米国 NSA CISA サイバーセキュリティの誤設定トップ10と対策

こんにちは、丸山満彦です。

NSAとCISAがサイバーセキュリティの謝設定トップ10を発表し、注意を促していますね。。。

Red TeamとBlue Teamの共同による検討ということですね。。。

興味深いです。。。

トップ10

1. ソフトウェアとアプリケーションのデフォルト設定
2. ユーザー／管理者権限の不適切な分離
3. 内部ネットワークの不十分な監視
4. ネットワークセグメンテーションの欠如
5. パッチ管理の不備
6. システムアクセス制御のバイパス
7. 弱いまたは誤った設定の多要素認証(MFA)
8. ネットワーク共有やサービスの不十分なアクセス制御リスト（ACL）
9. クレデンシャルの不十分な衛生管理
10. 無制限のコード実行

 

ソフトウェア開発にはセキュアバイデザインがデフォルト...ですね。。。

 

● CISA

・2023.10.05 NSA and CISA Red and Blue Teams Share Top Ten Cybersecurity Misconfigurations (AA23-278A)

エグゼクティブサマリー...

NSA and CISA Red and Blue Teams Share Top Ten Cybersecurity Misconfigurations	NSAとCISAのレッド・チームとブルー・チームがサイバーセキュリティの誤設定トップ10を共有する
A plea for network defenders and software manufacturers to fix common problems.	ネットワーク防衛者とソフトウェアメーカーに、一般的な問題を修正するよう嘆願する。
EXECUTIVE SUMMARY	要旨
The National Security Agency (NSA) and Cybersecurity and Infrastructure Security Agency (CISA) are releasing this joint cybersecurity advisory (CSA) to highlight the most common cybersecurity misconfigurations in large organizations, and detail the tactics, techniques, and procedures (TTPs) actors use to exploit these misconfigurations.	米国家安全保障局（NSA）とサイバーセキュリティ・インフラストラクチャ安全保障局（CISA）は、この共同サイバーセキュリティ勧告（CSA）を発表し、大規模組織で最も一般的なサイバーセキュリティの誤設定に焦点を当て、行為者がこれらの誤設定を悪用するために使用する戦術、技術、手順（TTP）を詳述する。
Through NSA and CISA Red and Blue team assessments, as well as through the activities of NSA and CISA Hunt and Incident Response teams, the agencies identified the following 10 most common network misconfigurations:	NSA と CISA のレッド・チームとブルー・チームの評価、および NSA と CISA のハント・チームとインシデント・レスポンス・チームの活動を通じて、両機関は以下の 10 の最も一般的なネットワーク・ミスコンフィギュレーションを特定した：
1. Default configurations of software and applications	1. ソフトウェアとアプリケーションのデフォルト設定
2. Improper separation of user/administrator privilege	2. ユーザー／管理者権限の不適切な分離
3. Insufficient internal network monitoring	3. 内部ネットワークの不十分な監視
4. Lack of network segmentation	4. ネットワークセグメンテーションの欠如
5. Poor patch management	5. パッチ管理の不備
6. Bypass of system access controls	6. システムアクセス制御のバイパス
7. Weak or misconfigured multifactor authentication (MFA) methods	7. 弱いまたは誤った設定の多要素認証(MFA)
8. Insufficient access control lists (ACLs) on network shares and services	8. ネットワーク共有やサービスの不十分なアクセス制御リスト（ACL）
9. Poor credential hygiene	9. クレデンシャルの不十分な衛生管理
10. Unrestricted code execution	10. 無制限のコード実行
These misconfigurations illustrate (1) a trend of systemic weaknesses in many large organizations, including those with mature cyber postures, and (2) the importance of software manufacturers embracing secure-by-design principles to reduce the burden on network defenders:	これらの設定ミスは、(1)成熟したサイバー態勢を持つ組織を含む多くの大組織における体系的な弱点の傾向、(2)ネットワーク防御者の負担を軽減するために、ソフトウェアメーカーがセキュアバイデザインの原則を受け入れることの重要性を示している：
・Properly trained, staffed, and funded network security teams can implement the known mitigations for these weaknesses.	・適切な訓練を受け、人員を配置し、資金のあるネットワーク・セキュリティ・チームは、これらの弱点に対する既知の緩和策を実施することができる。
・Software manufacturers must reduce the prevalence of these misconfigurations—thus strengthening the security posture for customers—by incorporating secure-by-design and -default principles and tactics into their software development practices.[1]	・ソフトウェア・メーカーは、これらの誤設定の蔓延を減らすこと、つまり、セキュア・バイ・デザ インとデフォルトの原則と戦術をソフトウェア開発プラクティスに組み込むことで、顧客のセキュリティ態勢を 強化する必要がある[1]。
NSA and CISA encourage network defenders to implement the recommendations found within the Mitigations section of this advisory—including the following—to reduce the risk of malicious actors exploiting the identified misconfigurations.	NSA と CISA は、悪意ある行為者が特定された誤設定を悪用するリスクを低減するために、本アドバイザリの「緩和策」のセ クションに記載されている推奨事項（以下を含む）を実施することをネットワーク防御者に推奨する。
・Remove default credentials and harden configurations.	・デフォルトの認証情報を削除し、設定を強化する。
・Disable unused services and implement access controls.	・使用していないサービスを無効にし、アクセス制御を導入する。
・Update regularly and automate patching, prioritizing patching of known exploited vulnerabilities.[2]	・定期的な更新とパッチ適用を自動化し、悪用された既知の脆弱性には優先的にパッチを適用する[2]。
・Reduce, restrict, audit, and monitor administrative accounts and privileges.	・管理者アカウントと権限を削減、制限、監査、監視する。
NSA and CISA urge software manufacturers to take ownership of improving security outcomes of their customers by embracing secure-by-design and-default tactics, including:	NSA と CISA は、ソフトウェアメーカーに対し、以下のようなセキュアバイデザインとデフォルトの戦術を採用することで、顧客のセキュリ ティ成果を向上させるオーナーシップを持つよう促す：
・Embedding security controls into product architecture from the start of development and throughout the entire software development lifecycle (SDLC).	・開発の初期段階から、ソフトウェア開発ライフサイクル（SDLC）全体を通じて、製品アーキテクチャにセキュリティ管理策を組み込む。
・Eliminating default passwords.	・デフォルトパスワードを廃止する。
・Providing high-quality audit logs to customers at no extra charge.	・高品質の監査ログを追加料金なしで顧客に提供する。
・Mandating MFA, ideally phishing-resistant, for privileged users and making MFA a default rather than opt-in feature.[3]	・特権ユーザに対して、理想的にはフィッシングに強い MFA を必須とし、MFA をオプトイン機能ではなくデフォルト機能とする[3]。

