Kluczowe dania na wynos
- Dwa ostatnie raporty podkreślają, że napastnicy coraz częściej szukają najsłabszego ogniwa w łańcuchu bezpieczeństwa: ludzi.
- Eksperci uważają, że branża powinna wprowadzić procesy, dzięki którym ludzie będą przestrzegać najlepszych praktyk w zakresie bezpieczeństwa.
-
Właściwe szkolenie może zmienić właścicieli urządzeń w najsilniejszych obrońców przed napastnikami.
Z ostatnich raportów wynika, że wiele osób nie docenia zakresu poufnych informacji w swoich smartfonach i uważa, że te przenośne urządzenia są z natury bezpieczniejsze niż komputery PC.
Podczas gdy wymieniamy najważniejsze problemy nękające smartfony, raporty Zimperium i Cyble wskazują, że żadne wbudowane zabezpieczenia nie są wystarczające, aby uniemożliwić atakującym złamanie zabezpieczeń urządzenia, jeśli właściciel nie podejmie kroków w celu jego zabezpieczenia.
„Największym wyzwaniem jest to, że użytkownicy nie potrafią połączyć tych najlepszych praktyk bezpieczeństwa z własnym życiem osobistym” – powiedział Lifewire Avishai Avivi, CISO w SafeBreach w wiadomości e-mail. „Bez zrozumienia, że mają osobisty interes w zabezpieczeniu swoich urządzeń, będzie to nadal stanowiło problem”.
Zagrożenia mobilne
Nasser Fattah, przewodniczący Komitetu Sterującego w Ameryce Północnej w Shared Assessments, powiedział Lifewire w wiadomości e-mail, że napastnicy polują na smartfony, ponieważ zapewniają one bardzo dużą powierzchnię ataku i oferują unikalne wektory ataków, w tym phishing SMS lub smishing.
Co więcej, zwykli właściciele urządzeń są celem, ponieważ łatwo nimi manipulować. Aby skompromitować oprogramowanie, musi istnieć niezidentyfikowana lub nierozwiązana wada w kodzie, ale taktyka socjotechniki typu „kliknij i przynęć” jest wiecznie zielona – powiedział w rozmowie z Lifewire Chris Goettl, wiceprezes ds. zarządzania produktami w firmie Ivanti.
Bez zrozumienia, że mają osobisty interes w zabezpieczeniu swoich urządzeń, będzie to nadal stanowiło problem.
Raport Zimperium zauważa, że mniej niż połowa (42%) osób zastosowała poprawki o wysokim priorytecie w ciągu dwóch dni od ich wydania, 28% wymagało tego do tygodnia, a 20% potrzebuje nawet dwóch tygodni, aby łatać ich smartfony.
„Użytkownicy końcowi na ogół nie lubią aktualizacji. Często zakłócają swoją pracę (lub rozrywkę), mogą zmienić zachowanie na swoim urządzeniu, a nawet mogą powodować problemy, które mogą być dłuższą niedogodnością”- wyraził opinię Goettl.
Raport Cyble wspomniał o nowym mobilnym trojanie, który kradnie kody uwierzytelniania dwuskładnikowego (2FA) i rozprzestrzenia się za pośrednictwem fałszywej aplikacji McAfee. Badacze odkryli, że szkodliwa aplikacja jest rozpowszechniana za pośrednictwem innych źródeł niż Sklep Google Play, czego ludzie nigdy nie powinni używać, i prosi o zbyt wiele uprawnień, których nigdy nie należy przyznawać.
Pete Chestna, CISO Ameryki Północnej w Checkmarx, uważa, że to my zawsze będziemy najsłabszym ogniwem bezpieczeństwa. Uważa, że urządzenia i aplikacje muszą się chronić i leczyć lub być w inny sposób odporne na krzywdę, ponieważ większości ludzi nie można zawracać sobie głowy. Z jego doświadczenia wynika, że ludzie są świadomi najlepszych praktyk w zakresie bezpieczeństwa, takich jak hasła, ale wolą je ignorować.
"Użytkownicy nie kupują w oparciu o bezpieczeństwo. Nie używają [tego] w oparciu o bezpieczeństwo. Z pewnością nigdy nie myślą o bezpieczeństwie, dopóki nie przydarzy im się coś złego. Nawet po negatywnym zdarzeniu, ich wspomnienia są krótkie - zauważył Chestna.
Właściciele urządzeń mogą być sojusznikami
Atul Payapilly, założyciel Verifiably, patrzy na to z innego punktu widzenia. Czytanie raportów przypomina mu o często zgłaszanych incydentach związanych z bezpieczeństwem AWS, powiedział Lifewire przez e-mail. W takich przypadkach AWS działał zgodnie z założeniami, a naruszenia były w rzeczywistości wynikiem złych uprawnień ustawionych przez osoby korzystające z platformy. Ostatecznie AWS zmienił doświadczenie konfiguracji, aby pomóc ludziom zdefiniować prawidłowe uprawnienia.
To rezonuje z Rajivem Pimplaskarem, dyrektorem generalnym Dispersive Networks. „Użytkownicy koncentrują się na wyborze, wygodzie i produktywności, a obowiązkiem branży cyberbezpieczeństwa jest edukowanie, a także tworzenie środowiska absolutnego bezpieczeństwa, bez uszczerbku dla doświadczenia użytkownika”.
Branża powinna zrozumieć, że większość z nas nie zajmuje się bezpieczeństwem i nie można oczekiwać, że zrozumiemy teoretyczne ryzyko i konsekwencje braku instalacji aktualizacji, uważa Erez Yalon, wiceprezes ds. badań nad bezpieczeństwem w Checkmarx. „Jeśli użytkownicy mogą podać bardzo proste hasło, zrobią to. Jeśli oprogramowanie może być używane, mimo że nie zostało zaktualizowane, będzie używane”, Yalon udostępnił Lifewire przez e-mail.
Goettl opiera się na tym i wierzy, że skuteczną strategią może być ograniczenie dostępu z niezgodnych urządzeń. Na przykład urządzenie po jailbreaku lub takie, na którym jest znana niewłaściwa aplikacja lub działa w wersji systemu operacyjnego, o której wiadomo, że jest narażone, może być używane jako wyzwalacze ograniczające dostęp, dopóki właściciel nie naprawi błędnego zabezpieczenia.
Avivi wierzy, że chociaż dostawcy urządzeń i twórcy oprogramowania mogą wiele zrobić, aby zminimalizować to, na co użytkownik będzie ostatecznie narażony, nigdy nie będzie złotej kuli ani technologii, która naprawdę może zastąpić oprogramowanie typu wetware.
„Osoba, która może kliknąć złośliwy link, który ominął wszystkie automatyczne kontrole bezpieczeństwa, to ta sama osoba, która może to zgłosić i uniknąć wpływu zerowego pola lub martwego pola technologicznego” - powiedział Avivi..