圖片來源: 

CISA

包括資安在內的各個產業經常會以「最佳實踐」(Best Pratices),來描述產生最好結果的方法,不過,美國網路安全及基礎設施安全局(CISA)本周宣布,將打造資安的「不良實踐」(Bad Practices)來規勸組織儘量避免某些作法,以維護重要基礎設施的安全性。

CISA已於GitHub開闢了一個Bad Practices的討論區,以與外界交流,同時也先行提出3項不良實踐。

CISA指出,所有的組織,特別是那些負責設計重大基礎設施或是國家關鍵功能的組織,都應該部署有效的網路安全計畫,以防範網路威脅,並以適當的方式管理網路風險,而不良實踐則代表著那些特別不安全的作法。

目前被CISA認為是不良實踐的三大措施包括:於重要架構中使用已不被支援或生命周期已終止的軟體,指出這樣的作法將會提高國家安全風險,危害國家的經濟安全或國家公共衛生與安全;其次是於重要架構中使用已知、固定或預設的密碼與憑證;第三則是可存取重要架構的管理員,只採用單一認證就能遠端存取。此外,不管是哪一項措施,只要相關的系統是可自網路存取,其風險將會更高。

CISA歡迎產業或各級政府的IT專家及管理人員參與討論,以收集各界對不良實踐的看法與意見,並進一步討論如何消除這些現象。

熱門新聞

Advertisement