美国与加拿大、新西兰和澳大利亚结伴,共同发布防范与中华人民共和国有关联的网络活动的最佳做法,这些活动对关键基础设施、政府机构和企业构成严重威胁,
介紹
網路安全與基礎設施安全局(CISA)、國家安全局(NSA)、聯邦調查局(FBI)、澳洲信號局(ASD)、澳洲網路安全中心(ACSC)、加拿大網路安全中心(CCCS) 和紐西蘭網路安全中心(CCCS)國家網路安全中心 (NCSC-NZ) 警告稱,中華人民共和國 (PRC) 附屬威脅行為者侵入了全球主要電信提供商的網絡,以開展廣泛而重大的網絡間諜活動。編寫機構發布本指南是為了強調這一威脅,並為網路工程師和通訊基礎設施維護者提供最佳實踐,以增強他們的可見性並強化其網路設備,以防止中華人民共和國附屬機構和其他惡意網絡行為者成功利用這些漏洞。儘管本指南是為網路維護者和通訊基礎設施工程師量身定制的,但它也可能適用於擁有本地企業設備的組織。編寫機構鼓勵電信和其他關鍵基礎設施組織應用本指南中的最佳實踐。
截至本發布日期,已發現的與這些威脅行為者活動相關的利用或妥協與受害者基礎設施相關的現有弱點一致;沒有觀察到新的活動。修補易受攻擊的設備和服務以及整體保護環境將減少入侵機會並減輕攻擊者的活動。
加強知名度
在本指南中,可見性是指組織監控、偵測和了解其網路內活動的能力。高可見性意味著詳細了解網路流量、用戶活動和資料流,使網路防禦者能夠快速識別威脅、異常行為和漏洞。可見性對於網路工程師和維護人員至關重要,尤其是在識別和回應事件時。
監控
網路工程師
仔細審查和調查變更管理流程以外對網路設備(例如交換器、路由器和防火牆)的任何設定修改或變更。實施全面的警報機制來偵測未經授權的網路更改,包括異常路由更新、啟用的弱協定和設定變更(即對使用者和存取控制清單 [ACL] 的更改)。
集中儲存配置並推送到設備。不允許設備成為其配置的可信事實來源。監視配置,如果可行,請經常進行測試和覆蓋。
實施強大的網路流量監控解決方案。此解決方案應允許網路流資料匯出器和相關收集器策略性地以關鍵入口和出口位置為中心,從而提供客戶間流量的可見性。
如果可行,請限制管理流量向 Internet 的曝光。僅允許透過有限且強制的網路路徑進行管理,最好僅直接從專用管理工作站進行管理。
監視使用者和服務帳號登入是否存在可能表示潛在惡意活動的異常情況。驗證所有帳戶並停用不活動帳戶以減少攻擊面。監控管理環境內部和外部發生的登入。
實施安全、集中的日誌記錄,能夠分析和關聯大量來自不同來源的資料。透過 IPsec、TLS 或任何其他可用的加密傳輸選項對發送至遠端目標的任何日誌流量進行加密。此外,將日誌副本儲存在異地,以確保它們無法被修改或刪除。在裝置上啟用日誌記錄和審核並確保日誌可以從裝置上卸載。
如果可能,請實施安全資訊和事件管理 (SIEM) 工具來分析和關聯來自路由器的日誌和警報,以便快速識別安全事件。
確保日誌記錄發生在環境、網路作業系統、應用程式和軟體級別的所有級別,因為它與網路設備有關。
建立正常網路行為的基線,並定義安全設備規則以對異常行為發出警報。
確保環境中的設備和韌體清單是最新的,以實現有效的可見性和監控。
網路衛士
實施監控和網路管理功能,至少強制執行組態管理、自動執行日常管理功能,並對環境中偵測到的變更(例如連線、使用者和帳戶活動)發出警報。
了解基礎設施和生產飛地的架構,以及這兩個環境的交會或分離位置。繪製並了解網路管理飛地的邊界和入口/出口點。
