美國CISA發布《安全能力增強指南》

11月24日，美國網絡安全和基礎設施安全局（CISA）發布了可操作的安全能力增強指南（CEG），并創建了一個企業移動管理（EMM）系統檢查表，為企業和相關組織提供改善移動設備網絡安全的參考。

由于企業管理的移動設備面臨威脅廣泛，指南中描述的措施側重于組織可以采取的各種易于實施的步驟，通過最佳實踐，幫助企業及機構為員工提供對企業移動設備資源的安全訪問。

最佳實踐分為6步，涵蓋設備管理、身份驗證、應用程序安全、安全通信、設備保護等內容。

以安全為中心的設備管理

選擇設備：選擇符合企業要求的設備，并仔細關注供應鏈風險。

更新平臺：啟用移動設備管理（MDM）系統的自動更新功能，以確保在最新更新可用時立即應用。

• 操作系統（OS）更新的功能有助于保護隱私、增強安全性，并修復使設備容易受到惡意攻擊的漏洞。

設備需受信任：受信任的設備具有以下特征：

• 已更新到最新的版本。
• 由EMM按照企業標準正確配置。
• 不得越獄或扎根。
• 通過EMM系統持續監控。

如果不滿足這些條件中的任何一個，則該設備是“不受信任的”，不應訪問企業資源。

拒絕訪問不受信任的設備：設備應被視為不受信任的，并被拒絕訪問企業資源，除非它們滿足上述所有標準。

強身份驗證

啟用設備身份驗證：強制執行設備的強登錄密碼/PIN，PIN應至少為六位數字。為了獲得最大程度的保護，應啟用生物特征認證（人臉或指紋）。

啟用雙因素身份驗證：啟用雙因素身份驗證（2FA）以訪問企業網絡。2FA選項將密碼或PIN與另一種身份驗證形式配對，如SMS消息或生物特征輸入等。

良好的應用程序安全

禁用第三方應用商店，避免惡意軟件傳播。

隔離企業應用程序：使用安全容器技術隔離企業數據。組織的EMM應配置為防止企業應用程序和個人應用程序之間的數據外泄。

最小化所有應用程序中的PII：限制應用程序中個人身份信息（PII）的數量。如果應用程序不存儲或無法訪問PII，那么惡意攻擊者泄漏或竊取數據的難度就會大得多。

限制權限：在安裝應用程序時，默認情況下禁用所有敏感權限（如照相機、位置）。

確保企業開發應用程序的審查策略。

限制操作系統/應用程序同步：通過限制操作系統/應用程序同步，限制對企業數據的備份，防止企業敏感數據泄漏。

網絡通信防護

禁用不需要的網絡無線電（BT、NFC、Wi-Fi、GPS）：每個設備的連接或潛在的攻擊都可以被秘密利用，甚至可以通過網絡控制每個設備的連接。

• 在不使用藍牙、Wi-Fi和NFC時禁用它們，可以減少惡意攻擊設備的機會。
• 禁用GPS無線電和相關定位服務可保護用戶的位置隱私。

禁用用戶證書：應認為用戶證書不可信，因為惡意攻擊者可以使用隱藏在其中的惡意軟件實現對設備的攻擊，例如攔截通信。

使用安全通信應用程序和協議：許多基于網絡的攻擊允許攻擊者攔截和修改傳輸中的數據，從而導致PII泄漏、憑據被盜、跟蹤用戶的位置和活動等。將EMM配置為在設備和企業網絡之間使用VPN。

設備防護

利用移動威脅防御（MTD）系統：MTD可以保護設備免受各種可能危害應用程序和操作系統的惡意軟件攻擊，并可以提取敏感數據。MTD還可以檢測不正確的配置。

使用可靠的充電器和電纜為設備充電：惡意充電器或PC可能引入惡意軟件，使攻擊者能夠繞過保護并控制設備。

• 向員工發放可信的充電器和電纜，并指示他們只使用這些物品為設備充電。
• 將組織提供的設備配置為使用USB限制模式，該模式禁用手機和USB設備之間的數據傳輸。

啟用丟失設備功能：設置在一定次數的錯誤登錄嘗試（例如10次）后自動擦除設備的數據，并啟用遠程擦除設備的選項。

關鍵系統隔離

不允許移動設備連接到關鍵系統：受感染的移動設備可將惡意軟件引入關鍵業務輔助系統，如企業PC、服務器或操作技術系統。

• 指示用戶切勿通過USB或無線將移動設備連接到關鍵系統。此外，配置EMM以禁用這些功能。

*來源：CISA