美國CISA將提供資安「不良實踐指引」

美國國土安全部之網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)將提供資安「不良實踐指引」(Bad Practices),宣導避免重蹈覆轍,以維護關鍵基礎設施安全。

 

CISA指出所有組織,特別是與國家關鍵基礎設施相關之組織,皆應訂定有效之網路安全計畫以防範網路威脅,並採用適當方式管理網路風險,而不良實踐則表示特別不安全之作法。

 

CISA已於GitHub設立Bad Practices討論區,邀請外界協同合作,同時先行提出3項不良實踐,首先係於重要架構中使用已不被支援或生命週期已終止之軟體;其次為於重要架構中使用已知、固定或預設之密碼憑證;第3則為可存取重要架構之管理員,僅採用單一認證機制即可遠端登入進行存取。

 

CISA歡迎各界專業人員共同參與討論,以蒐集各界對不良實踐之看法與意見,並進一步討論如何緩解不良實踐。

Reference

資料來源:

https://www.cisa.gov/BadPractices

https://github.com/cisagov/bad-practices/discussions

https://www.forbes.com/sites/forbestechcouncil/2021/08/12/a-cybersecurity-stop-sign-cisa-introduces-bad-practices/?sh=350c1a842d6c