CISA着手打造资安的“不良实践”列表

包括资安在内的各个产业经常会以“最佳实践”（Best Pratices），来描述产生最好结果的方法，不过，美国网络安全及基础设施安全局（CISA）本周宣布，将打造资安的“不良实践”（Bad Practices）来规劝组织尽量避免某些作法，以维护重要基础设施的安全性。

CISA已于GitHub开辟了一个Bad Practices的讨论区，以与外界交流，同时也先行提出3项不良实践。

CISA指出，所有的组织，特别是那些负责设计重大基础设施或是国家关键功能的组织，都应该部署有效的网络安全计划，以防范网络威胁，并以适当的方式管理网络风险，而不良实践则代表着那些特别不安全的作法。

目前被CISA认为是不良实践的三大措施包括：于重要架构中使用已不被支援或生命周期已终止的软件，指出这样的作法将会提高国家安全风险，危害国家的经济安全或国家公共卫生与安全；其次是于重要架构中使用已知、固定或预设的密码与凭证；第三则是可存取重要架构的管理员，只采用单一认证就能远端存取。此外，不管是哪一项措施，只要相关的系统是可自网络存取，其风险将会更高。

CISA欢迎产业或各级-的IT专家及管理人员参与讨论，以收集各界对不良实践的看法与意见，并进一步讨论如何消除这些现象。