Ključni izsledki
- Dve nedavni poročili poudarjata, da napadalci vedno bolj posegajo po najšibkejšem členu v varnostni verigi: ljudeh.
- Strokovnjaki menijo, da bi morala industrija uvesti postopke, s katerimi bodo ljudje upoštevali najboljše varnostne prakse.
-
Ustrezno usposabljanje lahko lastnike naprav spremeni v najmočnejše branilce pred napadalci.
Mnogi ljudje ne znajo ceniti obsega občutljivih informacij v svojih pametnih telefonih in menijo, da so te prenosne naprave po nedavnih poročilih same po sebi varnejše od osebnih računalnikov.
Medtem ko naštevajo najpogostejše težave, ki pestijo pametne telefone, poročila Zimperiuma in Cyblea kažejo, da nobena vgrajena varnost ne zadostuje za preprečitev napadalcem, da bi ogrozili napravo, če lastnik ne ukrepa za njeno zaščito.
"Glavni izziv se mi zdi, da uporabniki ne uspejo osebno povezati teh najboljših varnostnih praks s svojim osebnim življenjem," je za Lifewire po elektronski pošti povedal Avishai Avivi, CISO pri SafeBreach. "Brez razumevanja, da imajo osebno vlogo pri zagotavljanju varnosti svojih naprav, bo to še naprej problem."
Mobilne grožnje
Nasser Fattah, predsednik usmerjevalnega odbora za Severno Ameriko pri Shared Assessments, je za Lifewire po e-pošti povedal, da napadalci lovijo pametne telefone, ker zagotavljajo zelo veliko napadalno površino in ponujajo edinstvene vektorje napadov, vključno z lažnim predstavljanjem SMS ali smishingom.
Poleg tega so tarče navadni lastniki naprav, ker je z njimi enostavno manipulirati. Za ogrožanje programske opreme mora obstajati neznana ali nerazrešena napaka v kodi, vendar so taktike socialnega inženiringa »klikni in vabi« zimzelene, je za Lifewire po e-pošti povedal Chris Goettl, podpredsednik oddelka za upravljanje izdelkov pri Ivantiju.
Brez razumevanja, da so osebno zainteresirani za varnost svojih naprav, bo to še naprej težava.
Poročilo Zimperium ugotavlja, da je manj kot polovica (42 %) ljudi uporabila visoko prioritetne popravke v dveh dneh po izdaji, 28 % jih je potrebovalo do en teden, medtem ko 20 % potrebuje kar dva tedna, da popravijo svoje pametne telefone.
"Končni uporabniki na splošno ne marajo posodobitev. Pogosto motijo njihove delovne (ali igralne) dejavnosti, lahko spremenijo vedenje na svoji napravi in lahko celo povzročijo težave, ki so lahko daljše nevšečnosti," je menil Goettl.
Poročilo Cyble omenja novega mobilnega trojanca, ki ukrade kode za dvostopenjsko avtentikacijo (2FA) in se širi prek lažne aplikacije McAfee. Raziskovalci ugotavljajo, da se zlonamerna aplikacija distribuira prek virov, ki niso Google Play Store, česar ljudje nikoli ne bi smeli uporabljati, in zahteva preveč dovoljenj, ki jih nikoli ne bi smeli podeliti.
Pete Chestna, CISO Severne Amerike pri Checkmarxu, verjame, da bomo mi vedno najšibkejši člen varnosti. Prepričan je, da se morajo naprave in aplikacije sami zaščititi in zdraviti ali biti drugače odporni na poškodbe, saj se večina ljudi ne da motiti. Po njegovih izkušnjah so ljudje seznanjeni z najboljšimi varnostnimi praksami za stvari, kot so gesla, vendar se jih odločijo prezreti.
"Uporabniki ne kupujejo na podlagi varnosti. Ne uporabljajo [ga] na podlagi varnosti. Zagotovo nikoli ne pomislijo na varnost, dokler se jim osebno ne zgodijo slabe stvari. Tudi po negativnem dogodku, njihov spomin je kratek, « je opazila Chestna.
Lastniki naprav so lahko zavezniki
Atul Payapilly, ustanovitelj podjetja Verifiably, gleda na to z drugega zornega kota. Branje poročil ga spominja na pogosto poročane varnostne incidente AWS, je povedal Lifewire po elektronski pošti. V teh primerih je AWS deloval, kot je bilo načrtovano, in kršitve so bile dejansko posledica slabih dovoljenj, ki so jih nastavili ljudje, ki uporabljajo platformo. Sčasoma je AWS spremenil izkušnjo konfiguracije, da bi ljudem pomagal definirati pravilna dovoljenja.
To odmeva z Rajivom Pimplaskarjem, izvršnim direktorjem Dispersive Networks. "Uporabniki so osredotočeni na izbiro, udobje in produktivnost, industrija kibernetske varnosti pa je odgovorna za izobraževanje in ustvarjanje okolja popolne varnosti, ne da bi pri tem ogrozili uporabniško izkušnjo."
Panoga bi morala razumeti, da večina med nami ni varnostnik in ni mogoče pričakovati, da bomo razumeli teoretična tveganja in posledice neuspešne namestitve posodobitve, je prepričan Erez Yalon, podpredsednik varnostnih raziskav pri Checkmarxu. Če lahko uporabniki predložijo zelo preprosto geslo, bodo to storili. Če je programsko opremo mogoče uporabiti, čeprav ni bila posodobljena, bo uporabljena, « je Yalon delil z Lifewire po e-pošti.
Goettl gradi na tem in verjame, da bi lahko bila učinkovita strategija omejitev dostopa nezdružljivih naprav. Na primer, napravo z zlomom iz zapora ali napravo, ki ima znano slabo aplikacijo ali uporablja različico operacijskega sistema, za katero je znano, da je izpostavljena, lahko uporabite kot sprožilce za omejitev dostopa, dokler lastnik ne popravi varnostne napake.
Avivi verjame, da čeprav lahko prodajalci naprav in razvijalci programske opreme naredijo veliko za zmanjšanje izpostavljenosti uporabnika, nikoli ne bo srebrne palice ali tehnologije, ki bi lahko resnično nadomestila wetware.
»Oseba, ki lahko klikne zlonamerno povezavo, ki je prišla mimo vseh avtomatiziranih varnostnih kontrol, je ista, ki lahko to prijavi in se izogne vplivu zero-day ali tehnološke slepe pege,« je dejal Avivi.