美国CISA发布《安全能力增强指南》

11月24日，美国网络安全和基础设施安全局（CISA）发布了可操作的安全能力增强指南（CEG），并创建了一个企业移动管理（EMM）系统检查表，为企业和相关组织提供改善移动设备网络安全的参考。

由于企业管理的移动设备面临威胁广泛，指南中描述的措施侧重于组织可以采取的各种易于实施的步骤，通过最佳实践，帮助企业及机构为员工提供对企业移动设备资源的安全访问。

最佳实践分为6步，涵盖设备管理、身份验证、应用程序安全、安全通信、设备保护等内容。

以安全为中心的设备管理

选择设备：选择符合企业要求的设备，并仔细关注供应链风险。

更新平台：启用移动设备管理（MDM）系统的自动更新功能，以确保在最新更新可用时立即应用。

• 操作系统（OS）更新的功能有助于保护隐私、增强安全性，并修复使设备容易受到恶意攻击的漏洞。

设备需受信任：受信任的设备具有以下特征：

• 已更新到最新的版本。
• 由EMM按照企业标准正确配置。
• 不得越狱或扎根。
• 通过EMM系统持续监控。

如果不满足这些条件中的任何一个，则该设备是“不受信任的”，不应访问企业资源。

拒绝访问不受信任的设备：设备应被视为不受信任的，并被拒绝访问企业资源，除非它们满足上述所有标准。

强身份验证

启用设备身份验证：强制执行设备的强登录密码/PIN，PIN应至少为六位数字。为了获得最大程度的保护，应启用生物特征认证（人脸或指纹）。

启用双因素身份验证：启用双因素身份验证（2FA）以访问企业网络。2FA选项将密码或PIN与另一种身份验证形式配对，如SMS消息或生物特征输入等。

良好的应用程序安全

禁用第三方应用商店，避免恶意软件传播。

隔离企业应用程序：使用安全容器技术隔离企业数据。组织的EMM应配置为防止企业应用程序和个人应用程序之间的数据外泄。

最小化所有应用程序中的PII：限制应用程序中个人身份信息（PII）的数量。如果应用程序不存储或无法访问PII，那么恶意攻击者泄漏或窃取数据的难度就会大得多。

限制权限：在安装应用程序时，默认情况下禁用所有敏感权限（如照相机、位置）。

确保企业开发应用程序的审查策略。

限制操作系统/应用程序同步：通过限制操作系统/应用程序同步，限制对企业数据的备份，防止企业敏感数据泄漏。

网络通信防护

禁用不需要的网络无线电（BT、NFC、Wi-Fi、GPS）：每个设备的连接或潜在的攻击都可以被秘密利用，甚至可以通过网络控制每个设备的连接。

• 在不使用蓝牙、Wi-Fi和NFC时禁用它们，可以减少恶意攻击设备的机会。
• 禁用GPS无线电和相关定位服务可保护用户的位置隐私。

禁用用户证书：应认为用户证书不可信，因为恶意攻击者可以使用隐藏在其中的恶意软件实现对设备的攻击，例如拦截通信。

使用安全通信应用程序和协议：许多基于网络的攻击允许攻击者拦截和修改传输中的数据，从而导致PII泄漏、凭据被盗、跟踪用户的位置和活动等。将EMM配置为在设备和企业网络之间使用VPN。

设备防护

利用移动威胁防御（MTD）系统：MTD可以保护设备免受各种可能危害应用程序和操作系统的恶意软件攻击，并可以提取敏感数据。MTD还可以检测不正确的配置。

使用可靠的充电器和电缆为设备充电：恶意充电器或PC可能引入恶意软件，使攻击者能够绕过保护并控制设备。

• 向员工发放可信的充电器和电缆，并指示他们只使用这些物品为设备充电。
• 将组织提供的设备配置为使用USB限制模式，该模式禁用手机和USB设备之间的数据传输。

启用丢失设备功能：设置在一定次数的错误登录尝试（例如10次）后自动擦除设备的数据，并启用远程擦除设备的选项。

关键系统隔离

不允许移动设备连接到关键系统：受感染的移动设备可将恶意软件引入关键业务辅助系统，如企业PC、服务器或操作技术系统。

• 指示用户切勿通过USB或无线将移动设备连接到关键系统。此外，配置EMM以禁用这些功能。

*来源：CISA