美CISA首度發布Security by Design警報，製造商需保護網頁管理介面、拒用預設密碼

關於遵循「安全設計（Security by Design）」原則已宣導多年，如何讓更多人認清這方面的問題，並實際採取行動，是軟體開發界、資安界持續面臨的挑戰。一個多月前，美國網路安全暨基礎設施安全局（CISA）為此特別發布新型態資安警報，他們強調在軟體開發生命周期中，若未實施安全措施，將造成危害，希望進一步促進製造商重視此議題，扭轉全球資安風險態勢，避免不安全的產品持續危及企業、家庭，以及關鍵基礎設施（CI）。

值得關注的是，過去CISA發布的資安警告與通報（Alerts & Advisories），都是聚焦在「最新的攻擊」，以及「軟體的漏洞」，最近他們發布有別於上述的全新警報系列，名為Security by Design Alert，我們認為此舉相當別具意義，這意味著資安推動將更正式邁向軟體開發實踐，進一步在更早期的階段解決相關問題。

CISA發布的兩份警報，一份是聚焦在敦促製造商應該主動保護網頁管理介面，避免遭受惡意網路活動，另一份是要製造商拒用預設密碼，避免相關濫用威脅。可以想見的是，接下來CISA還會針對不同主題，持續發布這方面的警報。

這方面的內容，也將能作為我國企業組織的重要參考與借鏡。因為對於資通訊產業發達的臺灣而言，近年政府持續推動將資安概念與重點融入產業發展政策，Security by Design亦是一大發展重點。

減少國家風險，提醒防禦者因應，還要促進軟體製造商改變

有了最新攻擊警報及軟體漏洞警報，為何CISA還要發布全新的Security by Design類型警告？他們表示，如果想要減少國家的風險，不只是提醒防禦者最新的攻擊與軟體的漏洞，更需要深入軟體開發的面向。

過去CISA通常將重點放在向防禦者宣導，使他們了解應該怎麼做，才能預防或應對，現在這個新系列警報的對話目標，則是軟體製造商，並著重說明供應商的決策能幫助全球減少相關危害，同時也告訴這些製造商可以遵循哪些原則，主動消除所帶來的風險。

例如，當我們看到一個漏洞或入侵活動，如果製造商在開發過程遵循安全設計原則，就可以避免這些問題。因此，需要提醒製造商從根因（root cause）分析角度出發，採取具體改善行動，以減少同樣類型問題造成的資安風險。

未來，CISA如有更進一步的規範，這些指引內容也能作為企業後續改良安全設計的依據，一旦發生相關資安事件時，也能以此作為究責的參考標準。

接下來，讓我們看看目前CISA最新發布的安全設計警告，首先聚焦於哪些面向：

警報1：保護網頁管理介面、防範惡意網路活動

在首個警報中，CISA強調保護網頁管理介面。儘管CISA並未說明原因，為何以此面向作為首個警報，根據我們推測，現在各式連網設備幾乎都有網頁介面，使用者可能以此遠端管理設備，但若設定不良，可能有被駭客接管的風險。

CISA指出，產品的資安防護不足導致駭客與惡意軟體有機可乘的狀況，很多廠商會質疑客戶為何不做好資安，以避免這樣的事件？

然而，資安防護並不只是用戶層面的問題，產品製造商也必須負起責任，因為所有的產品都應該在開發的階段，就導入適當的設計，盡可能減少漏洞，並阻止這些漏洞遭到濫用，例如，利用內建的風險緩解措施，減輕客戶資安防護負擔，也可以避免大規模的危害。

為此CISA建議，可參考CISA去年發布的《安全設計與預設的原則和方法》，遵循當中提及3大原則中的前2項原則。

具體而言，廠商應從持續發生的針對網頁管理介面的惡意網路活動，汲取教訓，在安全設計的層面，秉持兩大原則，分別是：「對客戶的資安負起全部責任」，以及「更徹底擁抱的透明度與當責。」

以第一項原則而言，軟體製造商應投資發展關鍵安全領域，包括強化應用程式安全強化、應用程式功能，以及預設配置。如此才能減少潛在的攻擊面與提高防禦能力，而檢查預設配置也是一大重點。

具體而言，如果我們要保護系統、使其遠離公開網路環境，就不應該天真地認為客戶就會照辦，而是在產品設計導入資安最佳實務。CISA在此舉出三例：

一、產品預設禁用網頁介面，並提供說明指引，列出更改預設配置可能帶來的風險，並以技術和非技術的方式解釋。

二、產品若處於有弱點的狀態時，需強制停止運作，例如直接暴露於網際網路。

三、警告管理者，變更產品的預設狀態將可能導致組織面臨重大風險。

此外，軟體製造商也要現場測試，以瞭解客戶如何在其環境部署產品，以及客戶是否以不安全的方式部署產品，掌握這些資訊之後。將有助於識別建立產品的方式，並促使客戶能夠以安全的方式使用產品。同時，需在整個產品範疇內應強制實施身分驗證，尤其是涉及管理者登入的關鍵介面。

