美國國家安全局（NSA）當(dāng)?shù)貢r間周四發(fā)布的一份題為《公共環(huán)境下無線設(shè)備的安全保護》公共服務(wù)公告，敦促安全團隊注意員工使用Wi-Fi網(wǎng)絡(luò)時面臨的無線威脅。該公告將藍牙技術(shù)和近場通信（NFC）列入其令人擔(dān)憂的協(xié)議清單。NSA警告稱，攻擊者以遠程辦公人員為目標(biāo)，竊取公司數(shù)據(jù)。NSA建議，機構(gòu)應(yīng)尋求保護企業(yè)網(wǎng)絡(luò)和個人無線設(shè)備的最佳實踐。這些建議雖然范圍不大，但確實為系統(tǒng)管理員提供了一個可靠的備忘清單，可以與他們在家工作的員工和移動工作人員分享。

　　遠程辦公已經(jīng)成為當(dāng)前一種重要的新工作方式，許多人在家或在旅行中遠程辦公。雖然家庭網(wǎng)絡(luò)的所有者可以采取措施確保這些網(wǎng)絡(luò)的安全，但很難確保公共網(wǎng)絡(luò)（例如，會議或酒店Wi-Fi）的安全。無論何時，保護個人和公司數(shù)據(jù)都是至關(guān)重要的，尤其是在公共場所遠程辦公時。為了確保數(shù)據(jù)、設(shè)備和登錄憑證的安全和不受損害，網(wǎng)絡(luò)安全是用戶和企業(yè)的關(guān)鍵優(yōu)先事項。這包括識別風(fēng)險較高的公共網(wǎng)絡(luò)，并在公共環(huán)境下實施安全最佳實踐，無論是連接筆記本電腦、平板電腦、移動電話、可穿戴配件，還是其他能夠連接互聯(lián)網(wǎng)的設(shè)備。

　　使用公共WI-FI網(wǎng)絡(luò)的風(fēng)險

　　盡可能避免連接到公共Wi-Fi，因為在使用公共Wi-Fi網(wǎng)絡(luò)時，風(fēng)險會增加。盡可能使用公司或具有強大的認(rèn)證和加密的個人Wi-Fi熱點，因為它將更安全。

　　如果用戶選擇連接到公用無線網(wǎng)絡(luò)，他們必須采取預(yù)防措施。通過公共Wi-Fi發(fā)送的數(shù)據(jù)，特別是不需要口令即可訪問的開放公共Wi-Fi，很容易受到盜竊或操縱。即使一個公共的無線網(wǎng)絡(luò)需要一個口令，它也可能不會加密經(jīng)過它的流量。如果Wi-Fi網(wǎng)絡(luò)確實加密了數(shù)據(jù)，如果惡意參與者知道預(yù)先共享的密鑰，他們就可以解密它。惡意行為者有時也會迫使網(wǎng)絡(luò)使用不安全的協(xié)議或過時的加密算法（降級到不安全的協(xié)議）。此外，惡意行為者可以設(shè)置一個假的訪問點，也被稱為邪惡的雙胞胎，以模仿附近的公共WiFi，導(dǎo)致該行為者能夠訪問通過網(wǎng)絡(luò)發(fā)送的所有數(shù)據(jù)?？梢允褂瞄_源工具捕獲未加密的網(wǎng)絡(luò)流量或容易解密的流量，從而暴露敏感數(shù)據(jù)。

　　如果連接到公共的Wi-Fi網(wǎng)絡(luò)，美國國家安全局強烈建議使用個人或公司提供的虛擬專用網(wǎng)絡(luò)（VPN）來加密流量。此外，用戶應(yīng)采用安全的瀏覽方法，例如只訪問使用超文本傳輸協(xié)議安全（HTTPS）的網(wǎng)站。

　　到目前為止，遠程辦公的員工可能已經(jīng)掌握了公共Wi-Fi熱點的網(wǎng)絡(luò)衛(wèi)生技術(shù)。但是，美國國家安全局建議：“通過公共Wi-Fi傳輸?shù)臄?shù)據(jù)——尤其是不需要口令就能訪問的公共Wi-Fi——很容易被竊取或操縱?！?/p>

　　建議還包括對假接入點的警告，假接入點可能會隱蔽盜取用戶憑證，并瀏覽“邪惡雙胞胎”接入點檢索到的其他個人數(shù)據(jù)。NSA公告中給出的無線設(shè)備和無線網(wǎng)絡(luò)安全的建議，見下表。

