A legfontosabb elvitelek
- Két legutóbbi jelentés rávilágít arra, hogy a támadók egyre inkább a biztonsági lánc leggyengébb láncszemét keresik: az embereket.
- A szakértők úgy vélik, hogy az iparágnak olyan eljárásokat kellene bevezetnie, amelyek arra késztetik az embereket, hogy betartsák a legjobb biztonsági gyakorlatokat.
-
A megfelelő edzéssel az eszköztulajdonosok a legerősebb védelmezőkké válhatnak a támadók ellen.
Sokan nem ismerik fel az okostelefonjukban lévő érzékeny információk mennyiségét, és azt hiszik, hogy ezek a hordozható eszközök természetüknél fogva biztonságosabbak, mint a számítógépek a legújabb jelentések szerint.
Miközben felsorolják az okostelefonokat sújtó legfontosabb problémákat, a Zimperium és a Cyble jelentései egyaránt azt mutatják, hogy a beépített biztonság semmilyen mennyiségben nem elegendő ahhoz, hogy megakadályozza a támadókat abban, hogy kompromittáljanak egy eszközt, ha a tulajdonos nem tesz lépéseket a biztonság érdekében.
"A fő kihívás szerintem az, hogy a felhasználók nem tudják személyesen összekapcsolni ezeket a bevált biztonsági gyakorlatokat saját személyes életükkel" - mondta Avishai Avivi, a SafeBreach CISO-ja a Lifewire-nek e-mailben. "Anélkül, hogy megértenék, hogy személyes érdekeltségük van eszközeik biztonságossá tételében, ez továbbra is probléma lesz."
Mobil fenyegetések
Nasser Fattah, a Shared Assessments észak-amerikai irányítóbizottságának elnöke e-mailben elmondta a Lifewire-nek, hogy a támadók az okostelefonokat keresik, mivel azok nagyon nagy támadási felületet biztosítanak, és egyedi támadási vektorokat kínálnak, beleértve az SMS-es adathalászatot vagy a smishing-et.
Továbbá a rendszeres eszköztulajdonosokat célozzák meg, mert könnyen kezelhetők. A szoftverek kompromittálásához azonosítatlan vagy megoldatlan kódhibára van szükség, de a kattintás és csali social engineering taktikája örökzöld, mondta Chris Goettl, az Ivanti termékmenedzsmentért felelős alelnöke a Lifewire-nek e-mailben.
Anélkül, hogy megértenék, hogy személyes érdekeltségük van eszközeik biztonságossá tételében, ez továbbra is probléma lesz.
A Zimperium jelentés megjegyzi, hogy az emberek kevesebb mint fele (42%) alkalmazta a kiemelt fontosságú javításokat a megjelenést követő két napon belül, 28%-uk egy hétig, míg 20%-uk akár két hétig is eltart. javítsák az okostelefonjukat.
"A végfelhasználók általában nem szeretik a frissítéseket. Gyakran megzavarják munka- (vagy játék-) tevékenységeiket, megváltoztathatják az eszközük viselkedését, és akár hosszabb ideig tartó kellemetlenségeket is okozhatnak" - vélekedett Goettl..
A Cyble jelentés megemlített egy új mobil trójai programot, amely kétfaktoros hitelesítési (2FA) kódokat lop, és hamis McAfee alkalmazáson keresztül terjed. A kutatók úgy találják, hogy a rosszindulatú alkalmazást nem a Google Play Áruházon keresztül terjesztik, amit az embereknek soha nem szabad használniuk, és túl sok engedélyt kér, amit soha nem szabad megadni.
Pete Chestna, a Checkmarx észak-amerikai CISO-ja úgy véli, hogy mindig mi leszünk a leggyengébb láncszem a biztonságban. Úgy véli, hogy az eszközöknek és alkalmazásoknak meg kell védeniük és meg kell gyógyítaniuk magukat, vagy más módon ellenállónak kell lenniük a sérülésekkel szemben, mivel a legtöbb embert nem lehet zavarni. Tapasztalata szerint az emberek tisztában vannak a biztonsági bevált gyakorlatokkal, például a jelszavakkal kapcsolatban, de úgy döntenek, hogy figyelmen kívül hagyják őket.
"A felhasználók nem a biztonság alapján vásárolnak. Nem a biztonság alapján használják [ezt]. Természetesen soha nem gondolnak a biztonságra addig, amíg személyesen rossz dolgok nem történtek velük. Még egy negatív esemény után sem, emlékeik rövidek" - jegyezte meg Chestna.
Az eszköztulajdonosok szövetségesek lehetnek
Atul Payapilly, a Verifible alapítója más szemszögből nézi a dolgot. A jelentések olvasásakor a gyakran jelentett AWS biztonsági incidensek jutnak eszébe – mondta el e-mailben a Lifewire-nek. Ezekben az esetekben az AWS a tervezett módon működött, és a jogsértések valójában a platformot használó emberek által beállított rossz engedélyek következményei. Végül az AWS megváltoztatta a konfiguráció élményét, hogy segítsen az embereknek meghatározni a megfelelő engedélyeket.
Ez egybecseng Rajiv Pimplaskarral, a Dispersive Networks vezérigazgatójával. "A felhasználók a választási lehetőségekre, a kényelemre és a termelékenységre összpontosítanak, és a kiberbiztonsági ágazat felelőssége az oktatás, valamint a teljes biztonságot nyújtó környezet megteremtése a felhasználói élmény veszélyeztetése nélkül."
Az iparágnak meg kell értenie, hogy legtöbbünk nem biztonsági ember, és nem várható el tőlünk, hogy megértsük a frissítések telepítésének elmulasztásának elméleti kockázatait és következményeit – vélekedik Erez Yalon, a Checkmarx biztonsági kutatási alelnöke.. "Ha a felhasználók megadhatnak egy nagyon egyszerű jelszót, akkor ezt megteszik. Ha a szoftver használható annak ellenére, hogy nem frissítették, akkor azt használni fogja." Yalon megosztotta a Lifewire-rel e-mailben.
A Goettl erre épít, és úgy véli, hogy hatékony stratégia lehetne a nem megfelelő eszközök hozzáférésének korlátozása. Például egy feltört eszköz, vagy egy ismert rossz alkalmazással rendelkező eszköz, vagy az operációs rendszer olyan verzióját futtatja, amelyről ismert, hogy ki van téve, mind felhasználható triggerként a hozzáférés korlátozására mindaddig, amíg a tulajdonos ki nem javítja a biztonsági álpasszokat.
Avivi úgy véli, hogy bár az eszközgyártók és a szoftverfejlesztők sokat tehetnek annak érdekében, hogy minimalizálják azt, aminek a felhasználó végül ki lesz téve, soha nem létezne ezüstgolyó vagy technológia, amely valóban helyettesíthetné a nedvesítőszereket.
"Az a személy, aki rákattinthat arra a rosszindulatú linkre, amely átjutott az összes automatizált biztonsági ellenőrzésen, ugyanaz az, aki jelentheti, és elkerülheti, hogy a nulladik nap vagy a technológiai holttér befolyásolja" - mondta Avivi..