CISA稱,，正如最近的事件所表明的，針對關鍵基礎設施的網(wǎng)絡攻擊可能會對政府和私營部門的關鍵職能產(chǎn)生重大影響,。所有組織，特別是支持指定關鍵基礎設施或國家關鍵功能（NCF）的組織,，應實施有效的網(wǎng)絡安全計劃,，以防范網(wǎng)絡威脅并管理網(wǎng)絡風險，其方式應與這些關鍵基礎設施或國家關鍵功能（NCF）對國家安全,、國家經(jīng)濟安全和/或國家公共衛(wèi)生安全,？的重要性相稱。

　　CISA正在開發(fā)這樣一個異常危險的“不良實踐”目錄,，特別是在支持關鍵基礎設施或NCF的組織中,。在支持關鍵基礎設施或NCF的組織中，這些“不良實踐”的存在是非常危險的,，并增加了關鍵基礎設施的風險,，而國家安全、經(jīng)濟穩(wěn)定以及公眾的生命、健康和安全都依賴于這些基礎設施,。目錄中的條目將在添加時逐一列出,。

　　實際上，每個行業(yè)都有一套實踐者認為的“最佳實踐”,。網(wǎng)絡安全也不例外,，有一系列令人眼花繚亂的標準、指導和經(jīng)驗教訓,。但美國國土安全部國內(nèi)網(wǎng)絡防御的主要機構(gòu)——CISA發(fā)布了“不良實踐”的第一個版本,。這個簡單的清單并不完整,，而且只是一個起點,，還有更多的后續(xù)工作。

　　這些“不良實踐”的目的是——盡管不限于——教育關鍵的基礎設施所有者和運營商,。當然,，這包括國防工業(yè)基地和許多支持其供應鏈的企業(yè)——從通信設備和高科技能力到軍用硬件（如坦克、飛機和艦船）的電氣和機械部件,。

　　這些實體通常履行國家的關鍵職能,。全國非政府組織圍繞四個領域組織- -連接、分配,、管理和供應- -這四個領域被認為對軍事,、政府和更廣泛的國民經(jīng)濟的持續(xù)運轉(zhuǎn)至關重要。

　　政府認為,，任何攻擊,、降級或破壞國家關鍵功能（NCF）都構(gòu)成威脅，包括對經(jīng)濟和公眾健康的潛在威脅,。因此,，除了CISA經(jīng)常公布的無數(shù)最佳實踐之外，該網(wǎng)絡安全機構(gòu)還開始制定一份應該明確的網(wǎng)絡安全禁忌清單,。

　　從表面上看,，這個列表是如此顯而易見，以至于不需要說出來,。但過去的網(wǎng)絡事件表明,，這些做法仍被廣泛使用。

　　CISA 列出的第一個“不良實踐”是使用過時的軟件,，其中可能包括具有已知漏洞的版本,，這些版本的安全補丁可以獲得，或者供應商不再支持代碼更新的生命周期終止的版本,，包括補丁,。

　　然而，過時軟件的使用很普遍,，最近的例子就是2021年早些時候微軟Exchange服務器的網(wǎng)絡間諜活動,。據(jù)安全公司Riskkiq稱,，據(jù)此前報道，截至3月2日,，即微軟披露此次攻擊的當天,，估計全球有40萬個過時的Exchange軟件版本在運行。

　　另一個例子是2017年的“WannaCry”事件,，該事件影響了全球幾乎所有經(jīng)濟部門的約30萬臺計算機,。根據(jù)安全評級公司BitSight的數(shù)據(jù)，其中67%的用戶推遲了升級到Windows 7的時間,。

　　多年來,，安全研究人員一直強調(diào)在關鍵基礎設施領域使用過時的軟件和操作系統(tǒng)版本及其相關風險。問題是,，應用軟件設計為運行在較舊操作系統(tǒng)上,，將操作系統(tǒng)更新到較新的版本可能會費時、困難和/或昂貴,。給這樣的操作系統(tǒng)和它們運行的軟件打補丁也很困難,，因為關鍵的基礎設施停機被認為是不可接受的。

