Security+ 学习笔记45 移动设备安全

一、移动设备连接方法(Mobile connection methods)

为了确保移动设备的安全，网络安全专家需要了解移动设备可能获得数据和连接到其他系统上的资源的各种方式。目前有相当多的连接技术，每一种都有不同的用途。如下是几个重要的技术：

1. 蜂窝网络(Cellular networks) 在世界各地的大多数城市和郊区使用。蜂窝网络覆盖了相当大的区域，一个塔台能够为20英里或更远的设备提供服务。蜂窝网络是根据其提供的服务的世代来评定的。而且它们的编号是按照能力的递增顺序排列的。我们不再经常看到1G、2G或3G蜂窝网络被使用，现在4G网络非常普遍，5G网络开始在大城市出现。
2. Wi-Fi网络为移动设备提供了重要的性能提升，因为它们通常比蜂窝网络快得多，而移动设备的用户在进入支持Wi-Fi的区域时，往往会连接到这些网络，以获得速度提升。当然，代价是Wi-Fi的范围比蜂窝网络信号短得多。Wi-Fi网络可以以两种不同的方式运行。点对多点( Point-to-multipoint)网络被设计为服务于许多不同的设备，这些设备可能位于不同的地区，并且是移动的。这是最常见的Wi-Fi网络类型。点对点(Point-to-point)网络被设计为连接到具体明确的地点，并使用高度定向的信号。
3. 在没有Wi-Fi或蜂窝网络服务的偏远地区，个人可能使用卫星通信(Satellite communications) 来获得数据网络的接入。然而，其代价是它们的速度极慢，使用起来也极为昂贵。卫星还为移动设备提供对全球定位系统或GPS的访问。GPS可用于确定设备的准确位置，非常精确。
4. 蜂窝、Wi-Fi和卫星网络提供相当大距离的连接，覆盖整个建筑物和大的地理区域。在某些情况下，移动设备可能需要在更短的距离内进行通信，以实现不同类型的连接。NFC技术使用电磁感应，允许彼此在大约10厘米内的设备之间进行通信。NFC技术通常用于短距离的交易性通信，如移动支付。苹果支付和安卓支付使用NFC技术来完成安全支付交易。
5. 蓝牙技术的工作范围比NFC要长，允许彼此相距约30英尺的设备之间进行通信。蓝牙通常用于移动设备和计算机之间的连接，以及扬声器、耳机和汽车音响集成。
6. 红外线通信(Infrared communications) 也可以在短距离内使用，但它们是有问题的，因为它们的信号可能会被墙壁、家具，甚至是发射器和接收器之间的人阻挡。我们有时确实会在移动设备中发现红外发射器，以提供向其他设备（如使用红外遥控器的家庭媒体组件）发送命令的能力。
7. 最后，移动设备可以使用USB连接来连接到网络。许多设备在通过USB连接到笔记本电脑或台式电脑时，有能力访问这些设备上的网络连接。同时，笔记本电脑或台式机也可以使用移动设备的蜂窝网络，当他们共享一个USB连接时，这种使用情况被称为Device tethering。

二、移动设备安全(Mobile device security)

移动设备是我们日常生活中的一个常见部分，但也接触和保存了敏感的信息，我们必须用强大的安全控制措施来保护它们。如下一些基本的移动设备安全控制措施：

1. 首先，每个移动设备都应该有一个或多个访问控制机制(access control mechanisms) 来保护。其中最常见的是使用密码。目前，许多设备默认为四位数的密码，但这并不能提供非常强大的安全性。我们应该用强大的密码来保护你的移动设备，就像你自己电脑或在线账户一样。iOS和Android都允许我们从默认的四位数密码改为使用强密码。当然，密码是不方便的，并且在移动设备上输入一个字母数字密码是很困难的。出于这个原因，移动设备提供了触摸ID技术，让我们使用生物指纹认证来访问自己的设备，而无需输入密码。并且还提供面部ID技术，允许我们使用面部识别作为生物识别认证机制。
2. 对存储在移动设备上的数据进行加密很重要，以防设备丢失或被盗。目前，当我们启用密码保护时，苹果和安卓设备都会自动对设备的内容进行加密，也被称为全设备加密(Full-Device Encryption)。
3. 如果我们的设备丢失，落入坏人之手，我们还希望能够通过网络删除设备的内容。这种被称为**远程擦除(Remote wiping)**的技术在安卓和iOS设备上都可用。以下是苹果公司 "寻找我的iPhone "网站中内置的远程擦除选项的截图。
   
