【國際政府組織資安資訊】
CISA 要求科技製造廠停止提供預設密碼
美國資安主管機關網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)日前發布資安指引,要求各科技製造廠停止在各種裝置與軟體系統中提供預設密碼,以提升資安保護層級。
資安專家指出,為了簡化生產與大量軟硬體裝置的管理與操作流程,很多製造廠商經常在其企業或生產環境中使用各種裝置或軟體系統的預設密碼;這種做法雖然能夠大幅降低操作的複雜性,但卻會造成極大的資安風險。
一旦駭侵者利用往往廣為人知的預設密碼發動攻擊,除了採用預設密碼的設備或軟體本身可能遭到駭侵之外,駭侵者也可藉以發動進一步的攻擊,最後導致企業或單位的內部網路上其他設備與系統遭到攻擊得逞。
CISA 在其資安警訊中提出兩點要求,要求廠商必須對客戶可能發生的資安後果負起責任,同時必須在組織架構與領導兩方面來達成這個目標。
各硬體設備或軟體系統廠商,建議可以參考 CISA 此次發布之資安指引,避免提供預設密碼,以強化使用者的資安防護能力。
詳細資訊請參考:https://www.twcert.org.tw/tw/cp-104-7655-d6d47-1.html
沒有留言:
張貼留言