今年7月，美国网络安全与基础设施安全局（CISA）称，企业常关注推广最佳实践，但停止不良安全实践也同样重要。

CISA隶属美国国土安全部，正在编撰不良安全实践目录，列出可能增加企业风险的不良安全实践，尤其是那些支持指定关键基础设施或所谓国家关键职能（NCF）的企业。

CISA执行助理局长Eric Goldstein在博客中写道，包括CISA安全团队在内的安全从业人员常常专注推广他们应该采取的最佳实践，但重视停止不良安全实践也同样重要。

由于优先事项之间相互竞争、激励缺乏，或者资源限制妨碍了明智的风险管理决策，企业和机构往往会采用此类危险的技术实践，给国家安全、经济、关键基础和公共安全带来了难以承受的风险。

欲终结企业最具威胁的安全风险，需要企业在停止不良安全实践上作出努力。尽管不能代替实施强安全实践，但停止不良安全实践可以优先应该采取的那些安全措施。

CISA创建了一个页面，用于列出添加到此目录中的不良安全实践。

这张列表上的第一个不良安全实践，就是在关键基础设施和国家关键职能服务中使用不受支持的软件或者过时软件，这种做法既危险，又大幅提升了对国家安全、国家经济安全和国家公共卫生安全的风险。CISA写道，这种做法在互联网可接入技术中尤为恶劣。

第二条是在关键基础设施和国家关键职能服务中使用已知的、固定的和默认的口令及凭证，这种做法同样危险，也大幅增加了对国家安全、国家经济安全和国家公共卫生安全的风险。和第一种实践一样，这种做法在互联网可接入技术中也特别不良。

CISA指出，尽管这些实践是对关键基础设施和国家关键职能而言充满风险，但仍建议所有企业和机构采取必要的步骤和对话来解决和消除不良实践。该机构也承认自己的列表比较集中，但尽管列表并没有包括所有可能的不良实践，未含有特定实践并不意味着CISA认可此特定实践或认为其风险等级可以接受。

Goldstein在博客文章中写道：“‘专注关键少数’的原则是风险管理的基本要素。企业用于识别和缓解所有风险的资源有限，基于这种认知，‘专注关键少数’原则也应该成为每家企业安全战略方法的基本要素。”

最近几个月，CISA采取了一系列措施为防御者提供信息和工具，不良安全实践列表就是其中最新的举措。今年早些时候，该机构拓展了其开源库中的开源安全工具和管理脚本产品组合。本月，CISA共享了针对关键基础设施的勒索软件威胁情报，以及可增加运营技术资产及控制系统威胁的情报。CISA还持续警示安全从业人员实时发生的威胁，并发布漏洞咨询。

CISA不良安全实践目录页面：点击查看

来源：数世咨询