CISA 与 USCG 在关键基础设施威胁狩猎中发现网络安全改进领域

发布日期：2025 年 7 月 31 日

警报代码：AA25-212A

摘要

网络安全和基础设施安全局（CISA）与美国海岸警卫队（USCG）联合发布此网络安全咨询，介绍近期威胁狩猎活动的发现。本咨询旨在突出已识别的网络安全问题，帮助其他组织的安全防御人员了解潜在类似问题，并鼓励他们采取主动措施加强网络安全态势。

CISA 在美国关键基础设施组织进行了主动威胁狩猎，期间未发现恶意网络活动证据，但识别出以下网络安全风险：

• 日志记录不足

• 凭据存储不安全

• 多台工作站共享本地管理员凭据

• 本地管理员账户无限制远程访问

• IT 与运营技术（OT）资产间网络分段配置不足

• 多个设备配置错误

技术细节

关键发现

共享本地管理员账户与非唯一明文存储密码

细节：CISA 发现少数本地管理员账户使用非唯一密码，这些账户在多台主机间共享。每个账户的凭据以明文形式存储在批处理脚本中。

潜在影响：明文凭据存储增加了广泛未授权访问风险，非唯一密码使用促进了网络内横向移动。

IT 与运营技术环境间网络分段配置不足

细节：评估客户 IT 与 OT 环境互连性时，CISA 发现 OT 环境配置不当。标准用户账户可直接从 IT 主机访问监控与数据采集（SCADA）虚拟局域网（VLAN）。

潜在影响：OT 网络分段配置不足和非特权用户使用其凭据访问关键 SCADA VLAN 存在安全风险，可能影响人员安全、基础设施完整性和设备功能。

日志保留与实施不足

细节：CISA 无法按计划狩猎所有 MITRE ATT&CK 程序，部分原因是组织的事件日志系统不足以支持此分析。

潜在影响：缺乏全面详细日志阻碍了基于行为和异常的检测，使网络面临未检测横向移动和未授权访问风险。

其他发现

生产服务器 sslFlags 配置错误

细节：CISA 在生成 IIS 服务器上检查 ApplicationHost.config 文件，发现 HTTPS 绑定配置为 sslFlags="0"，这使 IIS 保持传统的"每 IP 一个证书"模式。

生产服务器结构化查询语言连接配置错误

细节：CISA 审查生产服务器上的 machine.config 文件，发现为配置文件和角色提供程序配置了集中数据库连接字符串 LocalSqlServer。

缓解措施

CISA 和 USCG 建议关键基础设施组织实施以下缓解措施：

为管理员账户实施唯一凭据和访问控制措施

• 在所有系统上为本地管理员账户配置唯一复杂凭据

• 要求对所有管理访问实施防网络钓鱼多因素认证（MFA）

• 使用专用于管理任务的特权访问工作站（PAW）

• 实施最小权限原则

安全存储和管理凭据

• 从 System Center Configuration Manager（SCCM）中清除凭据

• 不要将明文凭据存储在脚本中

• 使用加密通信

• 使用唯一本地管理员密码

在 IT 与 OT 环境间建立网络分段

• 评估现有网络架构确保 IT 与 OT 网络有效分段

• 在 IT 与 OT 环境间实施非军事区（DMZ）

• 考虑完整的网络重新架构

• 在适当时实施单向网关（数据二极管）

实施全面日志记录、日志保留和分析

• 在所有系统上实施全面详细日志记录

• 在带外集中位置聚合日志

• 持续监控日志以早期检测异常活动

• 安全存储日志备份并使用防篡改存储

验证安全控制

除应用缓解措施外，CISA 和 USCG 建议组织针对本咨询中映射到 MITRE ATT&CK 企业框架的威胁行为，演练、测试和验证安全程序。

联系信息

鼓励关键基础设施组织向以下机构报告与本咨询信息相关的可疑或犯罪活动：

• CISA 通过 CISA 24/7 运营中心

• 海岸警卫队国家响应中心

附录：MITRE ATT&CK 战术与技术

咨询中包含 9 个表格，详细列出了所有引用的威胁行为者战术和技术，涵盖初始访问、执行、持久化、权限提升、防御规避、凭据访问、发现、横向移动和命令与控制等战术类别。更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

办公AI智能小助手

公众号二维码

网络安全技术点滴分享