移動設(shè)備已經(jīng)發(fā)展成為連接遠(yuǎn)程用戶和家庭、辦公室的關(guān)鍵紐帶,,為旅行者提供了訪問業(yè)務(wù)應(yīng)用程序和數(shù)據(jù)的不可或缺途徑,。確保這條通信線路的私密性和安全性是至關(guān)重要的。隨著各機(jī)構(gòu)面臨越來越多針對移動設(shè)備的網(wǎng)絡(luò)安全挑戰(zhàn),,美國一個跨部門委員會出臺了新的指導(dǎo)意見,,指導(dǎo)員工在海外旅行時確保政府移動設(shè)備的安全,。這份由美國聯(lián)邦移動集團(tuán)(Federal Mobility Group)的《政府提供的移動設(shè)備國際旅行指南》(International Travel guide for Government-Furnished Mobile Devices)報告草案,概述了智能手機(jī)和平板電腦在海外面臨的風(fēng)險,,以及確保它們安全的最佳做法,。新 FMG報告的內(nèi)容和發(fā)展的貢獻(xiàn)來自于國土安全部 (DHS)、 國土安全部科學(xué)技術(shù)局,、 國土安全部網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局,、國防部、教育部,、能源部,、內(nèi)政部、國務(wù)院,、財政部,、總務(wù)管理局以及美國國家航空航天局。
FMG在10月19日的一篇博文中寫道:“隨著國內(nèi)和國際旅行的增加,,GFE移動設(shè)備……將促進(jìn)政府雇員在國外旅行期間的工作效率,,包括與辦公企業(yè)網(wǎng)絡(luò)和數(shù)據(jù)庫的遠(yuǎn)程連接?!?/p>
FMG開發(fā)的國際旅行指南報告包含有關(guān)配置和使用 GFE 移動設(shè)備以在OCONUS旅行時保護(hù)信息,、后端企業(yè)系統(tǒng)和用戶的最佳實(shí)踐。該指南還解釋了GFE面臨的各種物理和網(wǎng)絡(luò)安全威脅,;旅行者在旅行前,、旅行中和旅行結(jié)束后應(yīng)采取的安全程序;以及臨時出國旅行的聯(lián)邦雇員的其他注意事項(xiàng),。
“然而,,F(xiàn)MG的報告強(qiáng)調(diào),前往外國或美國大使館的政府雇員應(yīng)該意識到,,由于他們的便攜性和始終處于開啟狀態(tài)的移動設(shè)備很容易受到損害,、盜竊、物理損壞和丟失,,”該文章繼續(xù)寫道,。
該指南文件將公開征求公眾意見,截止時間為12月底,。
指南的概要總結(jié)指出:
本安全指南適用于在公共網(wǎng)絡(luò)中使用政府提供的商用移動設(shè)備(政府提供的設(shè)備[GFE])的美國政府人員,、細(xì)節(jié)人員或承包商,他們在進(jìn)出外國和在外國境內(nèi)旅行時,。本報告的目的是最小化對手通過GFE移動設(shè)備獲取敏感數(shù)據(jù)的能力,,并在設(shè)備受到損害時限制損害。這些緩解措施與最佳做法緩解措施一起解決了在外國可能遇到的一系列威脅,。
移動設(shè)備具有與其軟件和硬件相關(guān)的固有漏洞,。外國經(jīng)常利用他們的安全設(shè)備——尤其是機(jī)場安檢,、海關(guān)和與旅游業(yè)的聯(lián)系——對移動設(shè)備進(jìn)行物理攻擊。此外,,在許多國外政府對商業(yè)蜂窩基礎(chǔ)設(shè)施有直接或代理控制,,這給了他們一個遠(yuǎn)程管道來攻擊連接的移動設(shè)備。蜂窩網(wǎng)絡(luò)的攻擊尤其具有破壞性,,因?yàn)榇蠖鄶?shù)移動設(shè)備——從設(shè)計上來說——信任來自蜂窩網(wǎng)絡(luò)的信號/管理通信,。