了解哪些資產應該朝前,並刪除那些不該朝前的資產。密切監視接受來自公司網路外部的外部連接的所有設備,並調查任何不符合已知良好配置的配置,例如開放連接埠、服務或意外的通用路由封裝 (GRE) 或 IPsec 隧道使用情況。據觀察,威脅行為者正在利用面向外部的易受攻擊的服務和功能;因此,網路和安全操作的適當可見性至關重要。
如果合適,實施資料包擷取功能作為企業更廣泛可見性工作的一部分。根據組織需求確定捕獲位置和保留策略。
硬化系統和設備
強化設備和網路架構是一種縱深防禦策略。減少漏洞、改善安全配置習慣並遵循最佳實踐,可以限制中華人民共和國相關網路威脅和其他網路威脅的潛在入口點。
協議和管理流程
網路工程師
使用與操作資料流網路在實體上分離的帶外管理網路。確保網路基礎設施設備的管理只能來自帶外管理網路。此外,請確認帶外管理網路不允許設備之間有橫向管理連接,以防止一台設備受到威脅時發生橫向移動。確保設備管理與客戶和生產網路物理隔離。如果實施得當,帶外管理可以緩解許多威脅行為者的策略、技術和程序 (TTP)。
實施嚴格的預設拒絕 ACL 策略來控制入站和出站流量。確保記錄所有被拒絕的流量。為了獲得最大深度,請在與實施其他安全控制的設備分開的設備上實施。
透過使用路由器 ACL、狀態資料包檢查、防火牆功能和非軍事區 (DMZ) 構造來實現強大的網路分段。透過虛擬區域網路 (VLAN) 和專用 VLAN (PVLAN)(如果可能)的分離將提供額外的粒度邏輯分離。這應該作為更廣泛的深度防禦方法的一部分來完成,以保護和隔離不同的設備組。
將面向外部的服務(例如網域名稱系統 (DNS)、Web 伺服器和郵件伺服器)放置在 DMZ 中,以提供與內部 LAN 和後端資源的隔離。
此外,作為一般策略,將具有相似用途的設備放在同一個 VLAN 中。例如,將某個團隊的所有使用者工作站放置在一個 VLAN 中,而將另一個具有不同功能的團隊放置在單獨的 VLAN 中。
不要透過互聯網管理設備。僅允許從受信任網路上的受信任裝置進行裝置管理。使用連接到專用管理區域的專用管理工作站 (DAW)。
如果可能的話,透過限制外部暴露並將連接埠暴露限制在最低要求(例如 udp/500、udp/4500 和協定類型 50 (ESP))來強化和保護虛擬專用網路 (VPN) 閘道。確保所有 VPN 均配置為僅使用強加密技術進行金鑰交換、驗證和加密。 [1]
停用未使用的 VPN 功能和加密演算法,以防止可利用的漏洞。
確保流量在最大程度上進行端對端加密。
作為管理策略,使用 ACL 控制對裝置虛擬電傳打字機 (VTY) 線路的訪問,以限制入站橫向移動連接。
此外,停用出站連接以減輕橫向移動。監視更改,因為攻擊者可以修改受感染設備上的此配置以允許出站連線。
確保所有身分驗證、授權和記帳 (AAA) 日誌記錄均安全地傳送至具有現代機密性、完整性和驗證 (CIA) 保護的集中式日誌記錄伺服器。
如果使用簡單網路管理協定 (SNMP),請確保僅使用具有加密和驗證功能的 SNMP v3,以及 ACL 保護以防止不必要的公開暴露。確保使用硬體支援的最安全的加密選項進行配置。
停用所有不必要的發現協議,例如思科發現協定 (CDP) 或連結層發現協定 (LLDP)。如果需要,僅在必要的介面上啟用。
確保在任何支援 TLS 的協定上使用傳輸層安全性 (TLS) v1.3,以保護透過網路傳輸的資料。 [2] 確保 TLS 配置為僅使用強加密密碼套件。 [3]
使用基於公鑰基礎設施 (PKI) 的憑證而不是自簽名憑證。
實施穩健的流程以在憑證過期之前更新憑證。
停用 Internet 協定 (IP) 來源路由。
