Βασικά Takeaways
- Δύο πρόσφατες αναφορές υπογραμμίζουν ότι οι εισβολείς αναζητούν όλο και περισσότερο τον πιο αδύναμο κρίκο στην αλυσίδα ασφαλείας: τους ανθρώπους.
- Οι ειδικοί πιστεύουν ότι ο κλάδος πρέπει να εισαγάγει διαδικασίες για να κάνει τους ανθρώπους να τηρούν τις βέλτιστες πρακτικές ασφάλειας.
-
Η σωστή εκπαίδευση μπορεί να μετατρέψει τους κατόχους συσκευών στους ισχυρότερους υπερασπιστές ενάντια στους επιτιθέμενους.
Πολλοί άνθρωποι αποτυγχάνουν να εκτιμήσουν την έκταση των ευαίσθητων πληροφοριών στα smartphone τους και πιστεύουν ότι αυτές οι φορητές συσκευές είναι εγγενώς πιο ασφαλείς από τους υπολογιστές, σύμφωνα με πρόσφατες αναφορές.
Ενώ απαριθμούν τα κορυφαία προβλήματα που μαστίζουν τα smartphone, οι αναφορές από το Zimperium και το Cyble υποδεικνύουν ότι καμία ενσωματωμένη ασφάλεια δεν αρκεί για να αποτρέψει τους εισβολείς από το να υπονομεύσουν μια συσκευή, εάν ο κάτοχος δεν λάβει μέτρα για την ασφάλειά της.
"Η κύρια πρόκληση, θεωρώ, είναι ότι οι χρήστες αποτυγχάνουν να κάνουν προσωπική σύνδεση αυτών των βέλτιστων πρακτικών ασφαλείας με την προσωπική τους ζωή", είπε ο Avishai Avivi, CISO στο SafeBreach, στο Lifewire μέσω email. "Χωρίς να κατανοήσουν ότι έχουν προσωπικό μερίδιο στην ασφάλεια των συσκευών τους, αυτό θα συνεχίσει να αποτελεί πρόβλημα."
Κινητές απειλές
Ο Nasser Fattah, πρόεδρος της επιτροπής συντονισμού της Βόρειας Αμερικής στο Shared Assessments, είπε στο Lifewire μέσω email ότι οι εισβολείς κυνηγούν τα smartphone επειδή παρέχουν μια πολύ μεγάλη επιφάνεια επίθεσης και προσφέρουν μοναδικούς φορείς επίθεσης, συμπεριλαμβανομένου του phishing μέσω SMS ή του smishing.
Επιπλέον, οι κανονικοί κάτοχοι συσκευών στοχεύονται επειδή είναι εύκολο να χειριστούν. Για να παραβιαστεί το λογισμικό, πρέπει να υπάρχει ένα άγνωστο ή ανεπίλυτο ελάττωμα στον κώδικα, αλλά οι τακτικές κοινωνικής μηχανικής με κλικ και δόλωμα είναι αειθαλείς, είπε ο Chris Goettl, Αντιπρόεδρος Διαχείρισης Προϊόντων της Ivanti, στο Lifewire μέσω email.
Χωρίς να κατανοήσουν ότι έχουν προσωπικό μερίδιο στην ασφάλεια των συσκευών τους, αυτό θα συνεχίσει να αποτελεί πρόβλημα.
Η έκθεση Zimperium σημειώνει ότι λιγότεροι από τους μισούς (42%) των ατόμων εφάρμοσαν διορθώσεις υψηλής προτεραιότητας εντός δύο ημερών από την κυκλοφορία τους, το 28% απαιτούνται έως και μία εβδομάδα, ενώ το 20% χρειάζονται έως και δύο εβδομάδες για να επιδιορθώνουν τα smartphone τους.
"Σε γενικές γραμμές, στους τελικούς χρήστες δεν αρέσουν οι ενημερώσεις. Συχνά διακόπτουν τις δραστηριότητες εργασίας (ή παιχνιδιών), μπορούν να αλλάξουν συμπεριφορά στη συσκευή τους και θα μπορούσαν ακόμη και να προκαλέσουν προβλήματα που μπορεί να είναι μεγαλύτερης ταλαιπωρίας", είπε ο Goettl.
Η αναφορά Cyble ανέφερε ένα νέο trojan για κινητά που κλέβει κωδικούς ελέγχου ταυτότητας δύο παραγόντων (2FA) και διαδίδεται μέσω μιας ψεύτικης εφαρμογής McAfee. Οι ερευνητές καταλαβαίνουν ότι η κακόβουλη εφαρμογή διανέμεται μέσω πηγών εκτός από το Google Play Store, κάτι που δεν πρέπει ποτέ να χρησιμοποιούν οι άνθρωποι και ζητούν πάρα πολλές άδειες, οι οποίες δεν πρέπει ποτέ να παραχωρηθούν.
