07月02日
研究人员诱骗人工智能浏览器泄露凭证
2026年06月25日
FBI 警告称,“Kali365” 钓鱼工具包会劫持微软 365 OAuth 令牌
2026年05月26日
虚假直播、假冒商品和其他骗局:诈骗分子如何盯上 F1 车迷
2026年05月26日
九年前的 Linux 内核漏洞泄露 SSH 密钥和密码哈希值
2026年05月26日
需要帮助吗?联系我们的支持团队 在线客服