Lepší uživatelská zkušenost by mohla snížit bezpečnostní problémy smartphonu
- Dvě nedávné zprávy zdůrazňují, že útočníci stále častěji jdou po nejslabším článku bezpečnostního řetězce: po lidech.
- Odborníci se domnívají, že průmysl by měl zavést procesy, které přimějí lidi dodržovat osvědčené bezpečnostní postupy.
- Správný trénink může z majitelů zařízení udělat ty nejsilnější obránce proti útočníkům.
400tmax / Getty Images
Mnoho lidí nedokáže ocenit rozsah citlivých informací ve svých chytrých telefonech a věří, že tato přenosná zařízení ano ze své podstaty bezpečnější než PC, podle posledních zpráv.
Při výčtu hlavních problémů, které trápí chytré telefony, zprávy od společností Zimperium a Cyble naznačují, že žádné množství vestavěného zabezpečení nestačí k tomu, aby útočníkům zabránilo v kompromitaci zařízení, pokud majitel nepodnikne kroky k jeho zabezpečení.
"Hlavním problémem, považuji, je, že uživatelům se nedaří vytvořit osobní spojení těchto osvědčených bezpečnostních postupů s jejich vlastním osobním životem," Avishai Avivi, CISO at SafeBreach, řekl Lifewire e-mailem. "Aniž by pochopili, že mají osobní zájem na zabezpečení svých zařízení, bude to i nadále problém."
Mobilní hrozby
Nasser Fattah, Předseda řídícího výboru Severní Ameriky v Sdílená hodnocení, řekl Lifewire e-mailem, že útočníci jdou po chytrých telefonech, protože poskytují velmi velkou útočnou plochu a nabízejí jedinečné vektory útoků, včetně SMS phishingu nebo smishingu.
Kromě toho jsou cílem běžní majitelé zařízení, protože se s nimi snadno manipuluje. Ke kompromitaci softwaru musí existovat neidentifikovaná nebo nevyřešená chyba v kódu, ale taktika sociálního inženýrství typu click-and-bait je evergreen, Chris Goettl, viceprezident produktového managementu ve společnosti Ivanti, řekl Lifewire prostřednictvím e-mailu.
"Aniž by pochopili, že mají osobní zájem na zabezpečení svých zařízení, bude to i nadále problém."
The Zpráva Zimperium konstatuje, že méně než polovina (42 %) lidí použila opravy s vysokou prioritou do dvou dnů od jejich vydání, 28 % vyžadovalo až týden, zatímco 20 % trvalo až dva týdny, než jejich záplata chytré telefony.
„Koncoví uživatelé obecně nemají rádi aktualizace. Často narušují jejich pracovní (nebo herní) aktivity, mohou změnit chování na svém zařízení a mohou dokonce způsobit problémy, které mohou být delší nepříjemností,“ míní Goettl.
The Cyble report zmínil nový mobilní trojan, který krade kódy dvoufaktorové autentizace (2FA) a šíří se prostřednictvím falešné aplikace McAfee. Výzkumníci se domnívají, že škodlivá aplikace je distribuována prostřednictvím jiných zdrojů, než je obchod Google Play, což je něco, co by lidé nikdy neměli používat, a vyžaduje příliš mnoho oprávnění, což by nikdy být nemělo uděleno.
Pete Chestna, CISO Severní Ameriky at Checkmarx, věří, že jsme to my, kdo bude vždy nejslabším článkem bezpečnosti. Věří, že zařízení a aplikace se musí chránit a léčit nebo být jinak odolné vůči poškození, protože většinu lidí to nemůže obtěžovat. Podle jeho zkušeností jsou si lidé vědomi osvědčených bezpečnostních postupů pro věci, jako jsou hesla, ale rozhodli se je ignorovat.
„Uživatelé nenakupují na základě bezpečnosti. Nepoužívají [to] na základě bezpečnosti. Rozhodně nikdy nepřemýšlejí o bezpečnosti, dokud se jim osobně nestaly špatné věci. I po negativní události jsou jejich vzpomínky krátké,“ poznamenal Chestna.
Vlastníci zařízení mohou být spojenci
Atul Payapilly, zakladatel prokazatelně, se na to dívá z jiného úhlu pohledu. Čtení zpráv mu připomíná často hlášené bezpečnostní incidenty AWS, řekl Lifewire e-mailem. V těchto případech AWS fungovalo tak, jak bylo navrženo, a porušení byla ve skutečnosti výsledkem špatných oprávnění nastavených lidmi používajícími platformu. AWS nakonec změnilo prostředí konfigurace, aby lidem pomohlo definovat správná oprávnění.
Toto rezonuje s Rajiv Pimplaskar, generální ředitel společnosti Disperzní sítě. „Uživatelé se zaměřují na výběr, pohodlí a produktivitu, a to je obor kybernetické bezpečnosti zodpovědnost za vzdělávání a vytváření prostředí absolutní bezpečnosti, aniž by došlo k ohrožení uživatele Zkušenosti."
Průmysl by měl pochopit, že většina z nás nejsme bezpečnostní lidé a nelze očekávat, že budeme rozumět teoretickým rizikům a důsledkům selhání instalace aktualizace, věří Erez Yalon, viceprezident pro bezpečnostní výzkum ve společnosti Checkmarx. „Pokud mohou uživatelé odeslat velmi jednoduché heslo, udělají to. Pokud lze software použít, i když nebyl aktualizován, bude použit,“ sdílel Yalon s Lifewire e-mailem.
id-work / Getty Images
Goettl na tom staví a věří, že účinnou strategií by mohlo být omezení přístupu z nevyhovujících zařízení. Například zařízení s jailbreakem nebo zařízení, které má známou špatnou aplikaci nebo používá verzi operačního systému, která je známo, že je odhalen, lze všechny použít jako spouštěče k omezení přístupu, dokud vlastník neopraví bezpečnostní chybu pas.
Avivi věří, že i když prodejci zařízení a vývojáři softwaru mohou udělat hodně pro minimalizaci toho, co uživatel budou nakonec vystaveny, nikdy by neexistovala stříbrná kulka nebo technologie, která by ji skutečně mohla nahradit mokré nádobí.
„Osobou, která může kliknout na škodlivý odkaz, který prošel všemi automatickými bezpečnostními kontrolami, je ten samý, který to může nahlásit a vyhnout se ovlivnění zero-day nebo technologickým slepým bodem,“ řekl Avivi.