Key Takeaways
- Dva nedavna izvještaja ističu da napadači sve više idu za najslabijom karikom u sigurnosnom lancu: ljudima.
- Stručnjaci vjeruju da bi industrija trebala uvesti procese kako bi ljudi natjerali da se pridržavaju najboljih sigurnosnih praksi.
-
Odgovarajuća obuka može pretvoriti vlasnike uređaja u najjače branioce od napadača.
Mnogi ljudi ne shvataju opseg osetljivih informacija u svojim pametnim telefonima i veruju da su ovi prenosivi uređaji inherentno sigurniji od računara, prema nedavnim izveštajima.
Dok se navode glavni problemi koji muče pametne telefone, izvještaji Zimperiuma i Cyblea ukazuju na to da nikakva ugrađena sigurnost nije dovoljna da spriječi napadače da kompromituju uređaj ako vlasnik ne preduzme korake da ga osigura.
"Glavni izazov, smatram, je to što korisnici ne uspijevaju da uspostave ličnu vezu ovih najboljih sigurnosnih praksi sa svojim ličnim životima, " rekao je za Lifewire Avishai Avivi, CISO u SafeBreachu. "Bez razumijevanja da imaju lični ulog u osiguravanju sigurnosti svojih uređaja, ovo će i dalje biti problem."
Mobilne prijetnje
Nasser Fattah, predsjedavajući upravnog odbora Sjeverne Amerike u Shared Assessments, rekao je za Lifewire putem e-pošte da napadači traže pametne telefone jer oni pružaju vrlo veliku površinu napada i nude jedinstvene vektore napada, uključujući krađu SMS-a ili smishing.
Štaviše, na meti su obični vlasnici uređaja jer je njima lako manipulirati. Da bi se kompromitovao softver, mora postojati neidentifikovana ili neriješena greška u kodu, ali taktike društvenog inženjeringa klikni i mamac su zimzelene, rekao je Chris Goettl, potpredsjednik upravljanja proizvodima u Ivantiju, za Lifewire putem e-pošte.
Bez razumijevanja da imaju lični udio u osiguravanju sigurnosti svojih uređaja, ovo će i dalje biti problem.
Izvještaj Zimperium navodi da je manje od polovine (42%) ljudi primijenilo popravke visokog prioriteta u roku od dva dana od njihovog objavljivanja, 28% je zahtijevalo do sedmicu, dok je 20% potrebno čak dvije sedmice da zakrpiti njihove pametne telefone.
"Krajnji korisnici, općenito, ne vole ažuriranja. Često ometaju svoje radne (ili igre) aktivnosti, mogu promijeniti ponašanje na svom uređaju, pa čak mogu uzrokovati probleme koji mogu predstavljati dužu neugodnost", smatra Goettl.
Izvještaj Cyble pominje novi mobilni trojanac koji krade kodove za autentifikaciju s dva faktora (2FA) i širi se kroz lažnu McAfee aplikaciju. Istraživači shvataju da se zlonamjerna aplikacija distribuira putem izvora koji nisu Google Play Store, što je nešto što ljudi nikada ne bi trebali koristiti, i traži previše dozvola, koje nikada ne bi smjele biti odobrene.
Pete Chestna, CISO Sjeverne Amerike u Checkmarxu, vjeruje da ćemo mi uvijek biti najslabija karika u sigurnosti. On vjeruje da uređaji i aplikacije moraju da se štite i izliječe ili da budu na drugi način otporni na štetu jer većina ljudi ne može biti uznemirena. Prema njegovom iskustvu, ljudi su svjesni najboljih sigurnosnih praksi za stvari poput lozinki, ali odlučuju da ih ignorišu.
"Korisnici ne kupuju na osnovu sigurnosti. Ne koriste [to] na osnovu sigurnosti. Oni sigurno nikada ne razmišljaju o sigurnosti dok im se lično ne dese loše stvari. Čak i nakon negativnog događaja, njihova sjećanja su kratka ", primijetio je Čestna.
Vlasnici uređaja mogu biti saveznici
Atul Payapilly, osnivač Verifiably, gleda na to iz drugačije tačke gledišta. Čitanje izvještaja ga podsjeća na često prijavljene AWS sigurnosne incidente, rekao je za Lifewire putem e-pošte. U ovim slučajevima, AWS je radio kako je dizajniran, a kršenja su zapravo rezultat loših dozvola koje su postavili ljudi koji koriste platformu. Na kraju, AWS je promijenio iskustvo konfiguracije kako bi pomogao ljudima da definiraju ispravne dozvole.
Ovo rezonuje sa Rajivom Pimplaskarom, izvršnim direktorom Dispersive Networks. "Korisnici su fokusirani na izbor, pogodnost i produktivnost, a odgovornost industrije kibernetičke sigurnosti je da edukuje, kao i da stvori okruženje apsolutne sigurnosti, bez ugrožavanja korisničkog iskustva."
Industrija bi trebala shvatiti da većina nas nisu ljudi iz sigurnosti i ne može se očekivati da razumijemo teoretske rizike i implikacije neuspjeha instaliranja ažuriranja, smatra Erez Yalon, potpredsjednik sigurnosnog istraživanja u Checkmarxu. „Ako korisnici mogu poslati vrlo jednostavnu lozinku, oni će to i učiniti. Ako se softver može koristiti iako nije ažuriran, on će se koristiti, Yalon je podijelio sa Lifewire-om putem e-pošte.
Goettl se nadovezuje na ovo i vjeruje da bi efikasna strategija mogla biti ograničavanje pristupa sa uređaja koji nisu usklađeni. Na primjer, jailbreak uređaj, ili onaj koji ima poznatu lošu aplikaciju, ili koristi verziju OS-a za koju se zna da je izložena, svi se mogu koristiti kao okidači za ograničavanje pristupa dok vlasnik ne ispravi sigurnosni propust.
Avivi vjeruje da, iako prodavači uređaja i programeri softvera mogu učiniti mnogo da minimiziraju ono čemu će korisnik na kraju biti izložen, nikada ne bi postojao srebrni metak ili tehnologija koja zaista može zamijeniti wetware.
"Osoba koja može kliknuti na zlonamjernu vezu koja je prošla sve automatske sigurnosne kontrole je ista ona koja to može prijaviti i izbjeći da bude pogođena nultim danom ili tehnološkom slepom uglom", rekao je Avivi.