共计 2805 个字符,预计需要花费 8 分钟才能阅读完成。
NSA 对 iPhone 和 Android 用户的重启建议
喜欢看喜剧的观众可能会从英国情景喜剧《IT 狂人》中认出“你试过关机再开机吗?”这句话。但如果国家安全局告诉所有智能手机用户这样做呢?更重要的是,如果你遵循这个建议,你能在 2024 年及以后免受恶意软件和间谍软件的侵害吗?
NSA 的原始警告发布于 2020 年的 移动设备最佳实践指南 中。如果你在打开前述链接的 PDF 文档时遇到困难,那么可以通过 NSA 新闻室 找到同一文档的替代路径,只需多点击几次即可找到。随着跨所有操作系统平台的智能手机成为各种威胁行为者的越来越受欢迎的目标,NSA 表示“许多功能提供了便利和能力,但牺牲了安全性”,并试图确定即使是技术最不熟练的用户也能采取的简单步骤,以更好地保护他们的设备和存储在其中的数据。今年早些时候,我报道了 NSA 的建议,该文章至今仍在引发各种回应。我收到了安全专家和智能手机用户等等的感谢,他们感谢我引起了他们对这一警告的注意,并责备我没有更详细地说明重启无法帮助保护人们免受什么侵害。当然,所有这些意见都是有效的,本文旨在提供更多澄清。
2024 年 iPhone 和 Android 用户需要定期重启智能手机吗?
关于你是否需要在 2024 年每周重启智能手机的简短答案是:不需要。但“需要”在这个问题中承担了很多重任。从安全角度来看,重启仍将消除非持久性恶意软件的威胁——即无法在重启后存活的威胁。我知道这很显然,但需要说出来。有很多恶意软件属于这一类别,而且并非所有都来自最不先进或最不复杂的威胁行为者。
当间谍软件因正确的原因成为头条新闻时,国家使用如 Pegasus 这样的高级软件感染 Android 和 iPhone 设备,报告显示它从具有持久性转变为依赖于重启后再次被利用的二进制有效载荷。这种依赖于内存中的恶意软件,而不是写入永久存储,是另一种在如此复杂的攻击中逃避留下监控证据的方式。
“只要人们在新操作系统版本发布时定期更新他们的设备,”ESET 的全球网络安全布道者 Jake Moore 说,“设备将保持健康和受保护。然而,定期重启手机是一个好主意,但更多是为了电池原因而不是安全。”
Moore 说得很对,快速重启通常可以解决性能问题和连接问题。然而,这并不意味着重启的安全理由完全不在考虑之列。“零点击恶意软件是苹果和 Android 操作系统的一个持续问题,”Moore 说,“但它通常会被迅速识别和解决。一旦检测到,就会开发补丁,并发布新更新以缓解威胁。”
关于 NSA 警告和重启建议的效力,没有明确的答案,但在我看来,谨慎行事永远不可忽视。Stack Exchange 上有一个有趣的 讨论 很好地总结了这一点:长答案是这取决于你的手持设备自上次重启以来做了什么,短答案是平均而言,重启减少了漏洞。重启几乎没有,如果有的话,缺点,所以为什么不定期重启呢?我在这件事上支持 NSA。
美国网络安全和基础设施安全局提出新的安全要求——iPhone 和 Android 用户注意
正如 Bleeping Computer 报道的那样,美国网络安全和基础设施安全局刚刚发布了一套新的安全提案,旨在保护个人数据和政府信息免受敌对对手的侵害。拟议的安全要求清单直接针对那些大量移动敏感数据的政府机构,特别是那些信息可能暴露给关注人员或国家的机构。这通常意味着那些参与针对美国的网络间谍活动或具有国家支持的高级持续威胁行为者历史的机构。CISA 表示,其实施这些要求是为了验证组织是否具备技术能力和足够的治理结构,以“适当选择、成功实施并继续应用涵盖的数据级安全要求,以解决司法部为受限交易识别的风险”。同时,它指出具体要求可能因不同的交易类型而异。
像维护硬件的更新资产清单和准确的网络拓扑这样的事情超出了大多数个人的职责范围,无论他们可能有多聪明。但仅仅关注从非常合理的建议列表中无法获得的好处是愚蠢的。
CISA 提出的完整安全要求列表可作为 PDF 文档 提供,强烈推荐给任何希望加强其安全态势的组织阅读。
“对于美国的网络安全努力,这些要求代表了保护国家基础设施免受不断演变的威胁的关键一步,”SandboxAQ 的网络安全总经理 Marc Manzano 博士说,“这些新的指南,专注于保护敏感信息,为现代加密管理系统提供了机会,以实现资产发现、可观察性、细粒度管理和保护。”Manzano 总结说,部署这些解决方案将有助于政府实体增强其加密框架,确保合规性并保护数据免受未来的加密威胁。
虽然这些提案主要针对联邦机构,但这并不意味着所提供的建议对我们这些普通人没有影响。事实上,所提议的一些步骤应该刻在所有 iPhone 和 Android 用户的智能手机屏幕上:尽快更新设备以修复已知漏洞,在所有可用的地方使用双因素认证,并确保密码至少有 16 个字符长。
英国政府网络安全基础计划为商业带来更好的安全性
英国政府发布了一份 新研究论文,旨在详细说明其网络安全基础计划对参与其中的企业和组织提高网络安全的影响。网络安全基础计划实际上是一套标准和技术控制,任何规模和行业的组织都应将其视为保护自己和用户免受最常见在线安全威胁的基本措施。尽管,与任何此类建议一样,该计划不能声称提供安全灵丹妙药,但英国政府的官方统计数据显示,那些实施了网络安全基础计划控制的组织比那些没有实施的组织少 92% 的网络攻击保险索赔。
“这项评估清楚地表明,网络安全基础计划为组织提供了显著的安全效益,”Closed Door Security 的首席执行官 William Wright 说。“获得认证的企业显然更具网络安全意识,他们感觉更有准备应对常规网络攻击,并且对他们所实施的控制感到自信。”根据 Wright 的说法,同样明显的是,当与同样获得网络安全基础计划认证的供应商进入商业伙伴关系时,组织感觉更有信心,因此认证过程实际上被用于支持第三方和供应链的韧性。
然而,正如 NSA 建议智能手机用户重启一样,单一的建议永远不足以提供超过表面水平的保护。正如我在本文前面提到的,多层次的方法是提高安全性的唯一途径,这对企业和个人同样适用,甚至更多。研究数据显示,53% 的受访者仅使用网络安全基础计划作为其网络安全的唯一外部保证。“如果这些组织仅获得基本版本的认证,”Wright 警告说,“这将不足以保护他们的系统免受我们今天看到的许多攻击。”
Wright 说得对。网络安全基础计划认证本身是以自我评估问卷的形式进行的,由网络安全基础计划评估员审查。没有对答案进行物理验证,因此也没有对所声称的控制措施是否到位进行验证。虽然我并不是说有些组织会为了获得可能带来商业利益的认证而撒谎,好吧,我确实是这么说的;但几乎没有确认这些控制措施是否正确部署。Wright 总结说,这种基本版本的网络安全基础计划认证“不足以防御今天的复杂攻击”,“组织应努力获得网络安全基础计划 Plus 认证,但将其与其他原则如 NIST、CIS 控制和 ISO27001 相结合,以真正提高其网络韧性。”
