共计 2987 个字符,预计需要花费 8 分钟才能阅读完成。
你是否还记得英国情景喜剧《IT 狂人》中那句经典的“你是否尝试过关机再开机”?如果国家安全局(NSA)建议所有智能手机用户都这样做,你会不会感到惊讶?更重要的是,遵循这一建议真的能让你在 2024 年及以后免受恶意软件和间谍软件的侵害吗?
NSA 早在 2020 年就发布了 移动设备最佳实践指南 ,其中包含了“关机再开机”的建议。如果你在访问该 PDF 文档时遇到困难,也可以通过NSA 新闻室 找到替代路径。随着智能手机成为各种威胁行为者的目标,NSA 强调了许多功能虽然提供了便利,但也牺牲了安全性。因此,他们试图确定即使是技术最不熟练的用户也能采取的简单步骤,以更好地保护他们的设备和数据。
今年早些时候,我曾报道过 NSA 的这一建议,该文章至今仍在引发各种回应。我收到了安全专家和智能手机用户的感谢,他们感谢我将这一警告带入他们的视线,并责备我没有更详细地说明重启无法帮助保护人们免受什么侵害。当然,所有这些观点都是有效的,本文旨在提供更多澄清。
首先,我对 NSA 发布的文档只有赞扬;不仅其中的建议是明智的,而且它以一种对所有受众都清晰的方式呈现。NSA 采用了一种图示方法,使用基于图标的警告系统告知读者他们应该避免、禁用、做和不做的事情。做列表包括使用强 PIN 和密码、生物识别锁和定期软件更新等。不做建议包括对手机进行 root 或越狱、点击未知链接或打开未知附件。但最让我感兴趣的是禁用图标,尤其是当它涉及到每周通过关机再开机来禁用电源时。
建议文档的第二页采用了更多表格方式来警告智能手机用户关于威胁缓解的事情。这次,图标分为有时防止和几乎总是防止。当定期重启智能手机时,建议是将其用于有时防止鱼叉式网络钓鱼(安装恶意软件)和零点击漏洞利用。因此,它从来不是一个万能的解决方案或一刀切的安全灵丹妙药。
关于你是否需要在 2024 年每周重启智能手机的简短答案是:不需要。但“需要”在这个问题中承担了很多重任。从安全角度来看,重启仍将消除非持久性恶意软件的威胁——即无法在重启后存活的威胁。我知道这很显然,但需要说出来。有很多恶意软件属于这一类别,而且并非所有都来自最不先进或最不复杂的威胁行为者。
当间谍软件因正确的原因成为头条新闻时,国家使用如 Pegasus 这样的高级软件感染 Android 和 iPhone 设备,报告表明它从具有持久性转变为依赖于重启后再次被利用的二进制有效载荷。这种依赖于内存中的恶意软件,而不是写入永久存储,是另一种在如此复杂的攻击中逃避留下监控证据的方式。
“只要人们在发布新操作系统版本时定期更新他们的设备,”ESET 的全球网络安全布道者 Jake Moore 说,“设备将保持健康和受保护。然而,定期重启手机是一个好主意,但更多是为了电池原因而不是安全。”Moore 说重启可以经常解决性能问题和连接问题是对的。然而,这并不意味着重启的安全理由完全不成立。“零点击恶意软件是苹果和 Android 操作系统的一个反复出现的问题,”Moore 说,“但它通常会被快速识别和解决。一旦检测到,就会开发补丁,并发布新更新以缓解威胁。”
关于 NSA 警告和重启建议的准确性,没有明确的答案,但在我看来,谨慎行事永远不可低估。Stack Exchange 上有一个有趣的 讨论 很好地总结了这一点:长答案是这取决于你的手持设备自上次重启以来做了什么,短答案是平均而言,重启减少了漏洞。重启几乎没有,如果有的话,缺点,所以为什么不定期重启呢?我在这件事上支持 NSA。