停用 Secure Shell (SSH) 版本 1。有關可接受演算法的更多信息,請參閱 NSA 的 網路基礎設施安全指南。
至少配置 3072 位元 RSA 金鑰。
配置至少 4096 Diffie-Hellman 金鑰大小(組 16)。
如果可能,將安全身份驗證應用於允許安全身份驗證的協定和服務,例如網路時間協定(NTP)、終端存取控制器存取控制系統(TACACS+)、開放最短路徑優先(OSPF)、邊界網關協定(BGP ) 和熱備用路由器協定 (HSRP)。同樣,禁用任何未經身份驗證的管理協定或功能,例如思科智慧安裝。
建置 VPN 時使用安全加密建置區塊,例如 [3]:
密鑰交換:
具有 3072 位元模指數 (MODP) 的 Diffie-Hellman Group 15
具有 4096 位元模指數 (MODP) 的 Diffie-Hellman Group 16
具有 384 位元橢圓曲線組 (ECP) 的 Diffie-Hellman Group 20
加密:AES-256
哈希:SHA-384 或 SHA-512
確保未使用預設密碼。
首次使用時更改所有預設密碼。
確保沒有密碼重設為預設值。
使用受信任的雜湊計算實用程式(如果可用)確認正在使用的軟體映像的完整性。
如果實用程式不可用,請在受信任的管理工作站上計算軟體映像的雜湊值,並將供應商在經過驗證的網站上發布的雜湊值作為可信賴的事實來源進行比較。這可能需要參與設備的維護合約來存取真實哈希值的來源。為了提高安全性,請將影像複製到取證工作站並計算雜湊值以與供應商發布的雜湊值進行比較。
網路衛士
停用任何不必要的、未使用的、可利用的或純文字服務和協議,例如Telnet、檔案傳輸協定(FTP)、簡單FTP (TFTP)、SSH v1、超文本傳輸協定(HTTP) 伺服器和SNMP v1/v2c。確保任何所需的網路公開服務均受到 ACL 的充分保護並已完全修補。
對已知的面向互聯網的基礎設施進行連接埠掃描和掃描,以確保無法透過網路或網際網路存取其他服務。刪除不必要的面向互聯網的基礎設施,監控必要的面向互聯網的基礎設施,並持續驗證架構。
與軟體層級相比,具有活動 shell 環境的路由器(即使未被篡改)在作業系統 (OS) 層級運行的偵聽器要多得多。
網路防禦者和網路工程師應確保密切協作和開放溝通,以實現以下目標:
確保儲存、追蹤並定期審核所有網路配置,以確保符合安全策略和最佳實務。
每當傳輸網路配置用於儲存、追蹤和故障排除時,請確認它們是使用加密協定發送的。此外,請確保它們沒有附加到純文字電子郵件或透過 FTP 或 TFTP 傳送。
監控硬體設備、作業系統版本和軟體的供應商生命週期終止 (EOL) 公告,並儘快升級。
實施可預測例行修補程式和緊急修補程式的變更管理系統。持續監控供應商漏洞和修補程式公告,並確保及時應用修補程式。確保使用供應商推薦的作業系統版本來實現所需的特性和功能。
作為變更和修補程式管理流程的一部分,測試和驗證修補程式。
作為更廣泛的密碼策略的一部分,使用安全雜湊演算法儲存密碼。密碼應滿足複雜性要求,並應使用單向雜湊演算法或唯一密鑰(如果可用)進行儲存。創建密碼策略時請遵循 美國國家標準與技術研究所的指南。
要求 對存取公司係統、網路和應用程式(包括對路由器的敏感管理存取)的所有帳戶進行防網路釣魚的多重身份驗證 (MFA) 。 MFA 應結合使用憑證和防網路釣魚的二次驗證方法(例如基於硬體的 PKI 或 FIDO 身份驗證)來確保安全存取並防止未經授權的進入。