   我们需要记住的是，只有当设备实际连接到网络时，我们才能够擦除它。所以这并不是一个万无一失的技术。
4. 移动设备还应该被设置为在一段时间不活动后自动锁定屏幕，并锁定那些试图输入错误密码太多次的用户。
5. 推送通知技术允许应用程序提醒用户注意重要事件。这项技术也被双因素认证系统广泛使用，以方便我们的认证。
6. 现在也有一些更奇特的移动安全控制。在现实世界中，我们可能不会经常遇到这些。首先是硬件安全模块(Hardware security modules)或HSM，以MicroSD卡的形式提供。这些HSM能够提供高度安全的加密密钥管理，以便与井设备一起使用。第二种是SE Android，一种专门的操作系统，目的在锁定Android设备。这个操作系统设计用于高度安全的应用。它为安卓平台带来了强制性的访问控制。

三、移动设备管理(Mobile device management)

在上个笔记中，我们了解了配置单个移动设备的安全设置以满足组织的安全要求。如果我们试图为自己的组织中的每一台设备做这件事，会十分困难。这就是移动设备管理技术发挥作用的地方。移动设备管理或MDM解决方案，为企业提供了一种同时管理许多移动设备的安全设置的简便方法。如下是MDM解决方案的一些特点：

1. MDM类似于我们可能使用活动目录(Active directory) 来管理许多Windows系统上的这些设置。
2. 管理员可以从一个中央控制台创建和执行跨设备组的策略，而不需要对多个设备进行单独访问。
3. MDM解决方案通常被纳入更广泛的配置管理解决方案，称为统一终端管理(Unified Endpoint Management)或UEM平台。
4. MDM还允许管理员执行设备配置管理，防止终端用户以清除组织安全策略的方式禁用其设备上的安全设置。例如，我们可以使用MDM要求设备用字母数字密码保护，或者要求设备使用加密的备份。
5. 我们还可以使用MDM禁用未使用的设备功能，以增加设备的安全状况。
6. MDM还为管理员提供了对存储在设备上的数据的控制。它允许对丢失或被盗的设备进行远程擦除，以及即时撤销用户对设备的访问。当员工丢失设备或在没有通知的情况下离开组织时，这些都是特别有用的。管理员可以禁止使用设备上的可移动存储，以防止敏感信息被删除。移动设备管理的一个最重要的功能是应用控制(Application control)。管理员可以使用移动应用管理技术的黑名单或白名单方法，指定用户可以在移动设备上安装的应用程序。
7. 一些MDM还允许容器化和存储分割(Containerization and Storage segmentation)，提供设备的安全加密部分，用于敏感的组织数据，同时允许用户不受限制地访问设备的其余部分供个人使用。
8. MDM解决方案还允许管理员配置内容管理过滤器(Content management filters)，防止用户访问设备上未经授权的内容。

市场上有许多不同的移动设备管理产品。谷歌移动管理是谷歌的MDM解决方案，它适用于Android、iOS和Chrome设备。

四、移动设备追踪(Mobile device tracking)

1.库存控制(Inventory control)
移动设备管理软件的主要目标之一是确保一个组织能够跟踪其所有的移动设备资产。库存控制是企业安全计划的一个重要组成部分。当智能手机和平板电脑丢失或被盗时，企业失去了实物资产，以及存储在该设备上的数据（如果它没有被加密）。虽然企业可以实施加密和其他安全控制，以防止盗贼获得存储在设备上的信息，但他们仍然会产生与设备本身相关的经济损失，这是一个非常严重的问题。面对这些统计数字，企业必须保持其移动设备的准确库存，以便在财务上负责。

2.资产追踪软件(Asset tracking software)
资产追踪软件可以帮助企业掌握其计算资产的库存情况。在大多数情况下，企业不仅关注智能手机和平板电脑，而且还关注笔记本电脑和台式电脑、服务器、打印机和其他计算设备。资产追踪系统通常与设备管理解决方案和或IT服务管理软件包集成。资产追踪软件应该管理设备的整个生命周期。这从申请一个新设备开始，一直到订购和接收过程，包括设备的初始配置、安全策略的应用和设备作为组织财产的标签。然后，设备被分配给一个用户，然后可能随着时间的推移转移给其他用户。最后是设备淘汰过程，包括从设备上删除所有的组织数据，然后通过将其作为剩余财产出售或以其他方式丢弃来处理设备。
3.地理定位技术(Geolocation technology)
地理定位技术使企业能够实时或在历史基础上识别移动设备的位置。这通常是在像快递公司这样的领域，管理层希望利用移动设备的GPS功能来跟踪司机的位置，以进行路线优化和解决其他问题。

