Keeawayt
- Kaksi viimeaikaista raporttia korostavat, että hyökkääjät tavoittelevat yhä useammin tietoturvaketjun heikointa lenkkiä: ihmisiä.
- Asiantuntijat uskovat, että alan pitäisi ottaa käyttöön prosesseja, joiden avulla ihmiset noudattavat parhaita tietoturvakäytäntöjä.
-
Oikea harjoittelu voi tehdä laitteen omistajista vahvimpia puolustajia hyökkääjiä vastaan.
Monet ihmiset eivät ymmärrä älypuhelimissaan olevien arkaluonteisten tietojen määrää ja uskovat, että nämä kannettavat laitteet ovat luonnostaan turvallisempia kuin tietokoneet viimeaikaisten raporttien mukaan.
Samalla kun luetellaan tärkeimmät älypuhelimia vaivaavat ongelmat, Zimperiumin ja Cyblen raportit osoittavat, että mikään sisäänrakennettu tietoturva ei riitä estämään hyökkääjiä vaarantamasta laitetta, jos omistaja ei ryhdy toimenpiteisiin sen suojaamiseksi.
"Minusta suurin haaste on se, että käyttäjät eivät pysty yhdistämään näitä parhaita tietoturvakäytäntöjä henkilökohtaiseen elämäänsä", Avishai Avivi, SafeBreachin CISO, kertoi Lifewirelle sähköpostitse. "Ymmärtämättä, että heillä on henkilökohtainen panos laitteidensa turvaamiseen, tämä on edelleen ongelma."
Mobiiliuhat
Nasser Fattah, Shared Assessmentsin Pohjois-Amerikan ohjauskomitean puheenjohtaja, kertoi Lifewirelle sähköpostitse, että hyökkääjät etsivät älypuhelimia, koska ne tarjoavat erittäin suuren hyökkäyspinnan ja ainutlaatuiset hyökkäysvektorit, mukaan lukien tekstiviestien tietojenkalastelu tai huijaus.
Lisäksi tavalliset laitteiden omistajat ovat kohteena, koska niitä on helppo käsitellä. Ohjelmiston vaarantaminen edellyttää, että koodissa on tunnistamaton tai ratkaisematon virhe, mutta napsauttamalla ja syöttiä käyttävä sosiaalisen suunnittelun taktiikka on ikivihreä, Ivantin tuotehallinnan johtaja Chris Goettl kertoi Lifewirelle sähköpostitse.
Ymmärtämättä, että heillä on henkilökohtainen panos laitteidensa turvaamiseen, tämä on edelleen ongelma.
Zimperiumin raportissa todetaan, että alle puolet (42 %) ihmisistä sovelsi ensisijaisia korjauksia kahden päivän kuluessa niiden julkaisusta, 28 % vaati jopa viikon, kun taas 20 %:lla kestää jopa kaksi viikkoa korjaa älypuhelimensa.
"Loppukäyttäjät eivät yleensä pidä päivityksistä. He häiritsevät usein työ- (tai leikki-)toimintaansa, voivat muuttaa laitteensa käyttäytymistä ja voivat jopa aiheuttaa ongelmia, jotka voivat aiheuttaa pidempää haittaa", Goettl arvioi..
Cyblen raportissa mainittiin uusi mobiilitroijalainen, joka varastaa kaksivaiheisia todennuskoodeja (2FA) ja leviää väärennetyn McAfee-sovelluksen kautta. Tutkijat ymmärtävät, että haitallista sovellusta levitetään muista lähteistä kuin Google Play Storesta, jota ihmisten ei pitäisi koskaan käyttää, ja se pyytää liikaa käyttöoikeuksia, joita ei pitäisi koskaan myöntää.
Pete Chestna, Checkmarxin Pohjois-Amerikan CISO, uskoo, että me olemme aina turvallisuuden heikoin lenkki. Hän uskoo, että laitteiden ja sovellusten on suojeltava ja parannettava itseään tai oltava muuten kestäviä vahingoille, koska useimpia ihmisiä ei voi häiritä. Hänen kokemuksensa mukaan ihmiset ovat tietoisia salasanojen k altaisista turvallisuuden parhaista käytännöistä, mutta päättävät jättää ne huomiotta.
"Käyttäjät eivät osta tietoturvan perusteella. He eivät käytä [se] turvallisuuden perusteella. He eivät todellakaan koskaan ajattele turvallisuutta ennen kuin heille on tapahtunut huonoja asioita. Jopa negatiivisen tapahtuman jälkeen, heidän muistinsa ovat lyhyitä", Chestna huomautti.
Laiteomistajat voivat olla liittolaisia
Atul Payapilly, Verifiblen perustaja, katsoo asiaa eri näkökulmasta. Raporttien lukeminen muistuttaa häntä usein raportoiduista AWS-tietoturvatapauksista, hän kertoi Lifewirelle sähköpostitse. Näissä tapauksissa AWS toimi suunnitellusti, ja rikkomukset johtuivat itse asiassa alustaa käyttävien ihmisten asettamista huonoista käyttöoikeuksista. Lopulta AWS muutti kokoonpanon käyttökokemusta auttaakseen ihmisiä määrittämään oikeat käyttöoikeudet.
Tämä resonoi Rajiv Pimplaskariin, Dispersive Networksin toimitusjohtajaan. "Käyttäjät ovat keskittyneet valintaan, mukavuuteen ja tuottavuuteen, ja kyberturvallisuusalan vastuulla on kouluttaa sekä luoda ehdottoman turvallisuuden ympäristö käyttäjäkokemuksesta tinkimättä."
Alan pitäisi ymmärtää, että useimmat meistä eivät ole turvallisuusihmisiä, emmekä voi odottaa ymmärtävän teoreettisia riskejä ja seurauksia, joita aiheutuu päivityksen asennuksen epäonnistumisesta, uskoo Erez Yalon, Checkmarxin tietoturvatutkimuksen johtaja.. "Jos käyttäjät voivat lähettää hyvin yksinkertaisen salasanan, he tekevät sen. Jos ohjelmistoa voidaan käyttää, vaikka sitä ei ole päivitetty, sitä käytetään", Yalon jakoi Lifewiren kanssa sähköpostitse.
Goettl perustuu tähän ja uskoo, että tehokas strategia voisi olla pääsyn rajoittaminen yhteensopimattomilta laitteilta. Esimerkiksi jailbroke-laitetta tai laitetta, jossa on tiedossa huono sovellus tai joka käyttää käyttöjärjestelmän versiota, jonka tiedetään olevan paljastettu, voidaan käyttää liipaisina pääsyn rajoittamiseen, kunnes omistaja korjaa tietoturvavirheen.
Avivi uskoo, että vaikka laitetoimittajat ja ohjelmistokehittäjät voivat tehdä paljon auttaakseen minimoimaan sen, jolle käyttäjä lopulta joutuu alttiiksi, ei koskaan olisi hopealuoteja tai tekniikkaa, joka voisi todella korvata märkäohjelmiston.
"Henkilö, joka voi napsauttaa haitallista linkkiä, joka on päässyt kaikkien automaattisten turvatarkastusten ohi, on sama, joka voi ilmoittaa siitä ja välttää nollapäivän tai teknologian kuolleen kulman vaikutuksen", Avivi sanoi..