成功的利用可以讓對手遠(yuǎn)程激活麥克風(fēng)和攝像頭,定位和跟蹤特定的設(shè)備,,并竊取設(shè)備處理或存儲的信息,。一個被破壞的設(shè)備也可以被用作矢量來攻擊連接的企業(yè)網(wǎng)絡(luò)。美國政府高級官員是首要目標(biāo),,如果他們在海外旅行時需要攜帶移動設(shè)備,,他們應(yīng)該攜帶或使用一次性或租借的商用移動設(shè)備,以便在高威脅環(huán)境中旅行,。他們不應(yīng)該攜帶移動設(shè)備出現(xiàn)在這些高威脅環(huán)境中,,商業(yè)旅行時移動設(shè)備在美國大陸(OCONUS)及其領(lǐng)土,某些對策可以用來減輕一些漏洞,。
外國大使館和領(lǐng)事館也被認(rèn)為是外國領(lǐng)土,,無論在哪里,因此,,本指南文件中建議的緩解措施也適用于前往美國大使館或領(lǐng)事館的人員。在國際旅行期間用于進(jìn)行公務(wù)的個人設(shè)備不在本指南的范圍內(nèi),,但是,,概述的威脅也適用于個人設(shè)備。因此,,當(dāng)用戶攜帶個人設(shè)備旅行并在旅行中使用這些設(shè)備執(zhí)行政府職責(zé)時,,應(yīng)考慮類似于本文所述的防護(hù)措施。
該指南概述了關(guān)于配置和使用GFE移動設(shè)備以在國際旅行中保護(hù)信息,、后端企業(yè)系統(tǒng)和用戶的最佳實(shí)踐,。它包括旅行前、期間和后的檢查清單樣本,,并概述了在國外旅行時過境和進(jìn)入安全區(qū)域的考慮,。機(jī)構(gòu)可以使用本文件中描述的程序和最佳做法,根據(jù)其風(fēng)險承受能力制定機(jī)構(gòu)特定政策,。指導(dǎo)考慮來自以下聯(lián)邦機(jī)構(gòu)的文件:國土安全部(DHS),、國務(wù)院、國防部(DoD)和國家安全局(NSA),,參見本文,。
指南引用的美國本土外移動設(shè)備最佳實(shí)踐列出了15條最有效的措施:
使鎖屏通知失效
僅連接到授權(quán)的計算機(jī)和專用設(shè)備
不要用充電站,、計算機(jī)、電視,、DVRs等給你的設(shè)備充電,;僅能使用聯(lián)邦機(jī)構(gòu)配發(fā)的充電器或者那些要求充足的運(yùn)營安全的設(shè)施;
不要打開任何不明的郵件附件,;
不要解除政府配備設(shè)備的限制,;
盡可能快的向你的IT部門報告惡意的設(shè)備行為;
保持所有的軟件(操作系統(tǒng)和APPs)是最新的,;
使用較強(qiáng)的鎖屏碼/口令(至少6個字符),;
自動鎖屏?xí)r間應(yīng)當(dāng)在5分鐘以內(nèi);
口令深度次數(shù)據(jù)設(shè)置了10以下(如果出現(xiàn)10次不成功的登錄嘗試,,移動設(shè)備管理系會自動 清除電話上的數(shù)據(jù)),;
數(shù)據(jù)加密存儲在設(shè)備上;
可能的情況下遮擋所有攝像頭或者設(shè)置為失活,;
只從可信的來源安裝應(yīng)用程序 ,;
可能的情況下使用VPN和加密的VoIP;確保所有的VPN/VoIP供應(yīng)商有良好聲譽(yù)且是美國的,;
還有移動設(shè)備可能遭到攻擊的信號,,如下圖:
FMG是通過首席信息官理事會特許成立的。它由來自網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA),、總務(wù)管理局(GSA)和國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)的移動領(lǐng)導(dǎo)者共同主持,。
