美国国土安全部建议这样保护移动安全生态
- 作者: 百度百家
- 分类:新闻
本文是对美国国土安全部(dhs)调研报告《study on mobile device security》(《移动设备安全研究报告》)的部分解读。如需报告原文,参移步文章末尾获取下载方式。
近些年移动生态系统的安全正在改善,但没有得到保护的通信路径,却使得移动生态系统依然十分脆弱。不过技术的进步让组织机构面对移动威胁的防御能力显著提高。
本文旨在向各组织机构展示他们将要面对的移动安全威胁,这些威胁已经不再局限于个别类型,因此对于移动威胁的防御措施也必须能够覆盖整个威胁面。
接下来我们针对组成移动生态系统的5个部分,分别描述他们的组成运作方式,以及其较易遭受到的安全威胁。
这5个组成分别是
- 1、移动设备技术堆栈(移动操作系统)
- 2、移动应用程序
- 3、移动网络协议和服务
- 4、对设备的物理访问
- 5、以及企业移动基础设施
- 6、此外还有一些新兴的威胁也会单独说明
如今的移动操作系统厂商正不断改进自身系统、 mdm (移动设备管理)和 emm (企业移动管理)供应商也提供了审计和安全配置的管理功能、国家标准技术研究机构和私营企业发布的移动安全最佳实践指南更进一步改善了移动安全现状。但是,没有受到保护的移动通信路径形成了新的安全漏洞,以及新的五代通信网络协议也需要安全强化,不过针对这两个因素还需要做更多的研究。
1·移动操作系统
以目前市面上最流行的移动操作系统 “android” 系统为例,得益于 google 早前发布的 “android 系统安全补丁级别” 指标,我们看到 android 系统正因为周期性的安全补丁升级变得更加安全。由于安全补丁每月都会交付,所以个人用户和企业只需要查看补丁修复的状态即可轻松评估设备的安全性了。
google 会第一时间向装有原生 android 系统的 nexus 和 pixel 系列的手机设备推送升级补丁,同时,全球多家手机制造商也承诺会及时跟进发布相应的升级补丁。但调研显示,虽然大多数 android 设备都有获取安全更新的资格,实际上却只有很少一部分 android 系统得到修复升级。
不论是 google 的 android ,还是 apple 的 ios ,亦或是微软的 windows ,以及其他操作系统,这种定期更新的安全架构改善了主流的移动设备和个人电脑上的操作系统的安全性,它增强了系统面对攻击时的防御能力,提高了攻击者寻找系统漏洞并利用其发动攻击的难度和成本。尽管如此,攻击者依然不遗余力得在寻找着移动操作系统和低级组件中的安全漏洞。
此外还有零日漏洞问题,因其经常能挖掘出极大的经济价值,所以多被技术高超的攻击者利用,针对高价值目标人员或机构展开攻击。因此,为避免损失,这些人员和机构愿意为消除这些安全威胁投资, ios 恶意软件 pegasus (飞马)就是个典型的案例。此外, google 和 apple 为那些发现漏洞的安全研究人员设立了重量级的奖金。不过与之相比,漏洞收购平台 zerodium 高额的漏洞收购价可能更具吸引力,针对 apple ios 系统的单个漏洞报价就高达150万美元。
当在企业网络环境中使用移动设备时,须谨防越狱和被root过的移动设备,设备安全性姑且不论,仅是移动设备的权限解锁引导程序即更容易受到攻击。所以企业应建议员工不要越狱或者root移动设备,并在设备上安装最新的安全补丁,远离已被披露的安全漏洞的威胁。
2·移动应用程序
大多数的移动应用程序都可以通过专用的渠道门户下载安装,比如 apple 的app store 、google 的google play ,两者各包含超过200万款应用。但是,第三方的应用商店也普遍存在,其中包含了大量非法的应用程序。同时,与系统供应商的官方商店相比,通过这些第三方应用商店分发的移动应用的稳定性和安全性难以保障,尤其表现在其审查方式和过程的不透明、更粗放。
应用程序会带来安全隐患,是因为其存在可能被利用的漏洞,或者开发商基于恶意的目的创建了漏洞。部分漏洞给用户带来极大的风险,包括:不安全的网络通信、数据存储时不安全的数据读写权限和未受保护的存储空间、写入系统日志的敏感信息,网页浏览器漏洞,第三方库中的漏洞以及加密漏洞等。
针对移动应用的固有缺陷进行防御时,应用的来源很重要,特别是当应用的使用者涉及政府机关单位时,包括委托开发的应用、专门为内部或外部使用的、以及商业使用的应用,应用来源就更加重要了。应用开发商应遵循最佳的安全实践来开发,并使用移动应用程序审查工具,企业应当部署 emm 或 mdm 工具,并利用威胁情报分析工具,了解与安装在移动设备上的应用相关联的潜在风险。