　　但這不只是特殊情況,，比如關鍵的基礎設施,。一組研究人員最近公布了對560萬個網(wǎng)站18個月的分析結(jié)果，發(fā)現(xiàn)95%的網(wǎng)站依賴于過時的軟件,，這些軟件至少存在一個已知的漏洞——以及一個相關的安全補丁,。

　　雖然這些數(shù)字——40萬、30萬或560萬——在全球IT界看來可能相對較小,，但問題不在于數(shù)量,，而在于不更新系統(tǒng)和軟件的質(zhì)量上缺乏合理的借口。一些關鍵的基礎設施運營商可能會說他們有一個理由——無論這個理由在安全專業(yè)人士,、立法者,、監(jiān)管者和普通公眾看來多么似是而非——但是絕大多數(shù)的網(wǎng)絡管理員根本就沒有。

　　CISA列出的第二個“不良實踐”是使用弱口令,。弱口令包括：太短（標準指南是超過8個字符,，但隨著蠻力破解的計算能力不斷增強，建議不少于12個字符）,、太容易猜測（例如Password123和那些使用字典單詞的口令）,、太簡單（例如：那些沒有使用隨機數(shù)字、符號,、大寫字母和小寫字母的組合）,。

　　原因應該為大多數(shù)人所知和熟悉：短的，易猜測的和/或簡單的口令可以很容易地用黑客工具破解免費，甚至不需要太高級的技能,。

　　糟糕的口令衛(wèi)生的第二個方面是在不同賬戶之間重復使用口令,。原因是，如果網(wǎng)絡威脅者破解或獲得一個賬戶的口令,，那么他們就可以隨時訪問所有其他共享相同口令的賬戶,。

　　賬戶登錄用憑據(jù)失竊被惡意利用的典型案例已經(jīng)數(shù)不勝數(shù)，就今年年初美國發(fā)生的兩起自來水廠遭投毒事件,，均是某員工的TEAMVIEW賬戶被盜用,，幸好及時發(fā)現(xiàn)投毒未遂。而另一起引發(fā)全球關注的Colonial油氣管道公司被勒索導致油氣供應緊張,，令美國政府和白宮高度恐慌,，事件的調(diào)查顯示最初侵入網(wǎng)絡的是一個被遺忘的VPN賬戶，該賬戶的口令是已經(jīng)被cracked,。

　　網(wǎng)絡威脅者也越來越多地使用一種名為“口令噴灑”的攻擊方法,，他們使用一個通用口令（例如admin123）來訪問盡可能多的賬戶。

　　雖然破解的重點是使用多個口令訪問一個帳戶,，但噴灑的目標是破壞多個共享相同口令的帳戶。噴灑被視為一種規(guī)避賬戶鎖定的方法,，如果采取適當?shù)陌踩胧?，可能會引發(fā)賬戶被鎖定。網(wǎng)絡威脅行為者可以試圖破解或噴灑任何賬戶,，但這種做法對基于網(wǎng)絡的賬戶登錄尤其普遍,。

　　作為最佳實踐，管理員還應該每90天更改口令,。然而,，周期性地修改口令，會讓用戶陷入另外個一個困境,，他需要在修改和便于記憶之間取得平衡,，極有可能選擇某種有規(guī)律性的口令格式。此時,，選擇類似Keepass這類口令管理器是一種可行的辦法,。但新問題又來了，“雞蛋放在一個籃子里”的新困擾又誕生了,！

　　CISA的“不良實踐”并不新鮮,，也不是開創(chuàng)性的。然而,，不幸的是,，根據(jù)研究、調(diào)查和已知事件，它們還得重復,。也許結(jié)論是這樣的：即使一個組織沒有時間去獲取知識,，或有足夠的金錢去雇傭在已知的網(wǎng)絡安全最佳實踐的迷宮中具有專業(yè)知識的從業(yè)者，至少要避免輕率,、疏忽和愚蠢,。避免這些完全可以預防的“不良實踐”。