Key takeaways
- To nylige rapporter fremhæver, at angribere i stigende grad går efter det svageste led i sikkerhedskæden: mennesker.
- Eksperter mener, at industrien bør indføre processer for at få folk til at overholde bedste praksis for sikkerhed.
-
Korrekt træning kan gøre enhedsejere til de stærkeste forsvarere mod angribere.
Mange mennesker forstår ikke omfanget af følsomme oplysninger i deres smartphones og tror, at disse bærbare enheder i sagens natur er mere sikre end pc'er, ifølge de seneste rapporter.
Mens de viser de vigtigste problemer, der plager smartphones, viser rapporter fra Zimperium og Cyble begge, at ingen mængde af indbygget sikkerhed er nok til at forhindre angribere i at kompromittere en enhed, hvis ejeren ikke tager skridt til at sikre den.
"Den største udfordring, synes jeg, er, at brugerne ikke formår at skabe en personlig forbindelse mellem disse bedste sikkerhedsmetoder til deres eget personlige liv," fort alte Avishai Avivi, CISO hos SafeBreach, til Lifewire via e-mail. "Uden at forstå, at de har en personlig interesse i at gøre deres enheder sikre, vil dette fortsat være et problem."
mobiltrusler
Nasser Fattah, formand for North America Steering Committee hos Shared Assessments, fort alte Lifewire via e-mail, at angribere går efter smartphones, fordi de giver en meget stor angrebsflade og tilbyder unikke angrebsvektorer, herunder SMS-phishing eller smishing.
Yderligere er almindelige enhedsejere målrettet, fordi de er nemme at manipulere. For at kompromittere software skal der være en uidentificeret eller uløst fejl i koden, men klik-og-lokke-social engineering-taktik er stedsegrøn, sagde Chris Goettl, VP of Product Management hos Ivanti, til Lifewire via e-mail.
Uden at forstå, at de har en personlig interesse i at gøre deres enheder sikre, vil dette fortsat være et problem.
Zimperium-rapporten bemærker, at mindre end halvdelen (42 %) af personerne anvendte højprioritetsrettelser inden for to dage efter deres udgivelse, 28 % krævede op til en uge, mens 20 % tager så meget som to uger at patch deres smartphones.
"Slutbrugere kan generelt ikke lide opdateringer. De forstyrrer ofte deres arbejde (eller lege) aktiviteter, kan ændre adfærd på deres enhed og kan endda forårsage problemer, der kan være til længere besvær," mente Goettl.
Cyble-rapporten nævnte en ny mobil trojan, der stjæler to-faktor-godkendelseskoder (2FA) og spredes gennem en falsk McAfee-app. Forskerne fatter, at den ondsindede app distribueres via andre kilder end Google Play Butik, hvilket er noget folk aldrig bør bruge, og beder om for mange tilladelser, som aldrig bør gives.
Pete Chestna, CISO i Nordamerika hos Checkmarx, mener, at det er os, der altid vil være det svageste led i sikkerhed. Han mener, at enheder og apps skal beskytte og helbrede sig selv eller på anden måde være modstandsdygtige over for skade, da de fleste mennesker ikke kan blive generet. Hans erfaring er, at folk er opmærksomme på de bedste sikkerhedsmetoder for ting som adgangskoder, men vælger at ignorere dem.
"Brugere køber ikke baseret på sikkerhed. De bruger ikke [det] baseret på sikkerhed. De tænker bestemt aldrig på sikkerhed, før der er sket dårlige ting for dem personligt. Selv efter en negativ begivenhed, deres minder er korte," bemærkede Chestna.
Enhedsejere kan være allierede
Atul Payapilly, grundlægger af Verifiably, ser på det fra et andet synspunkt. At læse rapporterne minder ham om de ofte rapporterede AWS-sikkerhedshændelser, fort alte han Lifewire via e-mail. I disse tilfælde fungerede AWS som designet, og bruddene var faktisk et resultat af dårlige tilladelser, der var angivet af folk, der brugte platformen. Til sidst ændrede AWS oplevelsen af konfigurationen for at hjælpe folk med at definere de korrekte tilladelser.
Dette giver genklang hos Rajiv Pimplaskar, administrerende direktør for Dispersive Networks. "Brugerne er fokuseret på valg, bekvemmelighed og produktivitet, og det er cybersikkerhedsindustriens ansvar at uddanne og skabe et miljø med absolut sikkerhed uden at gå på kompromis med brugeroplevelsen."
Branchen burde forstå, at de fleste af os ikke er sikkerhedsfolk, og vi kan ikke forventes at forstå de teoretiske risici og implikationer ved at undlade at installere en opdatering, mener Erez Yalon, VP for Security Research hos Checkmarx. "Hvis brugere kan indsende en meget simpel adgangskode, vil de gøre det. Hvis software kan bruges, selvom den ikke blev opdateret, vil den blive brugt, " delte Yalon med Lifewire via e-mail.
Goettl bygger videre på dette og mener, at en effektiv strategi kunne være at begrænse adgangen fra ikke-kompatible enheder. For eksempel kan en jailbroken enhed, eller en, der har et kendt dårligt program, eller kører en version af operativsystemet, der vides at være afsløret, alle bruges som triggere til at begrænse adgangen, indtil ejeren retter sikkerhedsfaux pas.
Avivi mener, at selvom enhedsleverandører og softwareudviklere kan gøre meget for at hjælpe med at minimere, hvad brugeren i sidste ende vil blive udsat for, ville der aldrig være en sølvkugle eller en teknologi, der virkelig kan erstatte wetware.
"Den person, der kan klikke på det ondsindede link, der kom forbi alle de automatiserede sikkerhedskontroller, er den samme, der kan rapportere det og undgå at blive påvirket af en nuldag eller en teknologisk blindvinkel," sagde Avivi.
