Key takeaways
- To nylige rapporter fremhever at angripere i økende grad går etter det svakeste leddet i sikkerhetskjeden: mennesker.
- Eksperter mener at industrien bør innføre prosesser for å få folk til å følge beste praksis for sikkerhet.
-
Riktig trening kan gjøre enhetseiere til de sterkeste forsvarerne mot angripere.
Mange mennesker klarer ikke å sette pris på omfanget av sensitiv informasjon på smarttelefonene sine og tror at disse bærbare enhetene i seg selv er sikrere enn PC-er, ifølge nylige rapporter.
Mens de lister opp de viktigste problemene som plager smarttelefoner, indikerer rapporter fra Zimperium og Cyble at ingen mengde innebygd sikkerhet er nok til å hindre angripere fra å kompromittere en enhet hvis eieren ikke tar skritt for å sikre den.
"Hovedutfordringen, jeg finner, er at brukere ikke klarer å knytte disse beste praksisene for sikkerhet til sine egne personlige liv," sa Avishai Avivi, CISO hos SafeBreach, til Lifewire via e-post. «Uten å forstå at de har en personlig eierandel i å gjøre enhetene sine sikre, vil dette fortsette å være et problem.»
Mobiltrusler
Nasser Fattah, leder av Nord-Amerikas styringskomité ved Shared Assessments, fort alte Lifewire over e-post at angripere går etter smarttelefoner fordi de gir en veldig stor angrepsoverflate og tilbyr unike angrepsvektorer, inkludert SMS-phishing eller smishing.
Videre er vanlige enhetseiere målrettet fordi de er enkle å manipulere. For å kompromittere programvare, må det være en uidentifisert eller uløst feil i koden, men klikk-og-agn sosial ingeniørtaktikk er eviggrønne, sa Chris Goettl, VP of Product Management hos Ivanti, til Lifewire via e-post.
Uten å forstå at de har en personlig eierandel i å gjøre enhetene sine sikre, vil dette fortsette å være et problem.
Zimperium-rapporten bemerker at mindre enn halvparten (42 %) av personene brukte høyprioriterte rettelser innen to dager etter utgivelsen, 28 % krevde opptil en uke, mens 20 % bruker så mye som to uker på å lapp smarttelefonene sine.
"Sluttbrukere, generelt sett, liker ikke oppdateringer. De forstyrrer ofte arbeids- (eller leke-) aktivitetene deres, kan endre atferd på enhetene sine, og kan til og med forårsake problemer som kan være en lengre ulempe," mente Goettl.
Cyble-rapporten nevnte en ny mobil trojaner som stjeler tofaktorautentiseringskoder (2FA) og spres gjennom en falsk McAfee-app. Forskerne skjønner at den ondsinnede appen distribueres via andre kilder enn Google Play Store, som er noe folk aldri bør bruke, og ber om for mange tillatelser, som aldri bør gis.
Pete Chestna, CISO i Nord-Amerika ved Checkmarx, tror at det er oss som alltid vil være det svakeste leddet innen sikkerhet. Han mener at enheter og apper trenger å beskytte og helbrede seg selv eller på annen måte være motstandsdyktige mot skade siden folk flest ikke kan bli plaget. Han erfarer at folk er klar over de beste fremgangsmåtene for sikkerhet for ting som passord, men velger å ignorere dem.
"Brukere kjøper ikke basert på sikkerhet. De bruker ikke [det] basert på sikkerhet. De tenker absolutt aldri på sikkerhet før dårlige ting har skjedd med dem personlig. Selv etter en negativ hendelse, minnene deres er korte, " observerte Chestna.
Enhetseiere kan være allierte
Atul Payapilly, grunnlegger av Verifiably, ser på det fra et annet synspunkt. Å lese rapportene minner ham om de ofte rapporterte AWS-sikkerhetshendelsene, fort alte han Lifewire over e-post. I disse tilfellene fungerte AWS som designet, og bruddene var faktisk et resultat av dårlige tillatelser satt av folk som brukte plattformen. Til slutt endret AWS opplevelsen av konfigurasjonen for å hjelpe folk med å definere de riktige tillatelsene.
Dette går igjen hos Rajiv Pimplaskar, administrerende direktør i Dispersive Networks. "Brukere er fokusert på valg, bekvemmelighet og produktivitet, og det er cybersikkerhetsindustriens ansvar å utdanne, samt skape et miljø med absolutt sikkerhet, uten at det går på bekostning av brukeropplevelsen."
Bransjen bør forstå at de fleste av oss ikke er sikkerhetsmennesker, og vi kan ikke forventes å forstå de teoretiske risikoene og implikasjonene ved å unnlate å installere en oppdatering, mener Erez Yalon, VP of Security Research i Checkmarx. "Hvis brukere kan sende inn et veldig enkelt passord, vil de gjøre det. Hvis programvare kan brukes selv om den ikke ble oppdatert, vil den bli brukt, " delte Yalon med Lifewire via e-post.
Goettl bygger på dette og mener at en effektiv strategi kan være å begrense tilgangen fra enheter som ikke er kompatible. For eksempel kan en jailbroken enhet, eller en som har en kjent dårlig applikasjon, eller kjører en versjon av operativsystemet som er kjent for å være eksponert, alle brukes som utløsere for å begrense tilgangen til eieren korrigerer sikkerhetsfaux pas.
Avivi mener at selv om enhetsleverandører og programvareutviklere kan gjøre mye for å minimere det brukeren til slutt vil bli utsatt for, ville det aldri vært en sølvkule eller en teknologi som virkelig kan erstatte våtvare.
"Personen som kan klikke på den ondsinnede lenken som kom forbi alle de automatiserte sikkerhetskontrollene, er den samme som kan rapportere det og unngå å bli påvirket av en nulldager eller en blindsone for teknologi," sa Avivi.