下载掌阅APP,畅读海量书库
立即打开
随着移动互联网及4G/5G移动通信技术的飞速发展,以智能手机为代表的移动智能终端已成为人们工作与生活不可或缺的重要工具。与此同时,针对智能手机的病毒、木马、黑客攻击等各种安全威胁层出不穷,种类与数量也呈逐年上升的趋势,并且传播速度呈指数级增长,移动安全问题日趋复杂。通过智能手机窃取个人信息,并以此为踏板诈骗个人财产,甚至威胁人身安全的事件频发。如图1-5所示,据《2023年中国手机安全状况报告》统计,2023年360安全大脑共截获移动端新增恶意程序样本约5964.0万个,同比2022年(2407.9万个)增长了约147.7%。恶意软件的攻击目的主要包括数据与隐私窃取、资费消耗与恶意扣费、远程控制,以及破坏移动终端可用性。
图1-5 移动终端新增恶意程序样本量
数据与隐私窃取: 作为个人生活、工作不可或缺的工具,移动终端通常存储有大量个人信息与工作信息。攻击者可能利用恶意移动App(如针对iPhone的PhoneSpy软件)窃取用户信息并传送给攻击者或其他利益方。而移动终端信息窃取通常还伴随着电信诈骗、商业欺诈等违法行为,因此信息与隐私窃取会对用户财产、人身安全造成严重威胁。
资费消耗与恶意扣费: 已有研究表明,超过40%的恶意移动App是以直接或间接获取金钱利益为目的的。例如,攻击者可以利用恶意软件(如木马Trojan-SMS.AndroidOS.FakePlayer)控制移动设备向特殊号码发送短信定制某服务,从而非法获得经济利益。
远程控制: 由于移动终端已成为智能家居、汽车的远程控制端,通过移动终端实现的恶意攻击可能会导致对用户的人身伤害。例如,通过远程恶意软件控制智能门锁、加热装置、抽水马桶等智能家居设备对用户进行人身伤害等。另外,移动终端蓝牙、WiFi等无线通信方式为用户提供便利的同时,也为攻击者实施远程控制提供了便利的途径。目前,业界已公开了多种基于蓝牙、WiFi接口入侵并远程控制移动终端的案例。
破坏移动终端可用性: 该类攻击的目的是破坏系统、干扰用户正常使用,乃至使系统崩溃或移动终端关机。例如,利用移动终端电池供电的特点,恶意软件通过CPU进行大量运算来耗尽电量,从而造成移动终端关机。更为严重的是,恶意软件可以获取Root权限后随意修改、删除终端数据,给用户造成难以挽回的损失。
2021年“飞马(Pegasus)事件”曝光,包括一些国家政要在内的5万余人的手机被飞马间谍软件入侵。2023年12月27日,在德国汉堡举行的混沌通信大会上,卡巴斯基的专家展示了“三角测量行动”研究的结果,该研究揭示了对Apple设备的复杂攻击链,该攻击链利用了4个零日漏洞。这些漏洞链接在一起,形成零点击漏洞,使攻击者无须与受害者进行交互即可获得权限并执行远程代码。攻击从发送到目标的恶意iMessage附件开始。整个攻击链是零点击的,这意味着它不需要用户交互,也不会产生任何可检测的痕迹。
由于智能终端具有广泛的使用场景,并承载了巨大经济及数据价值,它们已成为不法分子、黑客甚至高级持续性威胁(Advanced Persistent Threat,APT)组织的主要攻击目标。如何系统性地构建智能终端的安全防御体系以应对这些挑战,需要一套科学的方法论和实践体系。1.2节介绍的CC,就提供了国内外业界公认的方法论和实践体系。依据该体系,首要的工作是识别受保护资产、分析安全威胁,进而得出安全需求。
从CC安全模型的角度,智能终端的资产主要是用户数据、系统数据和敏感资源。
用户数据: 用户或应用软件产生的数据,如用户联系人、短信、位置信息、健康数据、照片等。
系统数据: 包括系统镜像、系统升级包、访问控制策略、安全配置数据、预置证书、根密钥等。
敏感资源: 包含敏感接口、通信资源、外设资源(如摄像头、位置传感器)等。
与此同时,智能终端面临的威胁可以抽象归纳如下。
