Klíčové poznatky
- Dvě nedávné zprávy zdůrazňují, že útočníci stále častěji jdou po nejslabším článku bezpečnostního řetězce: po lidech.
- Odborníci se domnívají, že průmysl by měl zavést procesy, které přimějí lidi dodržovat osvědčené bezpečnostní postupy.
-
Správné školení může z vlastníků zařízení udělat ty nejsilnější obránce proti útočníkům.
Mnoho lidí nedokáže ocenit rozsah citlivých informací ve svých chytrých telefonech a věří, že tato přenosná zařízení jsou podle posledních zpráv ze své podstaty bezpečnější než počítače.
Při výčtu hlavních problémů, které trápí chytré telefony, zprávy od Zimperium a Cyble naznačují, že žádné množství vestavěného zabezpečení nestačí k tomu, aby útočníkům zabránilo kompromitovat zařízení, pokud vlastník nepodnikne kroky k jeho zabezpečení.
„Hlavním problémem, považuji za problém, je, že uživatelům se nedaří vytvořit osobní spojení těchto osvědčených bezpečnostních postupů s jejich osobním životem,“řekl Lifewire e-mailem Avishai Avivi, CISO v SafeBreach. „Aniž by pochopili, že mají osobní zájem na zabezpečení svých zařízení, bude to i nadále problém.“
Mobilní hrozby
Nasser Fattah, předseda řídícího výboru pro Severní Ameriku ve Shared Assessments, sdělil Lifewire e-mailem, že útočníci jdou po chytrých telefonech, protože poskytují velmi velkou útočnou plochu a nabízejí jedinečné vektory útoků, včetně SMS phishingu nebo smishingu.
Kromě toho jsou cílem běžní vlastníci zařízení, protože se s nimi snadno manipuluje. Ke kompromitaci softwaru musí existovat neidentifikovaná nebo nevyřešená chyba v kódu, ale taktika sociálního inženýrství typu click-and-bait je evergreen, řekl Chris Goettl, viceprezident produktového managementu ve společnosti Ivanti, Lifewire e-mailem.
Aniž by pochopili, že mají osobní zájem na zabezpečení svých zařízení, bude to i nadále problém.
Zpráva Zimperium uvádí, že méně než polovina (42 %) lidí použila opravy s vysokou prioritou do dvou dnů od jejich vydání, 28 % vyžadovalo až týden, zatímco 20 % trvalo až dva týdny opravte jejich smartphony.
"Koncoví uživatelé obecně nemají rádi aktualizace. Často narušují své pracovní (nebo herní) aktivity, mohou změnit chování na svém zařízení a mohou dokonce způsobit problémy, které mohou být delší nepříjemnosti," míní Goettl..
Zpráva Cyble zmínila nový mobilní trojan, který krade kódy dvoufaktorové autentizace (2FA) a šíří se prostřednictvím falešné aplikace McAfee. Výzkumníci se domnívají, že škodlivá aplikace je distribuována prostřednictvím jiných zdrojů, než je Obchod Google Play, což je něco, co by lidé nikdy neměli používat, a vyžaduje příliš mnoho oprávnění, která by nikdy neměla být udělena.
Pete Chestna, CISO ze Severní Ameriky ve společnosti Checkmarx, věří, že jsme to my, kdo bude vždy nejslabším článkem bezpečnosti. Věří, že zařízení a aplikace se musí chránit a léčit nebo být jinak odolné vůči poškození, protože většinu lidí to nemůže obtěžovat. Podle jeho zkušeností jsou si lidé vědomi osvědčených bezpečnostních postupů pro věci, jako jsou hesla, ale rozhodli se je ignorovat.
"Uživatelé nenakupují na základě zabezpečení. Nepoužívají [to] na základě zabezpečení. Určitě nikdy nepřemýšlejí o zabezpečení, dokud se jim osobně nestanou špatné věci. I po negativní události, jejich vzpomínky jsou krátké, " poznamenal Chestna.
Vlastníci zařízení mohou být spojenci
Atul Payapilly, zakladatel společnosti Verifiably, se na to dívá z jiného úhlu pohledu. Čtení zpráv mu připomíná často hlášené bezpečnostní incidenty AWS, řekl Lifewire e-mailem. V těchto případech AWS fungovalo tak, jak bylo navrženo, a porušení byla ve skutečnosti výsledkem špatných oprávnění nastavených lidmi používajícími platformu. Nakonec AWS změnilo prostředí konfigurace, aby lidem pomohlo definovat správná oprávnění.
To rezonuje s Rajivem Pimplaskarem, generálním ředitelem společnosti Dispersive Networks. „Uživatelé se zaměřují na výběr, pohodlí a produktivitu a je odpovědností odvětví kybernetické bezpečnosti vzdělávat se a vytvářet prostředí absolutní bezpečnosti, aniž by to ohrozilo uživatelský dojem.“
Průmysl by měl pochopit, že většina z nás nejsme bezpečnostní lidé a nelze očekávat, že budeme rozumět teoretickým rizikům a důsledkům selhání instalace aktualizace, je přesvědčen Erez Yalon, viceprezident pro bezpečnostní výzkum ve společnosti Checkmarx.. „Pokud mohou uživatelé odeslat velmi jednoduché heslo, udělají to. Pokud lze software použít, i když nebyl aktualizován, bude použit, “Yalon sdílen s Lifewire e-mailem.
Goettl na tom staví a věří, že účinnou strategií by mohlo být omezení přístupu z nevyhovujících zařízení. Například zařízení s jailbreakem nebo zařízení, které má známou špatnou aplikaci nebo používá verzi operačního systému, o které je známo, že je odhalena, lze všechny použít jako spouštěče k omezení přístupu, dokud vlastník neopraví bezpečnostní faux pas.
Avivi věří, že i když mohou výrobci zařízení a vývojáři softwaru udělat hodně pro to, aby minimalizovali to, čemu bude uživatel nakonec vystaven, nikdy nebude existovat žádná stříbrná kulka nebo technologie, která by mohla skutečně nahradit wetware.
„Člověk, který může kliknout na škodlivý odkaz, který prošel všemi automatickými bezpečnostními kontrolami, je ten samý, kdo to může nahlásit a vyhnout se ovlivnění nulovým dnem nebo slepým bodem technologie,“řekl Avivi.