4.地理围栏(Geofencing)
地理围栏允许企业在一个区域周围画一个虚拟围栏，当一个设备离开该定义的围栏时产生警报。使用GPS跟踪技术确实有真正的隐私问题。而且，组织可能在法律上和道德上有义务向那些受监控的员工告知他们对这种技术的使用。对GPS监控的控制可能包括。严格限制可以访问GPS数据的人。在通知管理员的情况下，为被监控的个人提供按要求停用监控的功能。在工作时间之外自动关闭监控软件，并明确告知监控和被监控数据的授权用途。

五、移动设备应用安全(Mobile application security)

应用程序允许用户访问关键的商业信息，发送和接收电子邮件信息，管理他们的日历，访问文件，以及执行许多其他可能涉及使用敏感信息的任务。安全管理员必须确定他们在企业中使用移动应用程序时有强大的安全实践。有如下几点需要注意：

1. 确保应用程序使用安全的第一步是实施应用程序控制策略，限制可在移动设备上使用的应用程序类型；
2. 允许访问数据或资源的应用程序应该需要认证。围绕这些应用程序的凭证管理应该与我们访问任何其他敏感资源时使用的相同。例如，如果应用程序使用密码认证，我们要确保他们使用的密码与我们组织的密码安全政策的强度相符。并且，如果我们能把应用认证与自己的组织的中央认证服务联系起来，这通常是最好的方法。用户不需要学习新的密码或其他认证技术，我们将保留对应用程序访问的中央控制。如果用户离开组织，我们可以撤销他们的中央认证账户，他们将自动失去对应用程序的访问。如果应用程序有自己的认证机制，安全管理员将需要手动禁用该访问，作为账户撤销过程的一部分。但是，在许多情况下，应用程序依赖于其他供应商提供的认证技术，如我们看到的组织允许我们用谷歌、Twitter或Facebook账户登录的应用程序。在我们的环境中允许这种类型的信任之前，请仔细考虑。如果当我们允许用户采用这些外部认证机制时，就把对我们的组织的敏感信息的访问控制权放在了第三方手中；
3. 我们应该确保所有的敏感信息在应用程序和服务器之间的传输过程中以及存储在设备上时都是加密的。良好的加密还需要强大的密钥管理。我们应该知道使用什么加密密钥来保护你的敏感信息，它们被储存在哪里，以及谁可以访问它们；
4. 在评估移动应用安全时，我们应该考虑的最后一个问题是地理标记(Geotagging) 的使用。现在，移动设备通常采用GPS技术，使设备能够准确定位其在地球上的位置，精确到几英尺或几英寸。许多应用程序利用这一信息来改善它们向用户提供的服务。例如，相机应用程序通常会在照片上自动标明照片拍摄地的GPS坐标。如果企业不想暴露这些位置信息，这可能会带来安全和隐私问题。现代移动设备允许用户和管理员准确地指定哪些应用程序可以访问位置信息，以及在什么情况下可以访问它。请确保了解这些设置并适当地应用它们。

六、移动设备安全的实施(Mobile security enforcement)

移动设备上有各种各样的功能，每次制造商升级设备时，市场上都会出现新的功能。安全专家应该仔细监测这些功能的使用情况，并对可能对安全构成风险的功能实施限制。通过之前的笔记，我们已经了解使用MDM解决方案来限制移动设备的配置并执行组织的安全策略。但是有一些方法，用户可能试图规避这些控制：

1. 首先，如果我们依赖设备制造商的应用程序商店来使用受信任的应用程序，还需要应该知道互联网上有各种第三方的应用程序商店。而这些可能不像制造商的应用商店那样可靠和安全。从非官方来源安装应用程序被称为Sideloading，因为它绕过了正常的应用程序加载程序。目前，遵循开放应用模式的安卓设备上比在苹果设备上的问题要多得多，因为苹果设备通常将用户限制在官方的应用商店。然而，如果用户通过所谓的 "越狱(Jailbreaking) "或 "ROOT "过程，故意规避苹果的安全控制，第三方应用程序在苹果设备上可能成为一个问题。当越狱设备时，用户在该设备上加载一个自定义版本的操作系统固件。这种自定义固件缺乏官方固件中的安全控制，安全专家应仔细监测移动设备是否有越狱的迹象，因为它可能引入许多其他安全问题。
2. 我们还应该注意设备上安装的固件是否是最新的，并针对已知的安全漏洞打了补丁。大多数现代移动设备都是通过一个被称为 "Over-the-air "或 "OTA "的过程自动接收其固件更新。
3. 除了保护设备固件和应用程序外，我们希望控制可能影响敏感信息的设备功能的使用。这些控制通常是通过使用移动设备管理解决方案来设置的。例如，你可能希望对摄像头的使用设置限制，因为你担心摄像头可能被用来查看用户访问的敏感区域，或者限制信息传递技术的使用，如短信、彩信、丰富的通信服务和iMessage，这些技术可能被用来传输敏感信息，等等。最终，我们需要想出一套与自己的组织的业务和安全需求相一致的政策。