在第二項原則，CISA建議軟體製造商揭露產品漏洞時，應優先注重資訊的透明度。換言之，要挖掘漏洞的根本原因，並且做好完整的漏洞（CVE）內容的公布，以及正確漏洞類型（CWE）的揭露，這不僅是有助於客戶了解與評估風險，對於其他製造商而言，有了這些資訊之後，能幫助其他業者識別相關漏洞或同類型漏洞，並且採取行動，促使更多製造商也能從中學到教訓，進而反思本身該如何改良產品資安。

警報2：拒用預設密碼

在企業環境或各種裝置與軟體系統上使用預設密碼，雖然降低操作複雜性，但也等於為攻擊者大開方便之門，因此現在很多資安管理規範都會要求：預設密碼需於登入後強制變更密碼。

不過CISA指出，雖然他們一再提醒企業組織，現況並未好轉，網路攻擊者仍持續利用預設密碼（如1234、default、password等），來攻擊暴露在網際網路上的系統，像是美國最近幾個月遭遇的資安事故，是伊朗政府資助的駭客組織，利用OT產品的預設密碼入侵美國的關鍵基礎設施系統。

有鑑於這類事故層出不窮，CISA建議每個技術製造商都應該開始採取行動。這是因為，要求客戶更改密碼，並不足以防範相關威脅，只有製造商共同採取行動，才能適當應對這類威脅，尤其是在關鍵基礎設施系統方面。

從當前的網路威脅情勢來看，使用廣為人知的預設密碼就是資安風險。而事實上，製造商提供的產品，本身應該採取安全且妥善的預設組態。

CISA建議，可參考CISA去年發布的《安全設計與預設的原則和方法》，遵循當中提及3大原則中的第一項與第三項原則，分別是：「對客戶的資安負起全部責任」，以及「建立組織結構與領導階層來實現目標。」

以第一項原則而言，製造商應投資發展關鍵安全領域，尤其是在預設配置方面，產品應對合理可預見的威脅，提供妥善的資安保護。例如，攻擊者可在網際網路上查找預設密碼，並對暴露網際網路的裝置進行測試，這樣的風險已是顯而易見的情形。

CISA建議製造商可選擇其他作法，這裡舉出三例：

一、針對產品提供獨一無二的設定密碼

二、提供單次且有效期限制的密碼，並要求啟用更安全的身份驗證方式，如抗網釣MFA。

三、要求初始設定必需實體存取，並採指定的獨特憑證。

如在某些情況或特定產品下，並無法採用上述作法，製造商也該謹這項原則的目標，在於建立持久的安全性，製造商不應假設客戶知道──他們必須關閉那些不安全的預設配置。

此外，CISA還提及一件事，製造商應確保最簡單的使用方式，也就是最安全的使用方式。像是許多製造商能夠支援企業的身分存取管控，像是整合單一登入SSO，而且不需額外收費，並在流程上引導客戶使用。

至於第3項原則，是建立組織結構與領導階層，後續才能順利推動「拒用預設密碼」。這意味著不只是由上而下的要求，還要有組織架構與體系的配合，促使預設安全的資安策略能夠真正落實。

基本上，製造商要確保內部人員清楚一件事：資安問題就是產品與公共安全問題，尤其是負責設計、開發與交付的相關部門人員。因此，對於設計與開發的團隊而言，需瞭解客戶如何使用產品，以及相關配置如何產生，進而能夠減輕資安風險。

同時，團隊主管也要在產品設計與開發初期，在商業流程上建立相關激勵制度，並且分配足夠的資源，以便實現這些目標。

推動產品安全設計成全球資安共識，歐美各國政府動作頻頻

在軟體工程中，不論軟體安全開發生命週期（SSDLC）、安全設計等概念，長期以來都受到持續宣導，其概念就是要讓安全實踐引入每個軟體開發生命週期，要讓產品開發是基於安全的設計，有預設的安全。

這些概念過去幾年受到越來越多公司的重視，我們看到一些科技大廠自發、主動施行，並且經常分享相關的方法論與做法，但落實與改變速度仍然太慢。

如今情況有望扭轉，因為最近一年多來，我們看到各國政府都在積極推動這方面的要求。例如，歐盟執行委員會發展資安韌性法（Cybersecurity Resilience Act），規範所有進入歐盟市場的IoT設備，包含軟體及硬體，都必須採用安全設計，希望減少不安全網路產品所帶來的用戶與社會成本，2024年待正式批准。

美國CISA在2022年發布《NIST軟體開發安全框架》（SSDF），2023年4月又聯合9個國家安全機構，共同發布《改變資安風險平衡：安全設計軟體的原則和方法》，10月推出更新版，並與日本、南韓等17個國家的安全機構聯合發布。

最近一個多月，CISA持續擴大推動安全設計的力道，新發布這類型的資安警報。他們強調，安全的最佳實踐不應依賴客戶執行，而是應由產品本身來執行，才能真正減緩相關風險。