美國DHS向國會提交政府《移動設備安全研究》報告

E安全5月7日訊美國國土安全部（DHS）向國會提交報告，詳述了聯邦政府使用移動設備面臨的當前威脅和新興威脅，並提出移動設備生態系統的安全改進方案。

DHS科技署（Science
and Technology Directorate）與國家標準與技術研究院（National Institute of Standards
and Technology）和國家網路安全卓越中心（National Cybersecurity Center of
Excellence）聯合展開研究。

按照美國2015年《網路安全法》的要求，《移動設備安全研究》需行業廠商、運營商、服務提供商和學術研究人員共同投入。

科技署代理副局長羅伯特-格里芬表示，《移動設備安全研究》報告發現，移動設備生態系統面臨的威脅越來越多，移動計算的安全也在不斷提升。這份報告概述了強化安全的幾個重要建議，這將有助於聯邦政府了解當前威脅和新興威脅。

本文來自於E安全官網

除了科技署，多個DHS部門也對這份研究有貢獻：

首席信息安全官管理局辦公室、國家保護和計劃局（NPPD）、NPPD應急通信辦公室、國家網路安全與通信集成中心、國家通信協調中心、NPPD美國計算機應急預備小組（US-CERT）、網路安全和通信網路安全部署辦公室。

移動設備的安全威脅

要提升安全性，移動操作系統廠商和實施企業移動管理系統的聯邦部門和機構需採用重要的保護措施來管理移動設備和應用程序。同時，需改進的領域將為聯邦政府、行業和研究界提供合作機會，以解決移動設備防禦的缺口。

這份研究發現，聯邦政府使用移動設備（運行移動操作系統的智能手機和平板電腦）所面臨的威脅存在於移動生態系統的所有元素中。要應對這類威脅，需採取與桌面工作站截然不同的安全方法，其主要原因是移動設備面對的威脅不同，經常在企業保護範圍之外運行，並且獨立於桌面架構之外。

研究表明，移動設備面臨的威脅涉及面較廣，包括國家攻擊者、有組織的犯罪入侵或移動手機丟失、被盜等。除此之外，針對消費者的威脅還會影響聯邦政府的用戶，例如社交工程、勒索軟體、銀行欺詐、竊聽、身份盜用、竊取服務或敏感數據。

此外，聯邦政府的移動設備因為這些用戶是公共部門的僱員，用戶可能會成為其它威脅的目標。報告警告稱，聯邦政府的移動設備可能會成為黑客攻擊後端計算機系統的途徑，這類系統中包含數百萬美國公民的數據和與聯邦政府運作相關的機密信息。

改進聯邦政府移動設備安全的建議

這項研究還得到了國防部和總務管理局的支持。研究提出一系列改進聯邦政府移動設備安全的建議，主要建議包括：

• 根據現有標準和最佳實踐，採用移動設備安全框架。

• 加強《聯邦信息安全現代法案》（FISMA），專註保護移動設備、應用程序和網路基礎設施安全。

• 將移動納入「持續診斷和緩解」計劃（Continuous Diagnostics and Mitigation program），使用與其它網路設備（例如工作站和伺服器）相當的能力解決移動設備和應用程序的安全問題。

• 在移動應用安全中（Mobile Application Security）繼續實施DHS科技署應用研究計劃，以便政府機構安全地使用移動應用程序。

• 在移動威脅信息共享中創建新項目，以解決移動惡意軟體和漏洞，包括解決通用漏洞披露（CVE）的方法。

• 將移動安全技術的採用和改進納入操作程序，以確保未來的能力包含對移動威脅進行保護和防禦。

• 與移動網路運營商合作，以檢測、應對並響應威脅（例如SS7/ Diameter漏洞，監聽IMSI捕捉器），如有必要，利用DHS國家保護與計劃局的法定權威實現這些目標。

• 建立新的安全防禦研究計劃，以解決移動網路基礎設施中的漏洞，並提升安全和彈性。

• 讓聯邦政府積極加入重要的移動標準機構和行業協會。

• 根據威脅情報和新出現的攻擊策略、技術和程序制定美國政府在海外使用移動設備的政策和程序。

DHS有責任保護聯邦機構和部門使用的通信手段，還要保護國家在物理和網路領域免受新興威脅。移動技術對美國至關重要，不僅能為政府所用，還能確保企業和公民的通信安全。 DHS肩負保護國土安全的使命。

以防止移動技術和基礎設備面臨的威脅擴大，這份研究報告還進一步概述了DHS實現這些目標的具體步驟。

E安全註：本文系E安全官網獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。