完整性破坏: 通过攻击非法篡改智能终端安全功能数据或可执行代码,破坏智能终端的完整性,导致保护数据资产的安全机制不再正常工作。
非授权访问: 非授权用户或进程访问智能终端的安全功能、系统数据和用户数据,并对安全功能、系统数据和用户数据进行恶意操作。
授权用户的恶意行为: 授权用户因安全意识薄弱或误操作,对智能终端操作系统进行不正确配置,或授权用户恶意利用权限进行非法操作,使智能终端安全受到威胁。
数据传输窃听: 攻击者可能窃听或篡改智能终端与其他实体之间传输的数据,造成数据泄露或被篡改。
物理访问: 攻击者尝试通过访问智能终端的物理接口来访问资产,或通过猜测口令和/或仿冒生物识别技术,来获得对用户数据资产的访问权限。物理接口包括JTAG接口、USB接口、充电接口、直接访问智能终端存储介质的物理接口等。
残余信息利用: 用户出售智能终端并尝试事先删除所有用户数据资产,攻击者可能利用智能终端残留信息的处理缺陷,利用未删除的残留信息获取敏感信息。
恶意应用软件攻击: 恶意应用软件尝试越权访问用户数据和系统敏感资源,窃取用户数据或修改智能终端的关键配置。
会话冒用: 攻击者尝试利用不被使用的会话,假冒授权用户对智能终端的功能和数据进行恶意操作。
根据已识别的受保护资产和安全威胁,下一步就是制定安全需求。安全需求是IT系统或产品设计需要满足的条件,以防止安全威胁对受保护资产造成损害。在CC框架中,安全需求通常从以下几方面推导得到。
机密性 :确保信息只能被授权的实体访问。例如,如果一个资产涉及敏感数据,安全需求可能包括加密和访问控制机制,防止未授权的访问。
完整性 :确保信息或系统在传输或存储过程中不被篡改。针对篡改威胁,安全需求可能包括数据完整性检查、签名或校验机制。
可用性 :确保资产在需要时可用,不受拒绝服务(Denial of Service,DoS)攻击或其他因素影响。对于服务中断威胁,安全需求可能包括冗余、备份和防止DoS攻击的机制。
身份验证和授权 :确保只有合法用户能够访问系统资源。针对非法用户访问,安全需求可能包括强身份验证、访问控制、权限管理等。
不可否认性 :确保行为者无法否认其行为,常通过日志记录、数字签名等手段来实现。
接下来根据威胁和资产确定安全需求的具体措施,将安全需求转化为具体的技术和操作措施。例如以下措施。
访问控制 :为了防止未经授权的访问,可能需要设计基于角色的访问控制(Role-Based Access Control,RBAC)系统,或者使用生物识别技术进行身份验证。
加密 :为了保护数据的机密性,可能需要在传输过程中使用传输层安全协议(Transport Layer Security,TLS)进行加密,或者在存储过程中使用高级加密标准(Advanced Encryption Standard,AES)加密。
审计和监控 :为了防止数据泄露和篡改,可能需要实施审计日志机制,记录所有重要操作,并进行实时监控。
以上描述的是安全功能需求,下面介绍安全需求另一方面的需求:安全保障需求。对应不同的评估保障级别,有不同的安全保障需求。安全保障需求是指为确保系统的安全性,所需要的设计、开发、测试和验证方面的保障措施。它们主要关注的是如何证明系统的设计和实施是否足够安全,以及是否能够有效应对潜在的安全威胁。与安全功能需求(如数据加密、访问控制等)不同,安全保障需求侧重于对安全性进行验证和证明,确保安全措施的实施是可靠的、有效的。
总结一下,在CC中,通过受保护资产和安全威胁的识别与分析,能够明确导出具体的安全需求。这些需求不仅为系统的设计和实现提供指导,还为后续的评估和认证提供了依据。其中关键的过程如下。
识别受保护资产: 全面梳理需要保护的资产。
识别安全威胁: 分析哪些威胁可能影响这些资产。
制定安全需求: 根据威胁和资产的性质,制定相应的安全需求。
通过这种方式,可以确保智能终端的安全性,满足其在实际应用中的各种安全要求。