 

・[PDF] 

 

ブログ...

・2023.10.05 Joint Advisory on Top Cyber Misconfigurations Highlights Urgency for Software Manufacturers to Incorporate Secure by Design Principles

Joint Advisory on Top Cyber Misconfigurations Highlights Urgency for Software Manufacturers to Incorporate Secure by Design Principles	トップ・サイバー誤設定に関する共同勧告は、セキュア・バイ・デザイン原則を取り入れるソフトウェア製造業者の緊急性を強調するものである。
Damaging cyber intrusions are far too common, causing harm to public and private organizations across every sector. While some of these intrusions use novel methods to gain access or move across a network, many exploit common misconfigurations. By ensuring strong configurations, we can significantly reduce the prevalence and impact of cyber-attacks.	有害なサイバー侵入はあまりにも一般的であり、あらゆる分野の公共・民間組織に被害をもたらしている。このような侵入の中には、斬新な方法でネットワークにアクセスしたり、ネットワーク上を移動したりするものもあるが、多くは一般的な設定の誤りを悪用するものである。強固な設定を確保することで、サイバー攻撃の蔓延と影響を大幅に減らすことができる。
Over the past several years, red and blue team operators at CISA and NSA have assessed organizations to identify how a malicious actor could gain access, move laterally, and target sensitive systems or information. These assessments have shown how common misconfigurations, such as default credentials, service permissions, and configurations of software and applications; improper separation of user/administration privilege; insufficient internal network monitoring; poor patch management, place every American at risk.	過去数年間、CISAとNSAのレッドチームとブルーチームのオペレータは、悪意のある行為者がどのようにしてアクセスし、横方向に移動し、機密性の高いシステムや情報を狙うかを特定するために、組織を評価してきた。これらの評価により、ソフトウェアやアプリケーションのデフォルトの認証情報、サービス権限、設定などの一般的な誤設定、ユーザー／管理者権限の不適切な分離、不十分な内部ネットワーク監視、不十分なパッチ管理などが、いかにすべてのアメリカ人を危険にさらしているかが明らかになった。
Today’s report, “NSA and CISA Red and Blue Teams Share Top Ten Cybersecurity Misconfigurations,” provides clear guidance to drive down these misconfigurations. While enterprises can and must take steps to identify and address these misconfigurations, we know that scalable progress requires urgent action by software manufacturers, particularly by adopting Secure by Design practices where software is designed securely from inception to end-of-life and by taking ownership to improve security outcomes of their customer.	本日発表された報告書「NSAとCISAのレッド・チームとブルー・チームがサイバーセキュリティの誤設定トップ10を共有」は、こうした誤設定を減らすための明確な指針を示している。企業はこれらの誤設定を特定し、対処するための措置を講じることが可能であり、また講じなければならないが、我々は、スケーラブルな進歩には、ソフトウェアメーカーによる緊急の行動が必要であることを知っている。特に、ソフトウェアが初期段階から使用終了まで安全に設計されるセキュア・バイ・デザインを採用し、顧客のセキュリティ成果を向上させるためにオーナーシップを持つことが必要である。
Every software manufacturer should urgently adopt the practices below to reduce the prevalence of common misconfigurations by design and every customer should demand adoption of these practices by every vendor.	すべてのソフトウエアメーカは、設計に起因する一般的な設定ミスの蔓延を低減するために、以下の実践方法を早急に採用すべきであり、すべての顧客は、すべてのベンダにこれらの実践方法の採用を要求すべきである。
・Embed security controls into product architecture from the start of development and throughout the entire software development lifecycle (SDLC) by demonstrating adoption of the National Institute of Standards and Technology’s (NIST) Secure Software Development Framework (SSDF).	・米国標準技術局（NIST）のセキュアソフトウェア開発フレームワーク（SSDF） の採用を実証することによって、開発当初からソフトウェア開発ライフサイクル （SDLC）全体を通じて、製品アーキテクチャにセキュリティ管理を組み込む。
