CISA 发布移动安全指南

摘要：美国网络安全机构 CISA 周三发布了针对高度针对性个人的指导意见，以保护他们的移动通信免受威胁组织的攻击。

美国网络安全机构 CISA 周三发布了针对高度针对性个人的指导意见，以保护他们的移动通信免受威胁组织的攻击。

12 月初，美国政府发布了改善通信基础设施安全性的指导意见，特别强调了思科设备相关的风险，该设备对威胁组织来说是一个有吸引力的目标。

现在，CISA 发布了《移动通信最佳实践》，这是一份针对最终用户的指南，其中确定了他们应采取的安全措施，以保护他们的移动通信免受黑客侵害。

该指南针对的是那些“身居政府高级职位或政治高级职位并可能掌握威胁组织感兴趣的信息”的被高度针对性的个人。

网络安全机构指出：“受到高度针对的个人应该意识到，移动设备（包括政府和个人设备）与互联网服务之间的所有通信都面临被拦截或操纵的风险。”

一般建议：

1.仅使用端到端加密通信

采用一款保证端到端加密的免费消息应用程序进行安全通信，例如 Signal 或类似应用。

CISA 推荐一款与 iPhone 和 Android 操作系统都兼容的端到端加密消息应用程序，以实现跨平台的短信互操作性。

这类应用可能还为 MacOS、Windows 和 Linux 提供客户端，有时也提供网页版。这些应用通常支持一对一文本聊天、多达 1000 名参与者的群聊以及加密的语音和视频通话。

此外，它们可能包括诸如消息和图像自动消失等功能，这可以增强隐私性。在选择端到端加密消息应用程序时，评估应用程序及相关服务收集和存储元数据的程度。

2.启用快速在线身份验证（FIDO）防钓鱼认证

FIDO 认证采用最强形式的 MFA，对 MFA 绕过技术有效。在可行的情况下，基于硬件的 FIDO 安全密钥，如 Yubico 或 Google Titan，是最有效的；然而，FIDO 通行密钥也是一种可接受的替代方案。

清查有价值的账户，包括电子邮件和社交媒体账户。审查任何信息泄露会使威胁行为体受益的账户。

为每个账户注册基于 FIDO 的认证，特别是微软、苹果和谷歌账户。一旦注册了基于 FIDO 的认证，禁用其他不太安全的 MFA 形式。

对于 Gmail 用户，注册谷歌的高级保护（APP）计划，因为它可增强您对钓鱼和账户劫持的防御能力。

3.放弃基于短信服务（SMS）的 MFA

不要使用 SMS 作为认证的第二因素。

SMS 消息未加密 —— 能够访问电信提供商网络的威胁行为体拦截这些消息后可以读取它们。SMS MFA 不具备防钓鱼功能，因此对于高度特定目标个人的账户来说不是强认证方式。

注意：一些在线服务在账户恢复流程中可能默认使用 SMS；您可能无法完全从服务中消除 SMS 消息。

对于不太有价值的账户，使用其他形式的 MFA，如验证码。使用一款免费的 MFA 验证器应用程序为这些账户设置，如 Google Authenticator、Microsoft Authenticator 或 Authy。

注意：虽然验证码比 SMS 好，但它们仍然容易受到钓鱼攻击。只有 FIDO 认证具有防钓鱼功能。

一旦注册，为每个账户禁用 SMS。基于验证器的 MFA 注册不会自动取消账户的 SMS 设置。这可能会创建一个薄弱的、可被利用的备用机制，可能会被威胁行为体利用。

4.使用密码管理器存储所有密码

一些密码管理器，如苹果密码应用、LastPass、1Password、谷歌密码管理器、Dashlane、Keeper 和 Proton Pass，会自动对弱密码、重复使用的密码或已泄露的密码发出警报。此外，其中一些密码管理器还会生成验证码。

用一个强密码短语（即长、独特且随机）保护保险库（主）密码。

审查现有密码，确保它们长、独特且随机。如果不是，改为使用密码管理器生成的密码。

5.设置电信个人识别码（PIN）

大多数电信提供商都提供为您的移动电话账户设置额外 PIN 或密码的功能。登录您的账户或完成敏感操作（如手机号码转网 —— 这是应对用户身份模块（SIM）交换技术的关键步骤）时需要此 PIN。

为您的移动运营商账户添加 PIN 和 MFA，以降低 SIM 交换技术的风险。然后，使用您的密码管理器更改您的移动账户密码。

6.定期更新软件

定期更新移动设备上的操作系统和应用程序。每周检查以确保设备是最新的。

在移动设备上启用自动更新，以确保及时为操作系统和应用程序打补丁。

7.选择手机制造商的最新硬件版本

较新的硬件通常包含关键的安全特性，旧硬件无法支持。没有最新版本的硬件，仅靠软件更新无法提供最大的安全效益。

8.不要使用个人虚拟专用网络（VPN）

个人 VPN 只是将剩余风险从互联网服务提供商（ISP）转移到 VPN 提供商，通常还会增加攻击面。

许多免费和商业 VPN 提供商的安全和隐私政策存在问题。然而，如果您的组织要求使用 VPN 客户端来访问其数据，那是不同的使用情况。

针对 iPhone 的特定建议

以下建议是针对 iPhone 用户的，以增强移动通讯的保护。

1.启用锁定模式

锁定模式严格限制某些应用、网站和功能，或使一些功能不可用，以减少可能被威胁行为体利用的攻击面。

2.禁用以下设置，以确保在 iMessage 不可用时消息不会以 SMS 形式发送。iMessage 在苹果用户之间提供端到端加密。

禁用：设置→应用→消息→“作为文本消息发送”

3.保护您的域名系统（DNS）查询

苹果 iCloud Private Relay 提供增强的隐私和安全；作为一种部分免费的替代方案，使用来自 Cloudflare 的 1.1.1.1 解析器、谷歌的 8.8.8.8 解析器和 Quad9 的 9.9.9.9 解析器等提供商的 iOS 加密 DNS 服务。这些服务支持加密 DNS，以防止被威胁行为体拦截和操纵。

4.注册苹果 iCloud Private Relay

为获得额外保护，注册苹果 iCloud Private Relay（有关配置说明，请参阅 iCloud 用户指南）。

Private Relay 确保 iCloud 设备使用安全 DNS，隐藏 IP 地址，并在苹果控制的服务器和第三方之间分配流量，以降低单个实体将浏览器行为与用户身份联系起来的可能性。注意：这些好处仅限于 Safari 浏览器。

5.通过设置→隐私与安全审查并限制应用权限

审查哪些应用访问敏感数据，如位置、相机和麦克风。撤销并避免授予对应用功能不必要或过度的权限。

针对 Android 的特定建议

以下建议是针对 Android 用户的，以增强移动通讯的保护。

1.优先选择具有良好安全记录和长期安全更新承诺的制造商的型号。

例如，查看 Android 的企业推荐知识工作者和专用设备，以确保型号符合安全和更新标准。通过将最新的硬件与定期的软件更新相结合，Android 用户可以充分利用平台不断发展的安全增强功能。

优先选择具备以下能力的安卓手机：

支持硬件级安全特性 —— 通常称为安全区域或硬件安全模块（HSM）—— 以实现加密密钥的安全存储。

至少每月提供安全更新。