作為更廣泛的身份和存取管理策略的一部分,僅在緊急情況下使用本機帳戶,並在每次使用後變更密碼。驗證每次使用均已授權且符合預期。對於網路基礎架構的日常管理,使用支援多因素身份驗證要求的集中式 AAA 伺服器;但是,請確保 AAA 伺服器未連結到主要企業身分儲存。
限制會話令牌持續時間並要求使用者在會話過期時重新進行身份驗證。進行審核以確定每個角色的標準會話持續時間,以實現會話過期。
實施基於角色的存取控制 (RBAC) 策略,將使用者指派給具有定義和繼承權限的特定角色,以便更好地控制和管理使用者可以執行的操作。
刪除任何不必要的帳戶並定期檢查帳戶以驗證它們是否仍然需要。應用最小權限原則,確保帳戶僅具有完成其任務所需的最小權限。此外,持續監控正在使用的帳戶。
思科特定指南
通訊產業的組織應該意識到,創作機構已經觀察到思科特定的功能經常成為這些中國網路威脅行為者活動的目標,並與之相關。為了解決這些特定威脅行為者利用的風險,編寫機構敦促組織將以下強化最佳實踐應用於所有思科作業系統。有關更多信息,請參閱思科的IOS XE 強化指南和保護 NX-OS 軟體設備指南。
使用 停用 Cisco 的智慧安裝服務no vstack。
如果不需要,請停用 guestshell disable支援 guestshell 服務的版本的 guestshell 存取。
停用所有非加密的 Web 管理功能。如果需要 Web 管理,請依照供應商建議的安全設定和軟體映像設定伺服器。
始終使用 停用底層非加密 Web 伺服器no ip http server。如果不需要 Web 管理,請使用no ip http server和停用所有底層 Web 伺服器no ip http secure-server。
透過將所有 VTY 節配置為 來停用 telnet 並確保它在任何 VTY 線路上不可用 transport input ssh and transport output none。
為了在思科設備上安全地儲存密碼,組織應該:
盡可能使用 Type-8 密碼。
儲存密碼時避免使用已棄用的雜湊或密碼類型,例如 Type-5 或 Type-7。
如果支持,請將 TACACS+ 金鑰保護為 Type-6 加密密碼。
事故報告
美國組織: 如果發現可疑活動,請聯絡您當地的 FBI外地辦事處或 FBI網路犯罪投訴中心(IC3)。您也可以透過致電 1-844-Say-CISA (1-844-729-2472)、發送電子郵件至 report@cisa.dhs.gov或造訪cisa.gov/report線上報告,向 CISA 報告網路事件。對於 NSA 客戶要求或一般網路安全查詢,請聯絡Cybersecurity_Requests@nsa.gov。
澳洲組織: 請造訪 cyber.gov.au 或致電 1300 292 371 (1300 CYBER 1) 報告網路安全事件並取得警報和建議。
加拿大組織: 透過電子郵件至 CCCS contact@cyber.gc.ca報告事件。
紐西蘭組織: 向Incidents@ncsc.govt.nz報告網路安全事件或致電 04 498 7654。
設計安全
創作機構敦促軟體製造商將安全設計原則納入其軟體開發生命週期,以加強客戶的安全狀況。軟體製造商應優先考慮安全設計配置,以消除客戶實施強化指南的需要。此外,客戶應該要求他們購買的軟體在設計上是安全的。有關安全設計的更多信息,請參閱 CISA 的安全設計網頁。客戶應參閱 CISA 的「按需安全」指南,以了解其他產品安全注意事項。
資源