The hacker news發佈了一篇CISA 敦促製造商消除預設密碼以阻止網路威脅
美國網路安全與基礎設施安全局(CISA)發布了一份新的安全警報,敦促科技製造商採取措施,消除預設密碼在客戶系統中的利用風險。預設密碼是一種常見的網路安全漏洞,可能導致駭客入侵、數據竊取、勒索軟體等惡意活動。CISA建議製造商遵循其與其他機構共同制定的《平衡網路安全風險:安全設計軟體的原則和方法》中的兩個原則,即承擔客戶安全結果的責任,並建立組織結構和領導力來實現這些目標。
CISA在其新的安全設計(SbD)警報系列中,發布了一份名為《製造商如何通過消除預設密碼來保護客戶》的指南。該指南指出,預設密碼是一種靜態的、易於猜測的或公開可見的密碼,通常在製造商提供的設備或軟體中預先設置。這些密碼可能會被駭客利用,從而獲得對客戶系統的未經授權的訪問權限,並執行各種惡意活動,例如竊取敏感數據、植入勒索軟體、發動分散式阻斷服務(DDoS)攻擊等。
CISA敦促科技製造商在其設計、開發和交付過程中,實施其與美國國家安全局(NSA)、美國國家標準與技術研究院(NIST)和美國聯邦貿易委員會(FTC)共同制定的《平衡網路安全風險:安全設計軟體的原則和方法》中的第一和第三個原則,以主動消除預設密碼的風險。這兩個原則分別是:
- 承擔客戶安全結果的責任。製造商應該在產品的整個生命週期中,為客戶提供安全的產品和服務,並及時修復已知的安全漏洞。
- 建立組織結構和領導力來實現這些目標。製造商應該建立一個以安全為核心的文化,並將安全納入其業務流程和決策中。
CISA還提供了一些具體的建議,幫助製造商消除預設密碼的風險,例如:
- 不要在產品中使用預設密碼,或者至少要求客戶在首次使用產品時更改預設密碼。
- 為客戶提供強密碼的建議,並使用密碼強度檢測器來驗證客戶設置的密碼。
- 使用多因素認證(MFA)來增強客戶的帳戶安全,並減少密碼被破解的可能性。
- 使用安全的密碼存儲和傳輸機制,例如加密、雜湊和鹽,來保護客戶的密碼不被竊取或泄露。
- 定期檢查客戶的帳戶活動,並提供客戶查看和管理其帳戶設置的工具,以及報告和處理可疑事件的渠道。
CISA強調,這份指南是其新的SbD警報系列的第二份產品,該系列旨在關注供應商決策如何在全球範圍內減少傷害。CISA敦促科技製造商閱讀並實施這份指南,以提高其產品的安全性,並保護其客戶免受預設密碼的威脅。
詳情請看:
CISA Urges Manufacturers Eliminate Default Passwords to Thwart Cyber Threats