Негізгі ұсыныстар
- Жақында жасалған екі есеп шабуылдаушылар қауіпсіздік тізбегіндегі ең әлсіз буынды: адамдарды аңдып жатқанын көрсетеді.
- Сарапшылар бұл сала адамдарды қауіпсіздіктің ең жақсы тәжірибелерін ұстануға мүмкіндік беретін процестерді енгізуі керек деп санайды.
-
Дұрыс жаттығулар құрылғы иелерін шабуылдаушыларға қарсы ең мықты қорғаушыларға айналдырады.
Көптеген адамдар смартфондарындағы құпия ақпараттың көлемін бағалай алмайды және соңғы есептер бойынша бұл портативті құрылғылар дербес компьютерлерге қарағанда әлдеқайда қауіпсіз деп санайды.
Смартфондарды мазалайтын негізгі мәселелер тізімі берілгенімен, Zimperium және Cyble есептері, егер иесі құрылғыны қорғау шараларын қолданбаса, шабуылдаушылар құрылғыны бұзбау үшін кіріктірілген қауіпсіздік мөлшері жеткіліксіз екенін көрсетеді.
"Менің ойымша, басты қиындық - пайдаланушылардың осы қауіпсіздіктің ең жақсы тәжірибесін жеке өмірлерімен жеке байланыстыра алмауында", - деді SafeBreach CISO-дағы Авишай Авиви Lifewire-ке электрондық пошта арқылы. "Олардың құрылғыларын қауіпсіз етуде жеке мүддесі бар екенін түсінбесе, бұл мәселе болып қала береді."
Мобильдік қауіптер
Насер Фаттах, Shared Assessments компаниясының Солтүстік Америка Басқарушы комитетінің төрағасы Lifewire электрондық поштасы арқылы шабуылдаушылар смартфондардың артынан баратынын айтты, себебі олар өте үлкен шабуыл бетін қамтамасыз етеді және бірегей шабуыл векторларын, соның ішінде SMS фишингін немесе жымқыруды ұсынады.
Сонымен қатар, қарапайым құрылғы иелеріне бағытталған, себебі оларды басқару оңай. Бағдарламалық жасақтаманы бұзу үшін кодта анықталмаған немесе шешілмеген кемшілік болуы керек, бірақ «клик және жем» әлеуметтік инженерия тактикасы мәңгі жасыл, - деді Крис Гоеттл, Ивантидегі өнімді басқару жөніндегі вице-президент, Lifewire-ке электрондық пошта арқылы.
Құрылғыларын қауіпсіз етуге олардың жеке мүддесі бар екенін түсінбесе, бұл мәселе болып қала береді.
Zimperium есебінде адамдардың жартысынан азы (42%) жоғары басымдықты түзетулерді шығарылғаннан кейін екі күн ішінде қолданғанын, 28% -ы бір аптаға дейін, ал 20% -ы екі аптаға дейін қажет ететінін атап өтеді. олардың смартфондарын патч.
"Жалпы, соңғы пайдаланушылар жаңартуларды ұнатпайды. Олар жұмыс (немесе ойын) әрекеттерін жиі бұзады, құрылғысындағы әрекетті өзгерте алады және тіпті ұзағырақ ыңғайсыздық тудыруы мүмкін мәселелерді тудыруы мүмкін ", - деді Гоеттл..
Cyble есебінде екі факторлы аутентификация (2FA) кодтарын ұрлайтын және жалған McAfee қолданбасы арқылы таралатын жаңа мобильді троян туралы айтылған. Зерттеушілер зиянды қолданба Google Play Store дүкенінен басқа көздер арқылы таратылатынын, бұл адамдар ешқашан пайдаланбауы керек және тым көп рұқсаттарды сұрайды, бұл ешқашан берілмейтінін түсінеді.
Пит Честна, Checkmarx-тегі Солтүстік Америкадағы CISO, қауіпсіздіктің ең әлсіз буыны әрқашан біз болатынымызға сенеді. Ол құрылғылар мен қолданбалар өзін-өзі қорғауы және емдеуі немесе зиян келтіруге төзімді болуы керек деп санайды, өйткені адамдардың көпшілігі алаңдата алмайды. Оның тәжірибесіне сүйенсек, адамдар құпия сөздер сияқты нәрселерге қатысты қауіпсіздіктің ең жақсы әдістерін біледі, бірақ оларды елемейді.
"Пайдаланушылар қауіпсіздік негізінде сатып алмайды. Олар [оны] қауіпсіздік негізінде пайдаланбайды. Олар, әрине, жеке бастарымен жаман жағдайлар болғанша қауіпсіздік туралы ешқашан ойламайды. Тіпті жағымсыз оқиғадан кейін де, олардың естеліктері қысқа, - деп байқады Честна.
Құрылғы иелері одақтас бола алады
Атул Паяпилли, Verfiably негізін қалаушы, оған басқа көзқараспен қарайды. Есептерді оқу оған жиі хабарланған AWS қауіпсіздік оқиғаларын еске салады, деді ол Lifewire-ке электрондық пошта арқылы. Бұл жағдайларда AWS жобаланғандай жұмыс істеді және бұзушылықтар платформаны пайдаланатын адамдар орнатқан дұрыс емес рұқсаттардың нәтижесі болды. Ақырында, AWS адамдарға дұрыс рұқсаттарды анықтауға көмектесу үшін конфигурация тәжірибесін өзгертті.
Бұл Dispersive Networks компаниясының бас директоры Раджив Пимпласкармен резонанс жасайды. "Пайдаланушылар таңдауға, ыңғайлылыққа және өнімділікке назар аударады және киберқауіпсіздік саласының жауапкершілігі пайдаланушы тәжірибесін бұзбай, абсолютті қауіпсіздік ортасын құрумен қатар, оқыту болып табылады."
Өнеркәсіп біздің көпшілігіміз қауіпсіздік қызметкерлері емес екенін түсінуі керек және біз жаңартуды орнатпаудың теориялық тәуекелдері мен салдарын түсінуді күтуге болмайды, деп санайды Эрез Ялон, Checkmarx қауіпсіздік зерттеулерінің вице-президенті.. «Егер пайдаланушылар өте қарапайым құпия сөзді жібере алса, олар мұны жасайды. Егер бағдарламалық құрал жаңартылмаған болса да пайдаланылуы мүмкін болса, ол пайдаланылады , - деп Yalon Lifewire-пен электрондық пошта арқылы бөлісті.
Goettl осыған негізделген және тиімді стратегия сәйкес келмейтін құрылғылардан кіруді шектеу болуы мүмкін деп санайды. Мысалы, джейлбрейктелген құрылғы немесе белгілі нашар қолданбасы бар немесе операциялық жүйенің ашық екені белгілі нұсқасы жұмыс істеп тұрған құрылғы иесі қауіпсіздік қатесін түзетпейінше кіруді шектеу үшін триггерлер ретінде пайдаланылуы мүмкін.
Avivi құрылғы жеткізушілері мен бағдарламалық жасақтама әзірлеушілері пайдаланушының ақырында не болатынын азайтуға көмектесу үшін көп нәрсе істей алатынына сенімді, бірақ ешқашан дымқыл бағдарламалық құралды шынымен алмастыра алатын күміс оқ немесе технология болмайды.
"Барлық автоматтандырылған қауіпсіздік басқару элементтерінен өтіп кеткен зиянды сілтемені басатын адам ол туралы хабарлай алатын және нөлдік күннің немесе технологияның соқыр нүктесінің әсеріне ұшырамауы мүмкін", - деді Авиви..
