Geresnė naudotojo patirtis gali sumažinti išmaniųjų telefonų saugos problemas
- Dvi naujausios ataskaitos pabrėžia, kad užpuolikai vis dažniau seka silpniausią saugumo grandinės grandį – žmones.
- Ekspertai mano, kad pramonė turėtų įdiegti procesus, kad žmonės laikytųsi geriausios saugumo praktikos.
- Tinkamas mokymas gali paversti įrenginių savininkus stipriausiais gynėjais nuo užpuolikų.
400tmax / Getty Images
Daugelis žmonių neįvertina jautrios informacijos savo išmaniuosiuose telefonuose masto ir mano, kad šie nešiojamieji įrenginiai yra tokie savaime saugesnis nei asmeniniuose kompiuteriuose, remiantis naujausiomis ataskaitomis.
Išvardijant pagrindines problemas, varginančias išmaniuosius telefonus, „Zimperium“ ir „Cyble“ ataskaitose nurodoma, kad jokios integruotos saugos neužtenka, kad užpuolikai nepakenktų įrenginiui, jei savininkas nesiima priemonių jį apsaugoti.
„Manau, kad pagrindinis iššūkis yra tas, kad vartotojai nesugeba asmeniškai susieti šios geriausios saugos praktikos su savo asmeniniu gyvenimu. Avishai Avivi, CISO adresu SafeBreach, sakė Lifewire el. paštu. „Nesuprantant, kad jie yra asmeniškai suinteresuoti, kad jų įrenginiai būtų saugūs, tai ir toliau išliks problema.
Mobiliojo ryšio grėsmės
Nasseras Fattahas, Šiaurės Amerikos iniciatyvinio komiteto pirmininkas Bendri vertinimaiel. paštu „Lifewire“ sakė, kad užpuolikai seka išmaniuosius telefonus, nes jie suteikia labai didelį atakos paviršių ir siūlo unikalius atakos vektorius, įskaitant SMS sukčiavimą arba sukčiavimą.
Be to, įprasti įrenginių savininkai yra skirti, nes jais lengva manipuliuoti. Norint pakenkti programinei įrangai, turi būti neatpažintas arba nepašalintas kodo trūkumas, tačiau „spustelėkite ir masalas“ socialinės inžinerijos taktika yra amžina, Chrisas Goettlas, Produktų valdymo viceprezidentas Ivanti, sakė Lifewire el. paštu.
„Nesuprantant, kad jie yra asmeniškai suinteresuoti, kad jų įrenginiai būtų saugūs, tai ir toliau išliks problema.
The Zimperium ataskaita pažymi, kad mažiau nei pusė (42 proc.) žmonių didelio prioriteto pataisymus taikė per dvi dienas nuo 28 % jų išleidimo prireikė iki savaitės, o 20 % jų užtaisymas užtrunka net dvi savaites. išmanieji telefonai.
„Galutiniai vartotojai apskritai nemėgsta atnaujinimų. Jie dažnai sutrikdo savo darbo (arba žaidimų) veiklą, gali pakeisti savo įrenginio elgesį ir netgi sukelti problemų, kurios gali sukelti ilgesnį nepatogumą“, – teigė Goettlas.
The Ciklo ataskaita paminėjo naują mobilųjį Trojos arklį, kuris vagia dviejų faktorių autentifikavimo (2FA) kodus ir yra platinamas per netikrą McAfee programėlę. Tyrėjai mano, kad kenkėjiška programa platinama iš kitų šaltinių nei „Google Play“ parduotuvė, kurių žmonės niekada neturėtų naudoti, ir prašo per daug leidimų, kurių niekada neturėtų būti suteikta.
Pitas Čestna, Šiaurės Amerikos CISO adresu Checkmarx, tiki, kad būtent mes visada būsime silpniausia saugumo grandis. Jis mano, kad įrenginiai ir programos turi apsisaugoti ir išgydyti save arba būti kitais būdais atsparūs žalai, nes dauguma žmonių negali jaudintis. Jo patirtis rodo, kad žmonės žino apie geriausią saugumo praktiką, susijusią su tokiais dalykais kaip slaptažodžiai, bet nusprendžia jų nepaisyti.
„Vartotojai perka ne dėl saugumo. Jie nenaudoja [jo] dėl saugumo. Jie tikrai niekada negalvoja apie saugumą, kol jiems asmeniškai neatsitiko blogų dalykų. Net ir po neigiamo įvykio jų prisiminimai trumpi“, – pastebėjo Chestna.
Įrenginių savininkai gali būti sąjungininkai
Atul Payapilly, įkūrėjas Įtikinamai, žiūri į tai kitu požiūriu. Skaitydamas ataskaitas jam primena apie dažnai praneštus AWS saugumo incidentus, jis pasakė Lifewire el. paštu. Tokiais atvejais AWS veikė taip, kaip numatyta, o pažeidimai iš tikrųjų atsirado dėl blogų leidimų, kuriuos nustatė platformą naudojantys žmonės. Galiausiai AWS pakeitė konfigūracijos patirtį, kad padėtų žmonėms apibrėžti teisingus leidimus.
Tai rezonuoja su Rajiv Pimplaskar, generalinis direktorius Dispersiniai tinklai. „Vartotojai orientuojasi į pasirinkimą, patogumą ir produktyvumą, o tai yra kibernetinio saugumo pramonės atsakomybė ugdyti, taip pat sukurti absoliutaus saugumo aplinką, nepažeidžiant vartotojo patirtis“.
Pramonė turėtų suprasti, kad dauguma iš mūsų nėra saugos žmonės ir negalime tikėtis, kad suprasime teorinės rizikos ir pasekmių, kylančių, jei nepavyks įdiegti naujinimo. Erezas Yalonas, Saugumo tyrimų viceprezidentas Checkmarx. „Jei vartotojai gali pateikti labai paprastą slaptažodį, jie tą ir padarys. Jei programinę įrangą galima naudoti, nors ji nebuvo atnaujinta, ji bus naudojama“, – el. paštu su „Lifewire“ pasidalino Yalon.
id-work / Getty Images
Goettl remiasi tuo ir mano, kad veiksminga strategija galėtų būti prieigos iš reikalavimų neatitinkančių įrenginių ribojimas. Pvz., įrenginys, kuriame buvo pažeista „jail-breaker“, arba įrenginys, kuriame yra žinoma bloga programa arba kuriame veikia OS versija, kuri Yra žinoma, kad yra atskleista, visi gali būti naudojami kaip paleidikliai, siekiant apriboti prieigą, kol savininkas ištaisys saugos klaidą pas.
„Avivi“ mano, kad nors įrenginių pardavėjai ir programinės įrangos kūrėjai gali daug nuveikti, kad sumažintų vartotoją Galų gale, niekada nebus sidabrinės kulkos ar technologijos, kurią tikrai galėtų pakeisti šlapias reikmenis.
„Asmuo, galintis spustelėti kenkėjišką nuorodą, kuri praėjo visas automatizuotas saugos kontroles, yra ta pati, kuri gali apie tai pranešti ir apsisaugoti nuo nulinės dienos ar technologijų aklosios zonos“, – sakė Avivi.