美国国家安全局（NSA）和美国网络防御局（CISA）就紧急网络安全问题发布了一份新的联合建议。这两个机构强调了美国多个政府部门的软件和 IT 配置存在的问题，同时为客户和制造商提供了建议。

继最近针对思科路由器的"BlackTech"威胁发出警告之后，美国国家安全局（NSA）和美国计算机信息安全协会（CISA）又发布了一份新的联合公告，指出了导致入侵和安全事件的十大"顶级网络错误配置"。公告称，来自这两个美国机构的红队（攻击模拟）和蓝队（IT 系统分析）在"过去几年"里一直在努力评估组织并找出 IT 配置中最常见的问题。

美国国家安全局和 CISA 的分析人员花了数年时间，试图了解恶意行为者如何获取访问权限、横向移动并"瞄准"美国联邦和地方各级政府机构的"敏感系统或信息"。他们探测了属于国防部（DoD）、联邦文职行政部门、州、地方、部落和领地（SLTT）政府以及私营部门的"许多网络"，寻找错误配置问题。

官方公告列出了 NSA 和 CISA 红蓝小组检测到的以下 10 种最常见的网络配置错误：

软件和应用程序的默认配置

用户/管理员权限分离不当

内部网络监控不足

缺乏网络分段

补丁和更新管理不善

绕过系统访问控制

多因素身份验证 (MFA) 方法薄弱或配置不当

网络共享和服务的访问控制列表（ACL）不足

凭证整洁度差

代码执行不受限制

这些错误配置说明了一个危险的趋势，即"许多大型组织都存在系统性弱点"，包括那些拥有成熟"网络态势"的组织。因此，美国国家安全局和 CISA 鼓励网络"捍卫者"和 IT 管理员实施咨询中的建议和缓解措施，从而降低被网络犯罪分子和 APT 行动者成功攻击的风险。

建议指出，IT 管理员应删除默认凭据并加固配置，禁用未使用的服务，并实施强大的访问控制。此外，还应实施定期和自动的补丁措施，特别是针对已知的漏洞。还应减少、限制、监控和定期审计管理账户和权限。

CISA 还强调了软件制造商必须采取的"紧急"IT 措施，以最大限度地降低安全配置错误的发生率，包括取消默认密码、在软件开发中采用安全设计方法、向客户免费提供"高质量审计日志"、将多因素身份验证（MFA）作为默认功能而非可选功能等。该机构还在推广其最近发起的"保护我们的世界"全国活动，该活动介绍了简单而有效的方法，帮助人们保护自己、家人和企业免受网络威胁。