該組織還發(fā)起了一個聯(lián)邦信息安全現(xiàn)代化法案(FISMA)移動性指標(biāo)工作組(FMMWG),專注于從今年開始更新FISMA移動性指標(biāo),。今年9月,,工作組與美國先進(jìn)技術(shù)學(xué)術(shù)研究中心(ATARC)聯(lián)合發(fā)表了《移動安全生態(tài)系統(tǒng)概述》報告。針對網(wǎng)絡(luò)和IT決策者,,該文件確定了機(jī)構(gòu)保護(hù)其移動設(shè)備的方法,。下圖標(biāo)出了移動設(shè)備安全的四個方面,分別是UEM-統(tǒng)一的終端管理,;MTD-移動威脅防御,;原生設(shè)備操作系統(tǒng)安全;移動應(yīng)用(APP)審查,;
該報告指出:“最近的COVID-19大流行事件增加了與流動性相關(guān)的攻擊面,,因?yàn)檎呀?jīng)過渡到一個高度流動和分散的勞動力狀態(tài)?!?/p>
GSA企業(yè)技術(shù)解決方案辦公室技術(shù)客戶管理主管Kevin Gallo表示,,F(xiàn)MG目前正在“處理一些政府范圍內(nèi)的數(shù)據(jù),以便更好地幫助機(jī)構(gòu)獲得安全的移動解決方案,?!?/p>
他說,,機(jī)構(gòu)通過GSA的多個獎勵計劃以及企業(yè)基礎(chǔ)設(shè)施解決方案購買許多移動解決方案,包括安全工具和產(chǎn)品,。Gallo表示,,GSA正在通過EIS擴(kuò)展無線解決方案。
Gallo在近日ATARC主辦的一場活動中表示:“我們可以了解庫存支出和杠桿合同,,然后通過使用這些數(shù)據(jù),,F(xiàn)MG能夠確定影響政府采購行為的最佳做法?!薄耙虼?,這些數(shù)據(jù)是了解威脅狀況和評估每個機(jī)構(gòu)的威脅準(zhǔn)備水平的關(guān)鍵之一?!?/p>
在美國總統(tǒng)拜登(Joe Biden)今年5月發(fā)布網(wǎng)絡(luò)安全行政命令之前,,該機(jī)構(gòu)報告的移動設(shè)備需求近年來有所增加。例如,,去年,,機(jī)構(gòu)必須開始報告他們的移動設(shè)備中被移動威脅防御能力覆蓋的百分比。
與此同時,,白宮管理和預(yù)算辦公室(White House Office of Management and Budget)在8月份發(fā)布了新的日志記錄要求,,包括針對移動環(huán)境的日志。
內(nèi)政部安全架構(gòu)師David Harris領(lǐng)導(dǎo)FMG的移動安全工作組,,負(fù)責(zé)更新FISMA報告要求,。他說,情報機(jī)構(gòu)在考慮自己的移動安全戰(zhàn)略和潛在的未來需求時,,重要的是要理解“移動設(shè)備不是憑空存在的”,。
哈里斯說:“我們有網(wǎng)絡(luò)、操作系統(tǒng),、移動應(yīng)用程序,還有配套的云服務(wù),?!薄拔覀冊噲D思考,從OMB和CISA的角度來看,,什么是能夠真正捕捉到真正需要關(guān)注的領(lǐng)域的最佳指標(biāo),。”
CISA網(wǎng)絡(luò)質(zhì)量服務(wù)管理辦公室主任Vincent Sritapan說,,F(xiàn)MG正在尋求盡可能多的行業(yè)反饋,,以進(jìn)一步完善新的國際旅行證件等指導(dǎo)意見。
“在很大程度上,,這是我們希望與業(yè)界接觸的領(lǐng)域,,”他表示,。“你想告訴我們最近發(fā)生的事情,?!?/p>
【閑人閑話】到境外公干的人員,多長點(diǎn)心吧,!不怕賊偷,,就怕賊惦記?;镜囊苿釉O(shè)備網(wǎng)絡(luò)安全衛(wèi)生,,還是得講究講究。