美国网络安全和基础设施安全局(CISA)刚刚发布了一套新的安全提案,旨在保护个人数据和政府信息免受敌对对手的侵害。拟议的安全要求清单直接针对那些大量移动敏感数据的政府机构,特别是那些信息可能暴露给关注人员或国家的机构。这通常意味着那些参与针对美国的网络间谍活动或具有国家支持高级持久威胁行为者历史的机构。CISA 表示,其实施这些要求是为了验证一个组织是否具备技术能力和足够的治理结构,以“适当选择、成功实施并在应对司法部为受限交易识别的风险时继续应用涵盖的数据级安全要求”。同时,它指出具体要求可能因不同的交易类型而异。
像维护硬件的更新资产清单和准确的网络拓扑结构这样的事情超出了大多数个人的职责范围,无论他们可能有多明智。但如果你只关注从这一非常合理的建议列表中无法获得的利益,那将是愚蠢的。CISA 提出的完整安全要求列表可作为 PDF 文档 提供,强烈推荐给任何希望加强其安全态势的组织作为必读。
“对于美国的网络安全努力,这些要求是保护国家基础设施免受不断演变的威胁的关键一步,”SandboxAQ 的网络安全总经理 Marc Manzano 博士说,“这些新的指导方针,专注于保护敏感信息,为现代加密管理系统提供了机会,以实现资产发现、可观察性、细粒度管理和保护。”Manzano 总结说,部署这些解决方案将有助于政府实体增强其加密框架,确保合规性并保护数据免受未来的加密威胁。
虽然这些提案主要针对联邦机构,但这并不意味着提出的建议对我们普通人没有影响。事实上,其中一些步骤应该刻在所有 iPhone 和 Android 用户的智能手机屏幕上:尽快更新设备以修复已知漏洞,在所有可用的地方使用双因素认证,并确保密码至少有 16 个字符长,例如。
英国政府发布了一份 新研究论文,旨在详细说明其网络安全基础计划对参与其中的企业和组织提高网络安全的影响。网络安全基础计划实际上是一套标准和技术控制,任何规模和行业的组织都应将其视为保护自己和用户免受最常见的在线安全威胁的基本措施。尽管,与任何此类建议一样,该计划不能声称提供安全灵丹妙药,但英国政府的官方统计数据显示,那些实施了网络安全基础计划控制的组织比那些没有实施的组织少 92% 的网络攻击保险索赔。
“这项评估清楚地表明,网络安全基础计划为组织提供了显著的安全效益,”Closed Door Security 的首席执行官 William Wright 说。“获得认证的企业显然更具网络意识,他们感觉更有准备处理日常网络攻击,并且对他们已实施的控制感到自信。”根据 Wright 的说法,同样明显的是,当组织与同样获得网络安全基础计划认证的供应商建立业务合作伙伴关系时,他们感到更加自信,因此认证过程实际上被用于支持第三方和供应链的韧性。
然而,正如 NSA 建议智能手机用户关机再开机一样,单一的建议永远不足以提供超过表面水平的保护。正如我在本文前面提到的,多层次的方法是提高安全性的唯一途径,这对企业和个人同样适用,甚至更多。研究数据显示,53% 的受访者仅使用网络安全基础计划作为他们唯一的网络安全外部保证。“如果这些组织仅获得基本版本的认证,”Wright 警告说,“这将不足以保护他们的系统免受我们今天看到的许多攻击。”
Wright,如果你原谅这个双关语,是对的。网络安全基础计划认证本身是以自我评估问卷的形式进行的,由网络安全基础计划评估员审查。没有对答案进行物理验证,因此也没有对声称已实施的控制进行验证。虽然我并不是说一些组织会为了获得可能带来商业利益的认证而撒谎,好吧,我是这么说的;但几乎没有证据表明这些控制已正确部署。Wright 总结说,这种基本版本的网络安全基础计划认证“不足以防御当今的复杂攻击”,“组织应努力获得网络安全基础计划 Plus 认证,但将其与其他原则如 NIST、CIS 控制和 ISO27001 相结合,以真正提高其网络韧性。”
