CISA稱，正如最近的事件所表明的，針對關鍵基礎設施的網絡攻擊可能會對政府和私營部門的關鍵職能產生重大影響。所有組織，特別是支持指定關鍵基礎設施或國家關鍵功能（NCF）的組織，應實施有效的網絡安全計劃，以防范網絡威脅并管理網絡風險，其方式應與這些關鍵基礎設施或國家關鍵功能（NCF）對國家安全、國家經濟安全和/或國家公共衛生安全？的重要性相稱。

　　CISA正在開發這樣一個異常危險的“不良實踐”目錄，特別是在支持關鍵基礎設施或NCF的組織中。在支持關鍵基礎設施或NCF的組織中，這些“不良實踐”的存在是非常危險的，并增加了關鍵基礎設施的風險，而國家安全、經濟穩定以及公眾的生命、健康和安全都依賴于這些基礎設施。目錄中的條目將在添加時逐一列出。

　　實際上，每個行業都有一套實踐者認為的“最佳實踐”。網絡安全也不例外，有一系列令人眼花繚亂的標準、指導和經驗教訓。但美國國土安全部國內網絡防御的主要機構——CISA發布了“不良實踐”的第一個版本。這個簡單的清單并不完整，而且只是一個起點，還有更多的后續工作。

　　這些“不良實踐”的目的是——盡管不限于——教育關鍵的基礎設施所有者和運營商。當然，這包括國防工業基地和許多支持其供應鏈的企業——從通信設備和高科技能力到軍用硬件（如坦克、飛機和艦船）的電氣和機械部件。

　　這些實體通常履行國家的關鍵職能。全國非政府組織圍繞四個領域組織- -連接、分配、管理和供應- -這四個領域被認為對軍事、政府和更廣泛的國民經濟的持續運轉至關重要。

　　政府認為，任何攻擊、降級或破壞國家關鍵功能（NCF）都構成威脅，包括對經濟和公眾健康的潛在威脅。因此，除了CISA經常公布的無數最佳實踐之外，該網絡安全機構還開始制定一份應該明確的網絡安全禁忌清單。

　　從表面上看，這個列表是如此顯而易見，以至于不需要說出來。但過去的網絡事件表明，這些做法仍被廣泛使用。

　　CISA 列出的第一個“不良實踐”是使用過時的軟件，其中可能包括具有已知漏洞的版本，這些版本的安全補丁可以獲得，或者供應商不再支持代碼更新的生命周期終止的版本，包括補丁。

　　然而，過時軟件的使用很普遍，最近的例子就是2021年早些時候微軟Exchange服務器的網絡間諜活動。據安全公司Riskkiq稱，據此前報道，截至3月2日，即微軟披露此次攻擊的當天，估計全球有40萬個過時的Exchange軟件版本在運行。

　　另一個例子是2017年的“WannaCry”事件，該事件影響了全球幾乎所有經濟部門的約30萬臺計算機。根據安全評級公司BitSight的數據，其中67%的用戶推遲了升級到Windows 7的時間。

　　多年來，安全研究人員一直強調在關鍵基礎設施領域使用過時的軟件和操作系統版本及其相關風險。問題是，應用軟件設計為運行在較舊操作系統上，將操作系統更新到較新的版本可能會費時、困難和/或昂貴。給這樣的操作系統和它們運行的軟件打補丁也很困難，因為關鍵的基礎設施停機被認為是不可接受的。

　　但這不只是特殊情況，比如關鍵的基礎設施。一組研究人員最近公布了對560萬個網站18個月的分析結果，發現95%的網站依賴于過時的軟件，這些軟件至少存在一個已知的漏洞——以及一個相關的安全補丁。

　　雖然這些數字——40萬、30萬或560萬——在全球IT界看來可能相對較小，但問題不在于數量，而在于不更新系統和軟件的質量上缺乏合理的借口。一些關鍵的基礎設施運營商可能會說他們有一個理由——無論這個理由在安全專業人士、立法者、監管者和普通公眾看來多么似是而非——但是絕大多數的網絡管理員根本就沒有。

　　CISA列出的第二個“不良實踐”是使用弱口令。弱口令包括：太短（標準指南是超過8個字符，但隨著蠻力破解的計算能力不斷增強，建議不少于12個字符）、太容易猜測（例如Password123和那些使用字典單詞的口令）、太簡單（例如：那些沒有使用隨機數字、符號、大寫字母和小寫字母的組合）。

　　原因應該為大多數人所知和熟悉：短的，易猜測的和/或簡單的口令可以很容易地用黑客工具破解免費，甚至不需要太高級的技能。

　　糟糕的口令衛生的第二個方面是在不同賬戶之間重復使用口令。原因是，如果網絡威脅者破解或獲得一個賬戶的口令，那么他們就可以隨時訪問所有其他共享相同口令的賬戶。

　　賬戶登錄用憑據失竊被惡意利用的典型案例已經數不勝數，就今年年初美國發生的兩起自來水廠遭投毒事件，均是某員工的TEAMVIEW賬戶被盜用，幸好及時發現投毒未遂。而另一起引發全球關注的Colonial油氣管道公司被勒索導致油氣供應緊張，令美國政府和白宮高度恐慌，事件的調查顯示最初侵入網絡的是一個被遺忘的VPN賬戶，該賬戶的口令是已經被cracked。

　　網絡威脅者也越來越多地使用一種名為“口令噴灑”的攻擊方法，他們使用一個通用口令（例如admin123）來訪問盡可能多的賬戶。

　　雖然破解的重點是使用多個口令訪問一個帳戶，但噴灑的目標是破壞多個共享相同口令的帳戶。噴灑被視為一種規避賬戶鎖定的方法，如果采取適當的安全措施，可能會引發賬戶被鎖定。網絡威脅行為者可以試圖破解或噴灑任何賬戶，但這種做法對基于網絡的賬戶登錄尤其普遍。

　　作為最佳實踐，管理員還應該每90天更改口令。然而，周期性地修改口令，會讓用戶陷入另外個一個困境，他需要在修改和便于記憶之間取得平衡，極有可能選擇某種有規律性的口令格式。此時，選擇類似Keepass這類口令管理器是一種可行的辦法。但新問題又來了，“雞蛋放在一個籃子里”的新困擾又誕生了！

　　CISA的“不良實踐”并不新鮮，也不是開創性的。然而，不幸的是，根據研究、調查和已知事件，它們還得重復。也許結論是這樣的：即使一個組織沒有時間去獲取知識，或有足夠的金錢去雇傭在已知的網絡安全最佳實踐的迷宮中具有專業知識的從業者，至少要避免輕率、疏忽和愚蠢。避免這些完全可以預防的“不良實踐”。