CISA首次推出设计安全警报系列

美国网络安全机构 CISA 周三推出了一种新型警报，旨在强调在软件开发生命周期中未实施安全性所造成的危害。

新的安全设计（SbD）警报旨在提供有关“供应商决策如何在全球范围内减少伤害”的信息，而不是详细说明可以采取哪些措施来预防或应对威胁。

CISA 警报系列的第一部分揭示了针对 Web 管理界面的恶意活动，以及如何实施安全最佳实践和消除特定类别的漏洞可以更好地保护客户免受这些威胁。

CISA 指出：“制定本指南的目的是敦促软件制造商通过使用设计安全原则来设计和开发其产品，从而主动防止 Web 管理界面中的漏洞被利用。”

该机构表示，供应商可以通过实施两项原则来改善网络管理界面中的客户保护：掌握客户安全结果并采用彻底的透明度和问责制。

第一个原则涵盖应用程序强化、功能和默认设置。CISA 指出：“在设计这些区域时，软件制造商应检查其产品的默认设置。”

产品应强制执行安全最佳实践，而不是依赖客户这样做，例如默认禁用 Web 界面、在易受攻击的状态下（例如暴露于互联网）阻止产品操作，以及警告与更改相关的风险默认配置。

“软件制造商应该进行现场测试，以了解其客户如何在其独特的环境中部署产品以及客户是否以不安全的方式部署产品。这种做法将有助于弥合开发人员期望与产品的实际客户使用之间的差距。”CISA 指出。

根据第二条原则，供应商在披露漏洞、跟踪每个安全缺陷的根本原因并确保每个 CVE 提供完整的详细信息时应充分拥抱透明度。

该机构表示：“这不仅有助于客户了解和评估风险，还使其他软件制造商能够从整个行业修复的错误中吸取教训。”

此外，CISA 建议供应商识别并消除其产品中重复出现的缺陷类别。

CISA 总结道：“为了保护客户免受针对 Web 管理界面的恶意网络活动的影响，软件制造商应采用《改变网络安全风险平衡》中规定的原则，并发布自己的安全设计路线图，以表明他们不仅仅是实施战术控制，而是实施战略控制。正在重新考虑自己在确保客户安全方面的角色。”

>>>错与罚<<<

涉案流水超60亿！内蒙古网警破获特大跨境网络赌博案

疯狂吸金！普通视频一夜新增300万播放量？

公安部公布依法惩治网络暴力违法犯罪10起典型案例

同城美女相邀约？其实是双簧陷阱！

成都网警破获一起编造传播证券市场网络谣言案

涉黄“小卡片”！扫码后到底有什么“套路”？

西藏网警查处一起传播淫秽物品牟利案

生活中要警惕：不要随意蹭免费WIFI！

公安部督办非法机顶盒大案告破：涉案2亿元！

家长必读：这些方法可以有效保护孩子上网安全

“内鬼”盗卖数据，某大药房被罚！

被遗忘的网站，潜藏着网络安全隐患

紧急提示！“京东白条”诈骗又双叒来了

网络安全保护不是儿戏，违法违规必被查处

北京市网信办对三家企业未履行数据安全保护义务作出行政处罚

网安局@各学校，赶快检查一下你们的路由器安全吗?

