Ključni podaci za van
- Dva nedavna izvješća ističu da napadači sve više napadaju najslabiju kariku u sigurnosnom lancu: ljude.
- Stručnjaci vjeruju da bi industrija trebala uvesti procese kako bi se ljudi pridržavali najboljih sigurnosnih praksi.
-
Odgovarajuća obuka može vlasnike uređaja pretvoriti u najjače branitelje od napadača.
Mnogi ljudi ne znaju cijeniti opseg osjetljivih informacija u svojim pametnim telefonima i vjeruju da su ti prijenosni uređaji sami po sebi sigurniji od osobnih računala, prema nedavnim izvješćima.
Dok navode glavne probleme koji muče pametne telefone, izvješća Zimperiuma i Cyblea pokazuju da nikakva količina ugrađene sigurnosti nije dovoljna da spriječi napadače da kompromitiraju uređaj ako vlasnik ne poduzme korake da ga zaštiti.
"Smatram da je glavni izazov to što korisnici ne uspijevaju osobno povezati ove najbolje sigurnosne prakse sa svojim osobnim životima", rekao je Avishai Avivi, CISO u SafeBreachu, za Lifewire putem e-pošte. "Bez razumijevanja da imaju osobni udio u zaštiti svojih uređaja, ovo će i dalje biti problem."
Mobilne prijetnje
Nasser Fattah, predsjednik Upravnog odbora za Sjevernu Ameriku u Shared Assessments, rekao je za Lifewire putem e-pošte da napadači napadaju pametne telefone jer pružaju vrlo veliku površinu za napad i nude jedinstvene vektore napada, uključujući krađu identiteta putem SMS-a ili smishing.
Nadalje, obični vlasnici uređaja su meta jer je njima lako manipulirati. Da bi se softver ugrozio, mora postojati neidentificirana ili neriješena greška u kodu, ali taktike društvenog inženjeringa "klikni i mamac" uvijek su uobičajene, rekao je Chris Goettl, potpredsjednik odjela za upravljanje proizvodima u Ivantiju, za Lifewire putem e-pošte.
Bez razumijevanja da imaju osobni udio u zaštiti svojih uređaja, ovo će i dalje biti problem.
Izvješće Zimperiuma navodi da je manje od polovice (42%) ljudi primijenilo popravke visokog prioriteta unutar dva dana od njihovog izdavanja, 28% je trebalo do tjedan dana, dok je 20% trebalo čak dva tjedna da zakrpi svoje pametne telefone.
"Krajnji korisnici, općenito, ne vole ažuriranja. Oni često ometaju njihove radne (ili igrajuće) aktivnosti, mogu promijeniti ponašanje na svom uređaju i čak mogu uzrokovati probleme koji mogu predstavljati dulju neugodnost, " smatra Goettl.
Cyble izvješće spominje novi mobilni trojanac koji krade kodove za dvostruku autentifikaciju (2FA) i širi se lažnom McAfee aplikacijom. Istraživači smatraju da se zlonamjerna aplikacija distribuira preko izvora koji nisu Google Play Store, što je nešto što ljudi nikada ne bi trebali koristiti, i traži previše dopuštenja, koja se nikada ne bi smjela dati.
Pete Chestna, CISO Sjeverne Amerike u Checkmarxu, vjeruje da ćemo mi uvijek biti najslabija karika u sigurnosti. On vjeruje da se uređaji i aplikacije moraju sami zaštititi i izliječiti ili na neki drugi način biti otporni na ozljede budući da se većini ljudi ne da smetati. Prema njegovom iskustvu, ljudi su svjesni najboljih sigurnosnih praksi za stvari poput lozinki, ali ih odlučuju ignorirati.
"Korisnici ne kupuju na temelju sigurnosti. Oni [to] ne koriste na temelju sigurnosti. Sigurno nikada ne razmišljaju o sigurnosti dok im se osobno ne dogode loše stvari. Čak i nakon negativnog događaja, njihovo pamćenje je kratko," primijetila je Chestna.
Vlasnici uređaja mogu biti saveznici
Atul Payapilly, osnivač tvrtke Verifiably, gleda na to s drugačijeg gledišta. Čitanje izvješća podsjeća ga na često prijavljene sigurnosne incidente AWS-a, rekao je Lifewireu putem e-pošte. U tim je slučajevima AWS radio kako je planirano, a kršenja su zapravo bila rezultat loših dozvola koje su postavili ljudi koji koriste platformu. Na kraju je AWS promijenio iskustvo konfiguracije kako bi pomogao ljudima da definiraju ispravna dopuštenja.
Ovo odgovara Rajivu Pimplaskaru, izvršnom direktoru Dispersive Networks. "Korisnici su usredotočeni na izbor, praktičnost i produktivnost, a odgovornost industrije kibernetičke sigurnosti je educirati, kao i stvoriti okruženje apsolutne sigurnosti, bez ugrožavanja korisničkog iskustva."
Industrija bi trebala shvatiti da većina nas nisu ljudi koji se bave sigurnošću i da se od nas ne može očekivati da razumijemo teoretske rizike i implikacije neuspjeha instaliranja ažuriranja, vjeruje Erez Yalon, potpredsjednik sigurnosnog istraživanja u Checkmarxu. "Ako korisnici mogu poslati vrlo jednostavnu lozinku, oni će to učiniti. Ako se softver može koristiti iako nije ažuriran, bit će korišten", podijelio je Yalon s Lifewireom putem e-pošte.
Goettl se oslanja na ovo i vjeruje da bi učinkovita strategija mogla biti ograničavanje pristupa s uređaja koji nisu usklađeni. Na primjer, jailbreak uređaj, ili onaj koji ima poznatu lošu aplikaciju, ili pokreće verziju OS-a za koju se zna da je izložena, svi se mogu koristiti kao okidači za ograničavanje pristupa dok vlasnik ne ispravi sigurnosnu pogrešku.
Avivi vjeruje da, iako dobavljači uređaja i programeri softvera mogu učiniti mnogo kako bi smanjili ono čemu će korisnik u konačnici biti izložen, nikada neće postojati srebrni metak ili tehnologija koja bi uistinu mogla zamijeniti wetware.
"Osoba koja može kliknuti na zlonamjernu poveznicu koja je prošla sve automatizirane sigurnosne kontrole ista je ona koja to može prijaviti i izbjeći utjecaj zero-day ili tehnološke slijepe točke", rekao je Avivi.
