美國網絡安全與基礎設施安全局發布“不良安全實踐”目錄

今年7月，美國網絡安全與基礎設施安全局（CISA）稱，企業常關注推廣最佳實踐，但停止不良安全實踐也同樣重要。

CISA隸屬美國國土安全部，正在編撰不良安全實踐目錄，列出可能增加企業風險的不良安全實踐，尤其是那些支持指定關鍵基礎設施或所謂國家關鍵職能（NCF）的企業。

CISA執行助理局長Eric Goldstein在博客中寫道，包括CISA安全團隊在內的安全從業人員常常專注推廣他們應該采取的最佳實踐，但重視停止不良安全實踐也同樣重要。

由于優先事項之間相互競爭、激勵缺乏，或者資源限制妨礙了明智的風險管理決策，企業和機構往往會采用此類危險的技術實踐，給國家安全、經濟、關鍵基礎和公共安全帶來了難以承受的風險。

欲終結企業最具威脅的安全風險，需要企業在停止不良安全實踐上作出努力。盡管不能代替實施強安全實踐，但停止不良安全實踐可以優先應該采取的那些安全措施。

CISA創建了一個頁面，用于列出添加到此目錄中的不良安全實踐。

這張列表上的第一個不良安全實踐，就是在關鍵基礎設施和國家關鍵職能服務中使用不受支持的軟件或者過時軟件，這種做法既危險，又大幅提升了對國家安全、國家經濟安全和國家公共衛生安全的風險。CISA寫道，這種做法在互聯網可接入技術中尤為惡劣。

第二條是在關鍵基礎設施和國家關鍵職能服務中使用已知的、固定的和默認的口令及憑證，這種做法同樣危險，也大幅增加了對國家安全、國家經濟安全和國家公共衛生安全的風險。和第一種實踐一樣，這種做法在互聯網可接入技術中也特別不良。

CISA指出，盡管這些實踐是對關鍵基礎設施和國家關鍵職能而言充滿風險，但仍建議所有企業和機構采取必要的步驟和對話來解決和消除不良實踐。該機構也承認自己的列表比較集中，但盡管列表并沒有包括所有可能的不良實踐，未含有特定實踐并不意味著CISA認可此特定實踐或認為其風險等級可以接受。

Goldstein在博客文章中寫道：“‘專注關鍵少數’的原則是風險管理的基本要素。企業用于識別和緩解所有風險的資源有限，基于這種認知，‘專注關鍵少數’原則也應該成為每家企業安全戰略方法的基本要素。”

最近幾個月，CISA采取了一系列措施為防御者提供信息和工具，不良安全實踐列表就是其中最新的舉措。今年早些時候，該機構拓展了其開源庫中的開源安全工具和管理腳本產品組合。本月，CISA共享了針對關鍵基礎設施的勒索軟件威脅情報，以及可增加運營技術資產及控制系統威脅的情報。CISA還持續警示安全從業人員實時發生的威脅，并發布漏洞咨詢。

CISA不良安全實踐目錄頁面：https://www.cisa.gov/BadPractices