Kľúčové poznatky
- Dve nedávne správy poukazujú na to, že útočníci čoraz častejšie sledujú najslabší článok bezpečnostného reťazca: ľudí.
- Odborníci sa domnievajú, že odvetvie by malo zaviesť procesy, ktoré prinútia ľudí dodržiavať najlepšie bezpečnostné postupy.
-
Správny tréning môže z majiteľov zariadení urobiť najsilnejších obrancov proti útočníkom.
Mnoho ľudí nedokáže oceniť rozsah citlivých informácií vo svojich smartfónoch a verí, že tieto prenosné zariadenia sú podľa posledných správ vo svojej podstate bezpečnejšie ako počítače.
Zatiaľ čo správy zo Zimperium a Cyble uvádzajú hlavné problémy, ktoré trápia smartfóny, naznačujú, že žiadne množstvo vstavaného zabezpečenia nestačí na to, aby zabránilo útočníkom kompromitovať zariadenie, ak vlastník nepodnikne kroky na jeho zabezpečenie.
„Hlavnou výzvou je podľa mňa to, že používatelia nedokážu osobne prepojiť tieto osvedčené postupy zabezpečenia s ich vlastným osobným životom,“povedal Avishai Avivi, CISO v SafeBreach, e-mailom Lifewire. „Bez toho, aby pochopili, že majú osobný záujem na zabezpečení svojich zariadení, bude to naďalej problém.“
Mobilné hrozby
Nasser Fattah, predseda riadiaceho výboru pre Severnú Ameriku v Shared Assessments, povedal Lifewire e-mailom, že útočníci idú po smartfónoch, pretože poskytujú veľmi veľkú plochu na útok a ponúkajú jedinečné vektory útokov vrátane SMS phishingu alebo smishingu.
Okrem toho sú terčom bežných vlastníkov zariadení, pretože sa s nimi dá ľahko manipulovať. Na kompromitáciu softvéru musí existovať neidentifikovaná alebo nevyriešená chyba v kóde, ale taktika sociálneho inžinierstva typu click-and-bait je evergreen, povedal Chris Goettl, viceprezident produktového manažmentu v Ivanti, Lifewire e-mailom.
Bez toho, aby pochopili, že majú osobný záujem na zabezpečení svojich zariadení, bude to problém aj naďalej.
Správa Zimperium uvádza, že menej ako polovica (42 %) ľudí použila opravy s vysokou prioritou do dvoch dní od ich vydania, 28 % vyžadovalo až týždeň, zatiaľ čo 20 % trvalo až dva týždne opravte ich smartfóny.
„Koncoví používatelia vo všeobecnosti nemajú radi aktualizácie. Často narúšajú svoje pracovné (alebo hracie) aktivity, môžu zmeniť správanie na svojom zariadení a dokonca by mohli spôsobiť problémy, ktoré môžu spôsobiť dlhšie nepríjemnosti,“povedal Goettl.
Správa Cyble spomínala nový mobilný trójsky kôň, ktorý kradne kódy dvojfaktorovej autentifikácie (2FA) a šíri sa prostredníctvom falošnej aplikácie McAfee. Výskumníci sa domnievajú, že škodlivá aplikácia je distribuovaná prostredníctvom iných zdrojov ako je Obchod Google Play, čo je niečo, čo by ľudia nikdy nemali používať, a vyžaduje príliš veľa povolení, ktoré by nikdy nemali byť udelené.
Pete Chestna, CISO pre Severnú Ameriku v Checkmarx, je presvedčený, že sme to my, kto bude vždy najslabším článkom v oblasti bezpečnosti. Verí, že zariadenia a aplikácie sa musia chrániť a liečiť samy seba alebo byť inak odolné voči poškodeniu, pretože väčšinu ľudí to nemôže obťažovať. Podľa jeho skúseností ľudia poznajú osvedčené bezpečnostné postupy pre veci, ako sú heslá, ale rozhodli sa ich ignorovať.
"Používatelia nenakupujú na základe bezpečnosti. Nepoužívajú [to] na základe bezpečnosti. Určite nikdy nepremýšľajú o bezpečnosti, kým sa im osobne nestanú zlé veci. Dokonca aj po negatívnej udalosti, ich spomienky sú krátke, “poznamenal Chestna.
Vlastníci zariadenia môžu byť spojencami
Atul Payapilly, zakladateľ spoločnosti Verifiably, sa na to pozerá z iného uhla pohľadu. Čítanie správ mu pripomína často hlásené bezpečnostné incidenty AWS, povedal Lifewire e-mailom. V týchto prípadoch AWS fungovalo tak, ako bolo navrhnuté, a porušenia boli v skutočnosti výsledkom zlých povolení, ktoré nastavili ľudia používajúci platformu. Nakoniec AWS zmenilo prostredie konfigurácie, aby ľuďom pomohlo definovať správne povolenia.
Toto rezonuje s Rajivom Pimplaskarom, generálnym riaditeľom spoločnosti Dispersive Networks. „Používatelia sa zameriavajú na výber, pohodlie a produktivitu a je zodpovednosťou odvetvia kybernetickej bezpečnosti vzdelávať a vytvárať prostredie absolútnej bezpečnosti bez ohrozenia používateľskej skúsenosti.“
Odvetvie by malo pochopiť, že väčšina z nás nie sú ľudia v oblasti bezpečnosti a nemožno od nás očakávať, že pochopíme teoretické riziká a dôsledky zlyhania inštalácie aktualizácie, domnieva sa Erez Yalon, viceprezident pre bezpečnostný výskum v Checkmarx. „Ak používatelia môžu odoslať veľmi jednoduché heslo, urobia to. Ak je možné softvér použiť, hoci nebol aktualizovaný, použije sa,“zdieľal Yalon s Lifewire e-mailom.
Goettl na tom stavia a verí, že účinnou stratégiou by mohlo byť obmedzenie prístupu z nevyhovujúcich zariadení. Napríklad, jailbreaknuté zariadenie alebo také, ktoré má známu zlú aplikáciu, alebo používa verziu operačného systému, o ktorej je známe, že je odhalená, možno použiť ako spúšťače na obmedzenie prístupu, kým vlastník nenapraví bezpečnostné faux pas.
Avivi verí, že hoci predajcovia zariadení a vývojári softvéru môžu urobiť veľa, aby pomohli minimalizovať to, čomu bude používateľ v konečnom dôsledku vystavený, nikdy by neexistovala strieborná guľka alebo technológia, ktorá by skutočne nahradila wetware.
„Osoba, ktorá môže kliknúť na škodlivý odkaz, ktorý prekonal všetky automatizované bezpečnostné kontroly, je tá istá, ktorá to môže nahlásiť a vyhnúť sa ovplyvneniu nulovým dňom alebo technologickou slepou škvrnou,“povedal Avivi.