倒闭跑路还主动退费？这套路真是防不胜防

背调时需要的无犯罪记录证明怎么开？

湖南网安适用《数据安全法》对多个单位作出行政处罚

由上海政务系统数据泄露引发的一点点感慨

个人信息保护不当，宁夏6家物业公司被处罚

网络安全保护不是儿戏，违法违规必被查处

罚款8万！某科技公司因数据泄漏被依法处罚

近2万条学员信息泄露！该抓的抓，该罚的罚！

信息系统被入侵，单位主体也得担责！

警方打掉通过木马控制超1400万部“老年机”自动扣费的犯罪团伙

张家界警方全链条团灭非法侵入1600余台计算机系统终端案！

警方提醒！多名百万网红被抓，54人落网！

不履行数据安全保护义务，这些公司企业被罚！

“一案双查”！网络设备产品服务商这项义务要履行！

>>>等级保护<<<

开启等级保护之路：GB 17859网络安全等级保护上位标准

网络安全等级保护：什么是等级保护？

网络安全等级保护：等级保护工作从定级到备案

网络安全等级保护：等级测评中的渗透测试应该如何做

网络安全等级保护：等级保护测评过程及各方责任

网络安全等级保护：政务计算机终端核心配置规范思维导图

网络安全等级保护：信息技术服务过程一般要求

网络安全等级保护：浅谈物理位置选择测评项

闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载

闲话等级保护：什么是网络安全等级保护工作的内涵？

闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求

闲话等级保护：测评师能力要求思维导图

闲话等级保护：应急响应计划规范思维导图

闲话等级保护：浅谈应急响应与保障

闲话等级保护：如何做好网络总体安全规划

闲话等级保护：如何做好网络安全设计与实施

闲话等级保护：要做好网络安全运行与维护

闲话等级保护：人员离岗管理的参考实践

信息安全服务与信息系统生命周期的对应关系

>>>工控安全<<<

工业控制系统安全：信息安全防护指南

工业控制系统安全：工控系统信息安全分级规范思维导图

工业控制系统安全：DCS防护要求思维导图

工业控制系统安全：DCS管理要求思维导图

工业控制系统安全：DCS评估指南思维导图

工业控制安全：工业控制系统风险评估实施指南思维导图

工业控制系统安全：安全检查指南思维导图（内附下载链接）

业控制系统安全：DCS风险与脆弱性检测要求思维导图

>>>数据安全<<<

数据治理和数据安全

数据安全风险评估清单

成功执行数据安全风险评估的3个步骤

美国关键信息基础设施数据泄露的成本

备份：网络和数据安全的最后一道防线

数据安全：数据安全能力成熟度模型

数据安全知识：什么是数据保护以及数据保护为何重要？

信息安全技术：健康医疗数据安全指南思维导图

金融数据安全：数据安全分级指南思维导图

金融数据安全：数据生命周期安全规范思维导图

什么是数据安全态势管理 (DSPM)？

>>>供应链安全<<<

美国政府为客户发布软件供应链安全指南

OpenSSF 采用微软内置的供应链安全框架

供应链安全指南：了解组织为何应关注供应链网络安全

供应链安全指南：确定组织中的关键参与者和评估风险

供应链安全指南：了解关心的内容并确定其优先级

供应链安全指南：为方法创建关键组件

供应链安全指南：将方法整合到现有供应商合同中

供应链安全指南：将方法应用于新的供应商关系

供应链安全指南：建立基础，持续改进。

思维导图：ICT供应链安全风险管理指南思维导图

英国的供应链网络安全评估

>>>其他<<<

网络安全十大安全漏洞

网络安全等级保护：做等级保护不知道咋定级？来一份定级指南思维导图

网络安全等级保护：应急响应计划规范思维导图

安全从组织内部人员开始

VMware 发布9.8分高危漏洞补丁

影响2022 年网络安全的五个故事

2023年的4大网络风险以及如何应对

网络安全知识：物流业的网络安全

网络安全知识：什么是AAA（认证、授权和记账）？

美国白宫发布国家网络安全战略

开源代码带来的 10 大安全和运营风险

不能放松警惕的勒索软件攻击

10种防网络钓鱼攻击的方法

5年后的IT职业可能会是什么样子？

累不死的IT加班人：网络安全倦怠可以预防吗？

网络风险评估是什么以及为什么需要

美国关于乌克兰战争计划的秘密文件泄露

五角大楼调查乌克兰绝密文件泄露事件

如何减少制造攻击面的暴露

来自不安全的经济、网络犯罪和内部威胁三重威胁

2023 年OWASP Top 10 API 安全风险

什么是渗透测试，能防止数据泄露吗？

SSH 与 Telnet 有何不同？

管理组织内使用的“未知资产”：影子IT

最新更新：全国网络安全等级测评与检测评估机构目录（9月15日更新）

原文始发于微信公众号（祺印说信安）：CISA首次推出“设计安全”警报系列