
美国网络安全与基础设施安全局(CISA)最近发布的指导可能无法让美国人对“盐台风”电信黑客事件感到更加安心,但它应能更好地保护那些受到中国国家赞助攻击者瞄准的个人。
针对高风险个人的安全建议
CISA在周三发布的五页指导文件旨在保护“高度针对性”的个人——这些人被定义为“在高级政府或政治职位上,可能拥有对这些威胁行为者感兴趣的信息”。然而,这些典型详细的建议也适用于那些威胁模型中没有国家攻击者的人。
CISA建议高度针对性的个人“假设所有移动设备之间的通信——包括政府和个人设备——与互联网服务之间的通信都存在被拦截或操纵的风险”,因此强调了对消息应用程序进行端到端加密的重要性。
虽然该机构提到存在多种安全消息应用程序,但只提到一个——Signal。这是CISA针对那些直接受到中国黑客攻击的人的唯一具体建议——据报道,包括当选总统特朗普在内。
加强多重身份验证
CISA还建议升级多重身份验证,采用无法被钓鱼网站欺骗的方法;它支持硬件安全密钥和密码,这两种方法可以忽略那些看似真实登录页面但不在正确域名上的虚假网站。
该机构的指导允许使用Google Authenticator或Twilio的Authy等应用生成的一次性代码来保护不太重要的账户,但建议放弃短信多重身份验证,因为这是验证登录的最不安全选项。它还敦促读者用辅助PIN保护他们的无线账户,以防止SIM卡交换接管电话号码。
VPN:安全性和隐私政策的疑虑?
CISA建议依赖密码管理器、及时安装软件更新,特别是安全补丁,以及选择完全支持新安全功能的新手机型号,这些都不应该让注重安全的读者感到意外。然而,它的“不要使用个人虚拟私人网络(VPN)”的指令可能会引发一些疑问。
为何不使用VPN来加密所有在线流量?CISA的指导解释道:“个人VPN仅仅是将残余风险从互联网服务提供商(ISP)转移到VPN提供商,往往会增加攻击面。许多免费和商业VPN提供商的安全和隐私政策都值得怀疑。”
(此外,几乎所有网站现在都加密了它们与访问者浏览器之间的数据。无论是你的ISP还是VPN都能知道你正在访问PCMag.com,但无法知道你正在阅读这篇文章。)
别忘了你的手机
CISA还提供了一些针对移动操作系统的具体建议。它建议通过切换到Cloudflare和Google等公司的加密DNS,来保护设备的域名系统查询,或者在iOS中启用Apple的iCloud私人中继。
报告建议Android和iOS用户检查他们已授予应用程序的权限,这是我们自己也分享过的合理建议;它进一步提醒Android用户确认Google的Play Protect应用程序扫描功能(默认启用)仍然处于活动状态。
加密消息的注意事项
苹果的iMessage和谷歌的RCS都为短信提供了端到端加密,但CISA正确地警告说,在Android和iOS用户之间的消息中,这种加密会消失。使用Apple的RCS兼容iOS 18时,仅在传输中加密,虽然正在进行工作以将“e2e”加密添加到这些跨平台聊天中。
报告建议iOS用户禁用通过未加密SMS发送消息的后备选项。并且建议Android用户仅在对话中的每个人都使用谷歌的Messages应用时才使用RCS。也就是说,只有在群聊中没有人使用iOS或Google Voice的情况下。
CISA还通过建议读者从“具有强大安全记录和长期安全更新承诺的制造商”购买设备,提到了不同手机厂商对安全补丁支持的质量差异。然而,其文件中链接的“Android企业推荐”设备列表几乎包括了美国的所有手机厂商。
最严格的安全建议
CISA对iOS用户提出的最严格的安全建议是:启用Apple的锁定模式。这一极为限制的选项——苹果称其为“极端”措施——可以抵御商业间谍软件,但会破坏许多iPhone功能,许多读者可能会对这一建议感到犹豫,即使他们通常不容易受到网络攻击的影响。
CISA的帖子以提醒读者报告在线攻击和漏洞结束——可以通过其网站、发送电子邮件至report@cisa.dhs.gov,或拨打844-729-2472进行老式但不太安全的电话联系。
结语
网络安全是每个人都需要关注的重要话题。通过遵循CISA的指导,您可以更好地保护自己的隐私和安全。及时更新软件、使用安全的通讯应用程序以及谨慎处理个人信息,都是提升网络安全的有效措施。
如您希望获取更多安全和隐私方面的故事,请订阅我们的安全观察新闻通讯,确保您不会错过任何重要信息。