另一方面,带有恶意代码或侵犯隐私信息的移动应用,往往专注于利用操作系统中的漏洞作案。这些恶意应用可收集用户隐私信息、窃听、利用其他移动应用漏洞、访问敏感的企业网络和数据、敲诈赎金勒索、为 root 或越狱提权、操控受信应用作案、或欺骗利用公共的应用商店。
3·移动网络协议和服务
移动生态系统中这个元素的脆弱性是最难解决的,因为它们是实时的蜂窝网络设计和运行的固有部分。任何尝试修复或更新部署系统的操作都可能导致网络中断,影响整个地区甚至国家。需要重点注意的是:每一代的移动网络体系都是独立实现的,不可向前或向后兼容。
从 gsm 到 umts ,再到 lte ,长期的技术演进,手机中使用着最新的无线网络,虽然它比以前的标准更为先进,但 gsm 网络仍然在使用,至少未来几年内还将继续使用。而我们发现, lte 继承了 gsm 架构的一些弱点,给所有用户带来安全隐患。七号信令系统漏洞( ss7 )就是一个实例,已有不少案例显示攻击者正利用其窃取用户账户钱财。
在网络层面的威胁主要包括:
·与sim卡相关的盗窃、克隆或窃取加密密钥;4·移动设备的物理访问
·与无线电接入网络相关的干扰或拒绝服务、基站基础设施的物理攻击;
·与lte相关的降级攻击、窃听、设备身份跟踪、预防紧急电话、网络级拒绝服务等;
·与回传网络相关的窃听行为;
·核心网络漏洞,如 ss7 七号信令系统漏洞
·外部网络攻击。
一旦攻击者有物理访问移动设备的权限,他们就可能根据设备的配置,获取、访问或修改数据。很多人的移动设备上没有设置密码、图形解锁码、或 pin 码(个人识别码),这意味着一旦他们的移动设备丢失,数据必将泄露。近年来,在采用了指纹传感器的移动设备上使用指纹解锁功能时,系统会提示用户添加启用传感器所需的屏幕锁定密码。
虽然 apple 和 google 加入移动设备的激活锁定功能后,能够防止丢失或被盗设备的解锁重置,保护用户数据不泄露。但其他基于物理接触的攻击行为依然存在,比如利用usb接口:当移动设备通过 usb 接口链接到个人电脑时,移动设备可能会传播恶意软件到个人电脑上。
5·企业移动
移动设备的确给企业带来了新的威胁,并且这些威胁都以企业系统为目标。而移动设备形成了一类独特的、经常游走活动于企业内外网的终端用户设备组群。这样的状况意味着,在其他地方受到攻击的移动设备,可能变为媒介,威胁企业内网中的其他设备,甚至整个企业网络的安全。
恶意软件从 android 设备传播到其他系统的事件报道越来越多,比如当用户使用可用的 usb 接口给受感染的移动设备充电时,这种情况就可能发生。 android 平台的恶意软件 dresscode 就是这样一种试图通过受感染的移动设备,入侵企业网络的实例。
攻击者也会以 emm 工具为目标。正是由于 emm 能够帮助 it 管理人员控制和管理企业的移动设备、数据,以及移动设备与企业内网环境的链接,所以未经授权的人员访问管理控制后台,或者模拟假冒的 emm 控制后台服务器,就可让攻击者轻易实现跟踪用户、访问所有移动设备和数据的目的,甚至远程安装恶意软件,伺机下一步攻击。
企业用于管理和分发移动应用而私有部署的移动应用商店,也同样面临着威胁,比如模仿或未经授权使用了管理员凭据、应用开发人员凭据或分发的凭据证书。此外,绕过或破坏应用安全分析和审查技术,能够让攻击者把企业应用透露给第三方,修改应用或加载恶意代码到应用,为下一步攻击做准备。
因此技术能力出众的emm工具提供商,将为组织机构安全、稳定、高效管理内部员工移动设备、应用和数据提供强有力的支持。
6·新兴的移动威胁
除此之外,还有以下可能出现的威胁:开源信号情报;蜂窝网络认证和公共部门隐私标准的解密技术的发展; 识别 “imsi 捕手” (恶意基站)的技术发展; 针对个人和企业的网络犯罪和欺诈日益复杂;以及对公民隐私权的更广泛的保护工作。
通过这篇报告分析,我们可以看到,组织机构使用移动设备所面临的威胁是切实存在的,它存在于移动生态系统的每一个组成要素中。尽管今天我们在处理移动安全的威胁时,已经取得了巨大的进步,但仍然有很长的路要走。不过这并不表示面对漫长的、困难重重的移动安全之路,我们什么也做不了、就此放弃;相反,培养良好的移动安全意识,采用先进的移动安全技术,能够在很大程度上保障组织机构面对移动安全威胁时的高防御力。
面对不断变化和升级的移动安全威胁,需要政府和业界进一步努力降低使用移动技术的风险。
相关阅读:
报告索取:
1、网盘下载
第一步,复制链接到浏览器 https://pan.baidu.com/s/1demdf0l
第二步,输入密码 aeh3
2、联系尊龙凯时注册,我们第一时间发送给您。
2017.11/7 百度百家