七、自带设备(BYOD)

如果一个组织的员工往往拥有他们感到舒适和熟悉的个人计算设备。他们想把这些设备带到工作场所，用企业信息来提高自己的工作效率。这种用户将自己的设备带到企业环境中的环境被称为自带设备(Bring your own device)或BYOD。

Gartner最近估计，在未来几年内，一半的雇主将要求员工携带自己的设备在工作中使用。BYOD的增长将各种新的政策问题带了出来。组织必须围绕BYOD制定明确的指导方针，规定谁可以携带设备，他们可以携带什么类型的设备，以及如何管理这些设备的安全配置。在旧的环境中，公司同时拥有数据和设备。在BYOD环境中，用户可能拥有设备，而用户和公司都可能拥有该设备上的一些数据。
因此，用户应该了解将进行哪些监控，并同意在其个人拥有的设备上安装任何监控软件。但通常，用户不太可能接受在他们自己购买的设备上安装监控软件，就像他们接受公司在他们的汽车或家里安装安全摄像头一样。这些隐私问题可能也有法律依据。实施BYOD政策的组织应该咨询他们的律师，以确定在他们的行业和管辖范围内可能存在哪些要求。当一个组织决定采用BYOD政策时，它应该制定明确的指导方针。这些准则应规定哪些数据可以存储在个人设备上，以及如何使用这些数据。在设备在公司使用期间期间，IT人员应确保设备符合组织的安全要求，并进行安全配置。当用户离开组织或准备处置设备时，IT人员应确保所有敏感的企业信息从该设备上被删除。

制定BYOD政策的IT人员应该考虑对其架构和基础设施的技术影响。当组织购买设备时，很容易对硬件、操作系统和应用程序进行标准化。当用户携带自己的设备时，这种标准化往往是不可能的。BYOD设备的一些具体技术问题包括：组织是否将使用MDM来控制这些设备的配置，组织如何确保BYOD设备定期打补丁并包含适当的防病毒控制，是否允许BYOD设备上的摄像头在公司设施内拍照和/或录像，以及在BYOD设备出现漏洞时组织将遵循什么程序。BYOD是一种趋势，它将持续存在。每个组织，无论它是打算允许BYOD，要求BYOD，还是完全禁止个人拥有的设备，都应该有一个明确的书面政策，让所有员工都知道这个问题。

八、移动部署模式(Mobile deployment models)

企业使用许多不同的方法来部署由公司或员工拥有的移动设备。虽然BYOD的方法对一些组织来说是有效的，但其他组织则希望对设备有更多的控制，或者不希望员工承担购买和维护自己的移动设备的负担。出于这个原因，一些替代策略已经出现，以补充BYOD和传统的公司拥有的设备模式。

1. 选择你自己的设备(Choose Your Own Device)或CYOD策略，认识到不同的员工在设备方面有不同的个人偏好。一些人可能想使用iPhone，而另一些人想使用安卓设备。在CYOD战略中，员工选择他们喜欢使用的设备，然后公司为他们购买并管理这些设备。一些采用CYOD策略的组织，可能只是为员工提供购买设备的补贴，然后让员工选择最适合他们工作风格的设备。然而，更常见的是，公司有一个由IT部门支持的标准设备菜单，然后允许员工从该菜单中选择他们喜欢的设备。

2. Corporate Owned Personally Enabled或COPE模式，认识到BYOD方法的出现，部分原因是员工不想为业务和个人使用携带单独的设备。然而，COPE模式不允许员工在他们的个人设备上访问企业资源，而是允许员工个人使用企业拥有的设备。并且允许员工安装应用程序，配置个人云账户和个性化他们的企业设备。

3. 现在，还有一种移动计算的部署模式，在企业中越来越受欢迎。虚拟桌面基础设施(Virtual Desktop Infrastructure)，即VDI 允许企业在位于数据中心或云端的服务器上运行虚拟桌面。这些桌面可以被仔细配置以满足组织的安全要求，然后员工可以使用他们的个人设备连接到该虚拟桌面。数据永远不会离开虚拟化环境的安全范围，员工可以有效地工作。
   
   最后，无论企业使用哪种移动部署模式，安全问题仍然是一个值得关注的问题。在每一种情况下，网络安全团队和用户都应该了解允许设备的哪些用途，以及组织将如何在设备上执行安全设置。

整理资料来源：
https://www.linkedin.com/learning/paths/become-a-comptia-security-plus-certified-security-professional-sy0-601