CISA著手打造資安的「不良實踐」列表

包括資安在內的各個產業經常會以「最佳實踐」（Best Pratices），來描述產生最好結果的方法，不過，美國網路安全及基礎設施安全局（CISA）本周宣布，將打造資安的「不良實踐」（Bad Practices）來規勸組織儘量避免某些作法，以維護重要基礎設施的安全性。

CISA已於GitHub開闢了一個Bad Practices的討論區，以與外界交流，同時也先行提出3項不良實踐。

CISA指出，所有的組織，特別是那些負責設計重大基礎設施或是國家關鍵功能的組織，都應該部署有效的網路安全計畫，以防範網路威脅，並以適當的方式管理網路風險，而不良實踐則代表著那些特別不安全的作法。

目前被CISA認為是不良實踐的三大措施包括：於重要架構中使用已不被支援或生命周期已終止的軟體，指出這樣的作法將會提高國家安全風險，危害國家的經濟安全或國家公共衛生與安全；其次是於重要架構中使用已知、固定或預設的密碼與憑證；第三則是可存取重要架構的管理員，只採用單一認證就能遠端存取。此外，不管是哪一項措施，只要相關的系統是可自網路存取，其風險將會更高。

CISA歡迎產業或各級政府的IT專家及管理人員參與討論，以收集各界對不良實踐的看法與意見，並進一步討論如何消除這些現象。