　　使用藍牙功能的隱患

　　更有趣的是，NSA稱藍牙是一種方便的私人使用協(xié)議，但在公共場合使用時，它可能會成為令人討厭的安全負(fù)擔(dān)。NSA建議在公共場合關(guān)閉藍牙，以免用戶受到諸如BlueBorne或BlueBugging等一系列攻擊——這兩種攻擊都用于訪問和竊取目標(biāo)設(shè)備上的公司數(shù)據(jù)。

　　就在去年5月，Positive Security安全公司的安全研究員Fabian braunin發(fā)現(xiàn)了蘋果的“發(fā)送我的藍牙”漏洞，該漏洞允許數(shù)據(jù)從一臺設(shè)備轉(zhuǎn)移到攻擊者控制的蘋果iCloud服務(wù)器上。

　　令人擔(dān)憂的NFC

　　美國國家安全局還提到了近場通信（NFC），這是一種方便的非接觸式支付工具。NSA表示，使用NFC的設(shè)備之間的數(shù)據(jù)傳輸可能是一個網(wǎng)絡(luò)安全隱患雷區(qū)。只需輕輕一點，數(shù)據(jù)就能通過無線網(wǎng)絡(luò)從一個設(shè)備轉(zhuǎn)移到另一個設(shè)備。NSA建議不需要時禁用NFC功能（如果可能）。不將設(shè)備靠近其他未知的電子設(shè)備。（這可以觸發(fā)自動通信。）不要使用NFC傳輸口令或敏感數(shù)據(jù)。

　　安全公司Armis的網(wǎng)絡(luò)風(fēng)險官員安迪·諾頓（Andy Norton）告訴Threatpost，在NFC通信安全方面，安全團隊落后了。

　　諾頓說：“無線連接設(shè)備對組織來說是一個巨大的風(fēng)險盲區(qū)。”“這些都是信息安全控制的軟肋——從網(wǎng)絡(luò)彈性的角度來看，大部分的精力、重點和資金都花在了防止通過互聯(lián)網(wǎng)連接的攻擊表面進行的攻擊上。幾乎沒有采取任何措施來應(yīng)對近場無線電連接帶來的風(fēng)險?！?/p>

　　他補充說，他的團隊幾乎在每一項工作中都發(fā)現(xiàn)了一個“流氓天線設(shè)備，并從支持天線的物聯(lián)網(wǎng)設(shè)備中跟蹤IT活動?！?/p>

　　用戶行為是最大的網(wǎng)絡(luò)安全挑戰(zhàn)

　　美國國家安全局的無線警告雖然都是一些最最基本的要求，但仍然被太多的人忽視。專家表示，遺憾的是，實用和基本的建議仍然需要推廣。

　　NTT應(yīng)用安全公司的Setu Kulkarni表示：“我擔(dān)心的是，這些‘禁止項’根深蒂固，存在著不易改變、有時不可避免的行為?！薄袄?，雖然很容易說‘不要把設(shè)備靠近其他未知的電子設(shè)備’，但這可行嗎？”

　　Kulkarni補充說，在理想的情況下，公司應(yīng)該制定一個關(guān)鍵的員工網(wǎng)絡(luò)安全規(guī)則，那就是避免在工作用設(shè)備中保留個人信息。執(zhí)行合規(guī)變得更加棘手。

　　Tripwire的蒂姆·歐林（Tim Erlin）表示：“這些建議在2021年和2015年一樣重要，但隨著遠程工作的增多，越來越多的人使用公共Wi-Fi?！薄半m然這些技巧很有用，但普通用戶可能很難理解如何執(zhí)行它們。要讓普通用戶遵守推薦設(shè)置，確實有大量工作要做?！?/p>

　　遠程辦公安全道阻且長

　　用來破壞設(shè)備和數(shù)據(jù)的方法在不斷演變。隨著遠程辦公變得越來越普遍，用戶越來越頻繁地將自己和自己的數(shù)據(jù)置于不安全的設(shè)置中，從而冒著暴露的風(fēng)險。通過遵循本信息表和相關(guān)指南的指導(dǎo)，用戶可以識別潛在的威脅，并在公共場所遠程辦公時采取最佳實踐。

　　NSA表示：“用戶應(yīng)該考慮額外的安全措施，包括限制/禁用設(shè)備定位功能，使用可靠的設(shè)備口令，只使用可信的設(shè)備附件，如原始充電線。”