・Eliminate default passwords.	・デフォルトのパスワードをなくす。
・Design products so that the compromise of a single security control does not result in compromise of the entire system.	・単一のセキュリティ・コントロールの侵害がシステム全体の侵害につながらないように製品を設計する。
・Provide high-quality audit logs to customers at no extra charge.	・高品質の監査ログを追加料金なしで顧客に提供する。
・Take steps to eliminate entire classes of vulnerabilities, such as by using memory-safe coding languages and implementing parameterized queries.	・メモリ・セーフなコーディング言語の使用やパラメータ化されたクエリの実装など、脆弱性のクラス全体を排除するための手段を講じる。
・Provide sufficient detail in audit records to detect bypass of system controls and queries to monitor audit logs for traces of such suspicious activity.	・システム制御の迂回を検出するための監査記録や、そのような不審な活動の痕跡がないか監査ログを監視するためのクエリを、十分に詳細に提供する。
・Mandating multifactor authentication (MFA) for privileged users and making MFA a default rather than opt-in feature for all users.	・特権ユーザーに対して多要素認証（MFA）を義務付け、すべてのユーザーに対してMFAをオプトインではなくデフォルトの機能にする。
The misconfigurations described in the advisory are too commonly found in assessments, hunts and incident response conducted by our teams and the TTPs are standard methods used by multiple cyber actors that have led to numerous compromises.	この勧告に記載されている誤設定は、我々のチームが実施した評価、調査、インシデント対応においてあまりにも一般的に見受けられるものであり、TTPは、多くの侵害を引き起こしてきた複数のサイバーアクターが使用する標準的な手法である。
Last week, CISA announced a new national campaign, Secure Our World, and one of the key elements is for technology providers (i.e., software manufacturers) to secure their products – protecting customers by making products secure by design. Technology providers know that individual and business consumers use the products they create every day. These products and systems are under constant attack by threat actors seeking to disrupt our way of life and steal data.	先週、CISAは新たな全国キャンペーン「Secure Our World」を発表したが、その重要な要素のひとつは、テクノロジー・プロバイダ（すなわちソフトウェア・メーカー）が自社製品のセキュリティを確保することである。テクノロジー・プロバイダは、個人や企業の消費者が、自分たちの作った製品を毎日使っていることを知っている。これらの製品やシステムは、我々の生活様式を破壊し、データを盗み出そうとする脅威行為者の絶え間ない攻撃にさらされている。
As America’s Cyber Defense Agency, CISA is charged with safeguarding our nation against ever-evolving cyber threats and to understand, manage, and reduce risk to the cyber and physical infrastructure that Americans rely on every hour of every day. Ensuring software is secure by design will help keep every organization and every American more secure.	アメリカのサイバー防衛機関として、CISAは、進化し続けるサイバー脅威から我が国を守り、アメリカ人が毎日毎時間依存しているサイバーおよび物理的インフラに対するリスクを理解し、管理し、軽減することを任務としている。ソフトウェアが設計上安全であることを保証することは、すべての組織とすべてのアメリカ人をより安全に保つことにつながる。
We know that neither the government nor industry can solve this problem alone, we must work together. We continue to call on every software company to commit to secure by design principles and take that critical next step of publishing a roadmap that lays out their plan to create products that are secure by design “out of the box”.	我々は、政府も産業界も単独ではこの問題を解決できないことを知っている。我々は、すべてのソフトウェア企業がセキュア・バイ・デザインの原則にコミットし、「箱から出してすぐに」セキュア・バイ・デザインの製品を作るための計画を示したロードマップを公開するという重要な次のステップを踏むことを求め続ける。