Pagrindiniai pasiėmimai
- Dvi neseniai paskelbtos ataskaitos pabrėžia, kad užpuolikai vis dažniau seka silpniausią saugos grandinės grandį: žmones.
- Ekspertai mano, kad pramonė turėtų įdiegti procesus, kad žmonės laikytųsi geriausios saugos praktikos.
-
Tinkamas mokymas gali paversti įrenginių savininkus stipriausiais gynėjais nuo užpuolikų.
Daugelis žmonių neįvertina savo išmaniuosiuose telefonuose esančios neskelbtinos informacijos ir mano, kad šie nešiojamieji įrenginiai iš prigimties yra saugesni nei kompiuteriai, remiantis naujausiomis ataskaitomis.
Norėdami išvardinti pagrindines problemas, varginančias išmaniuosius telefonus, „Zimperium“ir „Cyble“ataskaitose nurodoma, kad jokios integruotos saugos neužtenka, kad užpuolikai nepakenktų įrenginiui, jei savininkas nesiima priemonių jį apsaugoti.
„Manau, kad pagrindinis iššūkis yra tai, kad naudotojai nesugeba asmeniškai susieti šios geriausios saugos praktikos su savo asmeniniu gyvenimu“, – el. paštu Lifewire sakė Avishai Avivi, SafeBreach CISO. „Nesuprantant, kad jie yra asmeniškai suinteresuoti užtikrinti savo įrenginių saugumą, tai ir toliau išliks problema.“
Grėsmės mobiliesiems
Nasser Fattah, „Shared Assessments“Šiaurės Amerikos iniciatyvinio komiteto pirmininkas, „Lifewire“el. paštu sakė, kad užpuolikai ima sekti išmaniuosius telefonus, nes jie suteikia labai didelį atakos paviršių ir siūlo unikalius atakos vektorius, įskaitant SMS sukčiavimą arba sumetimą.
Be to, įprasti įrenginių savininkai yra skirti, nes jais lengva manipuliuoti. Norint pakenkti programinei įrangai, turi būti nenustatytas arba neišspręstas kodo trūkumas, bet spustelėjimo ir masalo socialinės inžinerijos taktika yra amžina, Chrisas Goettlas, Ivanti produktų valdymo viceprezidentas, sakė Lifewire el. paštu.
Nesuprantant, kad jie yra asmeniškai suinteresuoti užtikrinti savo įrenginių saugumą, tai ir toliau išliks problema.
Zimperium ataskaitoje pažymima, kad mažiau nei pusė (42 %) žmonių pritaikė didelio prioriteto pataisas per dvi dienas nuo jų išleidimo, 28 % jų prireikė iki savaitės, o 20 % užtrunka net dvi savaites. pataisyti savo išmaniuosius telefonus.
"Galutiniams vartotojams apskritai nepatinka naujinimai. Jie dažnai sutrikdo savo darbo (arba žaidimų) veiklą, gali pakeisti savo įrenginio elgesį ir netgi sukelti problemų, kurios gali sukelti ilgesnį nepatogumą", – teigė Goettl..
Cyble ataskaitoje minimas naujas mobilusis Trojos arklys, vagiantis dviejų faktorių autentifikavimo (2FA) kodus ir platinamas per netikrą McAfee programą. Tyrėjai mano, kad kenkėjiška programa platinama iš kitų š altinių nei „Google Play“parduotuvė, o žmonės to niekada neturėtų naudoti, ir prašo per daug leidimų, kurie niekada neturėtų būti suteikti.
Pete Chestna, Checkmarx Šiaurės Amerikos CISO, mano, kad būtent mes visada būsime silpniausia saugumo grandis. Jis mano, kad įrenginiai ir programos turi apsisaugoti ir išgydyti save arba būti kitaip atsparūs žalai, nes dauguma žmonių negali jaudintis. Jo patirtis rodo, kad žmonės žino apie geriausią saugos praktiką, susijusią su slaptažodžiais, bet nusprendžia į juos nepaisyti.
"Vartotojai perka ne dėl saugumo. Jie nenaudoja [jo] dėl saugumo. Jie tikrai niekada negalvoja apie saugumą, kol jiems asmeniškai neatsitiko blogų dalykų. Net ir po neigiamo įvykio, jų prisiminimai trumpi“, – pastebėjo Chestna.
Įrenginių savininkai gali būti sąjungininkai
Atul Payapilly, „Verifiably“įkūrėjas, žiūri į tai kitu požiūriu. Skaitydamas ataskaitas jam primena dažnai praneštus AWS saugumo incidentus, jis pasakė Lifewire el. paštu. Tokiais atvejais AWS veikė taip, kaip numatyta, o pažeidimai iš tikrųjų atsirado dėl blogų leidimų, kuriuos nustatė platformą naudojantys žmonės. Galiausiai AWS pakeitė konfigūracijos patirtį, kad padėtų žmonėms apibrėžti tinkamus leidimus.
Tai rezonuoja su Rajiv Pimplaskar, Dispersive Networks generaliniu direktoriumi. „Vartotojai daugiausia dėmesio skiria pasirinkimui, patogumui ir produktyvumui, o kibernetinio saugumo pramonė yra atsakinga už švietimą ir absoliutaus saugumo aplinkos kūrimą, nepakenkiant naudotojų patirčiai.“
Pramonė turėtų suprasti, kad dauguma iš mūsų nėra saugos žmonės ir negalime tikėtis, kad suprasime teorinės rizikos ir pasekmių, kylančių, jei nepavyks įdiegti naujinimo, mano Erezas Yalonas, „Checkmarx“saugumo tyrimų viceprezidentas.. „Jei vartotojai gali pateikti labai paprastą slaptažodį, jie tą ir padarys. Jei programinę įrangą galima naudoti, nors ji nebuvo atnaujinta, ji bus naudojama“, – Yalon bendrino su Lifewire el. paštu.
Goettl remiasi tuo ir mano, kad veiksminga strategija galėtų būti prieigos iš reikalavimų neatitinkančių įrenginių ribojimas. Pvz., Įrenginys, kuriame buvo pažeista „Jail-Brack“, arba tas, kuriame yra žinoma bloga programa, arba veikia OS versija, kuri, kaip žinoma, gali būti atskleista, gali būti naudojama kaip aktyvikliai apriboti prieigą, kol savininkas nepataisys saugos klaidos.
Avivi mano, kad nors įrenginių pardavėjai ir programinės įrangos kūrėjai gali daug nuveikti, kad sumažintų tai, nuo ko vartotojas galiausiai susidurs, niekada nebus jokios sidabrinės kulkos ar technologijos, kuri iš tikrųjų galėtų pakeisti šlapias programas.
„Asmuo, galintis spustelėti kenkėjišką nuorodą, kuri pateko į visus automatinius saugos valdiklius, yra tas pats, kuris gali apie tai pranešti ir apsisaugoti nuo nulinės dienos ar technologijų aklosios zonos“, – sakė Avivi..