Ο Pete Chestna, CISO της Βόρειας Αμερικής στο Checkmarx, πιστεύει ότι εμείς θα είμαστε πάντα ο πιο αδύναμος κρίκος στην ασφάλεια. Πιστεύει ότι οι συσκευές και οι εφαρμογές πρέπει να προστατεύονται και να αυτοθεραπεύονται ή να είναι διαφορετικά ανθεκτικά σε βλάβες, καθώς οι περισσότεροι άνθρωποι δεν μπορούν να ενοχληθούν. Σύμφωνα με την εμπειρία του, οι άνθρωποι γνωρίζουν τις βέλτιστες πρακτικές ασφάλειας για πράγματα όπως οι κωδικοί πρόσβασης, αλλά επιλέγουν να τους αγνοήσουν.
Οι χρήστες δεν αγοράζουν με βάση την ασφάλεια. Δεν τη χρησιμοποιούν με βάση την ασφάλεια. Σίγουρα δεν σκέφτονται ποτέ την ασφάλεια μέχρι να τους συμβούν άσχημα πράγματα προσωπικά. Ακόμη και μετά από ένα αρνητικό γεγονός, οι αναμνήσεις τους είναι σύντομες», παρατήρησε η Τσέσνα.
Οι κάτοχοι συσκευών μπορούν να γίνουν σύμμαχοι
Ο Atul Payapilly, Ιδρυτής της Verifiably, το βλέπει από διαφορετική οπτική γωνία. Διαβάζοντας τις αναφορές του θυμίζει τα συχνά αναφερόμενα περιστατικά ασφαλείας AWS, είπε στο Lifewire μέσω email. Σε αυτές τις περιπτώσεις, το AWS λειτουργούσε όπως είχε σχεδιαστεί και οι παραβιάσεις ήταν στην πραγματικότητα το αποτέλεσμα κακών αδειών που είχαν οριστεί από τους ανθρώπους που χρησιμοποιούν την πλατφόρμα. Τελικά, το AWS άλλαξε την εμπειρία της διαμόρφωσης για να βοηθήσει τους ανθρώπους να ορίσουν τα σωστά δικαιώματα.
Αυτό έχει απήχηση στον Rajiv Pimplaskar, Διευθύνοντα Σύμβουλο της Dispersive Networks. "Οι χρήστες επικεντρώνονται στην επιλογή, την ευκολία και την παραγωγικότητα και είναι ευθύνη του κλάδου της κυβερνοασφάλειας να εκπαιδεύσει, καθώς και να δημιουργήσει ένα περιβάλλον απόλυτης ασφάλειας, χωρίς να διακυβεύεται η εμπειρία του χρήστη."
Ο κλάδος θα πρέπει να κατανοήσει ότι οι περισσότεροι από εμάς δεν είμαστε άνθρωποι ασφάλειας και δεν μπορούμε να αναμένουμε να κατανοήσουμε τους θεωρητικούς κινδύνους και τις συνέπειες της αποτυχίας εγκατάστασης μιας ενημέρωσης, πιστεύει ο Erez Yalon, Αντιπρόεδρος Έρευνας Ασφαλείας της Checkmarx. «Εάν οι χρήστες μπορούν να υποβάλουν έναν πολύ απλό κωδικό πρόσβασης, θα το κάνουν. Εάν το λογισμικό μπορεί να χρησιμοποιηθεί αν και δεν έχει ενημερωθεί, θα χρησιμοποιηθεί , μοιράστηκε ο Yalon με το Lifewire μέσω email.
Το Goettl βασίζεται σε αυτό και πιστεύει ότι μια αποτελεσματική στρατηγική θα μπορούσε να είναι ο περιορισμός της πρόσβασης από μη συμμορφούμενες συσκευές. Για παράδειγμα, μια συσκευή με jailbrock ή μια συσκευή που έχει μια γνωστή κακή εφαρμογή ή εκτελεί μια έκδοση του λειτουργικού συστήματος που είναι γνωστό ότι είναι εκτεθειμένη, μπορούν όλα να χρησιμοποιηθούν ως ενεργοποιητές για τον περιορισμό της πρόσβασης έως ότου ο κάτοχος διορθώσει το σφάλμα ασφαλείας.
Η Avivi πιστεύει ότι, ενώ οι προμηθευτές συσκευών και οι προγραμματιστές λογισμικού μπορούν να κάνουν πολλά για να βοηθήσουν στην ελαχιστοποίηση του τι θα εκτεθεί τελικά ο χρήστης, δεν θα υπήρχε ποτέ μια ασημένια κουκκίδα ή μια τεχνολογία που μπορεί πραγματικά να αντικαταστήσει το wetware.
"Το άτομο που μπορεί να κάνει κλικ στον κακόβουλο σύνδεσμο που ξεπέρασε όλους τους αυτοματοποιημένους ελέγχους ασφαλείας είναι το ίδιο που μπορεί να το αναφέρει και να αποφύγει τον αντίκτυπό του από μια μηδενική ημέρα ή ένα τυφλό σημείο τεχνολογίας", είπε ο Avivi.