美国国土安全部(DHS)向国会提交报告,详述了联邦政府使用移动设备面临的当前威胁和新兴威胁,并提出移动设备生态系统的安全改进方案。
DHS科技署(Science and Technology Directorate)与国家标准与技术研究院(National Institute of Standards and Technology)和国家网络安全卓越中心(National Cybersecurity Center of Excellence)联合展开研究。
按照美国2015年《网络安全法》的要求,《移动设备安全研究》需行业厂商、运营商、服务提供商和学术研究人员共同投入。
科技署代理副局长罗伯特-格里芬表示,《移动设备安全研究》报告发现,移动设备生态系统面临的威胁越来越多,移动计算的安全也在不断提升。这份报告概述了强化安全的几个重要建议,这将有助于联邦政府了解当前威胁和新兴威胁。
除了科技署,多个DHS部门也对这份研究有贡献:
首席信息安全官管理局办公室、国家保护和计划局(NPPD)、NPPD应急通信办公室、国家网络安全与通信集成中心、国家通信协调中心、NPPD美国计算机应急预备小组(US-CERT)、网络安全和通信网络安全部署办公室。
移动设备的安全威胁
要提升安全性,移动操作系统厂商和实施企业移动管理系统的联邦部门和机构需采用重要的保护措施来管理移动设备和应用程序。同时,需改进的领域将为联邦政府、行业和研究界提供合作机会,以解决移动设备防御的缺口。
这份研究发现,联邦政府使用移动设备(运行移动操作系统的智能手机和平板电脑)所面临的威胁存在于移动生态系统的所有元素中。要应对这类威胁,需采取与桌面工作站截然不同的安全方法,其主要原因是移动设备面对的威胁不同,经常在企业保护范围之外运行,并且独立于桌面架构之外。
研究表明,移动设备面临的威胁涉及面较广,包括国家攻击者、有组织的犯罪入侵或移动手机丢失、被盗等。除此之外,针对消费者的威胁还会影响联邦政府的用户,例如社交工程、勒索软件、银行欺诈、窃听、身份盗用、窃取服务或敏感数据。
此外,联邦政府的移动设备因为这些用户是公共部门的雇员,用户可能会成为其它威胁的目标。报告警告称,联邦政府的移动设备可能会成为黑客攻击后端计算机系统的途径,这类系统中包含数百万美国公民的数据和与联邦政府运作相关的机密信息。
改进联邦政府移动设备安全的建议
这项研究还得到了国防部和总务管理局的支持。研究提出一系列改进联邦政府移动设备安全的建议,主要建议包括:
根据现有标准和最佳实践,采用移动设备安全框架。
加强《联邦信息安全现代法案》(FISMA),专注保护移动设备、应用程序和网络基础设施安全。
将移动纳入“持续诊断和缓解”计划(Continuous Diagnostics and Mitigation program),使用与其它网络设备(例如工作站和服务器)相当的能力解决移动设备和应用程序的安全问题。
在移动应用安全中(Mobile Application Security)继续实施DHS科技署应用研究计划,以便政府机构安全地使用移动应用程序。
在移动威胁信息共享中创建新项目,以解决移动恶意软件和漏洞,包括解决通用漏洞披露(CVE)的方法。
将移动安全技术的采用和改进纳入操作程序,以确保未来的能力包含对移动威胁进行保护和防御。
与移动网络运营商合作,以检测、应对并响应威胁(例如SS7/ Diameter漏洞,监听IMSI捕捉器),如有必要,利用DHS国家保护与计划局的法定权威实现这些目标。
建立新的安全防御研究计划,以解决移动网络基础设施中的漏洞,并提升安全和弹性。
让联邦政府积极加入重要的移动标准机构和行业协会。
根据威胁情报和新出现的攻击策略、技术和程序制定美国政府在海外使用移动设备的政策和程序。
DHS有责任保护联邦机构和部门使用的通信手段,还要保护国家在物理和网络领域免受新兴威胁。移动技术对美国至关重要,不仅能为政府所用,还能确保企业和公民的通信安全。 DHS肩负保护国土安全的使命。
以防止移动技术和基础设备面临的威胁扩大,这份研究报告还进一步概述了DHS实现这些目标的具体步骤。