網路/資安設備的安全設定
採用嚴格的組態設定管理與異動控管流程針對網路基礎設施設備的資安組態設定進行建立、執行與積極的管理(追蹤、報表、矯正)以防止攻擊者利用有弱點的服務與組態設定。

為什麼這是關鍵控制項目?
從製造商和經銷商處提供網路基礎設施設備的預設組態設定適用於易於部署和易用性~而非安全性。開放的SERVICES;PORTS;預設帳號(包括服務帳戶)或密碼;支持舊(易受攻擊)協議;預先安裝不需要的軟體;所有都可以在預設狀態下被利用。網路設備的安全組態設定管理不是一次性事件,而是涉及定期重新評估組態設定項目以及允許的流量的過程。隨著用戶針對特定業務需求要求例外,攻擊者利用網路設備會隨著時間的推移變得不那麼安全。有時候會例外部署,然後在不再適用於業務需求時留置未處理。在某些情況下例外的安全風險既未正確分析,也未根據相關業務需求進行衡量,並且可能隨著時間而變化。攻擊者在防火牆規則集;路由器以及交換器中搜索易受攻擊的預設組態設定;差距或不一致,並使用這些漏洞來穿透防禦。他們利用這些設備中的漏洞來獲取網路存取權限;重新導向網路流量;並在傳輸過程中攔截資訊。通過此類操作攻擊者可以存取敏感數據,更改重要資訊,甚至使用受感染的設備做為網路上的另一個受信任系統。