מזונות חשובים
- שני דיווחים אחרונים מדגישים שהתוקפים הולכים יותר ויותר אחרי החוליה החלשה ביותר בשרשרת האבטחה: אנשים.
- מומחים מאמינים שהתעשייה צריכה להציג תהליכים כדי לגרום לאנשים לדבוק בשיטות העבודה המומלצות לאבטחה.
-
אימון נכון יכול להפוך בעלי מכשירים למגנים החזקים ביותר נגד תוקפים.
אנשים רבים לא מצליחים להעריך את היקף המידע הרגיש בסמארטפונים שלהם ומאמינים שהמכשירים הניידים הללו מאובטחים יותר ממחשבים אישיים, על פי דיווחים אחרונים.
בזמן שרשימת הבעיות העיקריות שמטרידות סמארטפונים, דיווחים מ-Zimperium ומ-Cyble מצביעים על כך ששום אבטחה מובנית לא מספיקה כדי למנוע מתוקפים להתפשר על מכשיר אם הבעלים לא נוקט בצעדים לאבטחתו.
"האתגר העיקרי, אני מוצא, הוא שמשתמשים אינם מצליחים ליצור קשר אישי של שיטות האבטחה המומלצות הללו לחייהם האישיים", אמר אבישי אביבי, CISO ב-SafeBreach, ל-Lifewire באימייל. "בלי להבין שיש להם חלק אישי בהפיכת המכשירים שלהם לאבטחה, זה ימשיך להיות בעיה."
איומים ניידים
נאסר פתח, יו"ר ועדת ההיגוי של צפון אמריקה ב-Shared Assessments, אמר ל-Lifewire בדוא"ל שתוקפים רודפים אחרי סמארטפונים מכיוון שהם מספקים משטח התקפה גדול מאוד ומציעים וקטורי התקפה ייחודיים, כולל דיוג ב-SMS, או סמסינג.
יתר על כן, מתמקדים בבעלי מכשירים רגילים מכיוון שקל לתפעל אותם.כדי להתפשר על תוכנה, צריך להיות פגם לא מזוהה או לא פתור בקוד, אבל טקטיקות של הנדסה חברתית לחיצה ופיתיון הן ירוקות עד, אמר כריס גוטל, סמנכ"ל ניהול מוצר ב-Ivanti, ל-Lifewire בדוא"ל.
בלי להבין שיש להם חלק אישי בהפיכת המכשירים שלהם לאבטחה, זה ימשיך להיות בעיה.
דו ח Zimperium מציין שפחות ממחצית (42%) מהאנשים הפעילו תיקונים בעדיפות גבוהה תוך יומיים משחרורם, 28% נדרשו עד שבוע, בעוד ש-20% לוקחים עד שבועיים תקן את הסמארטפונים שלהם.
"משתמשי קצה, באופן כללי, לא אוהבים עדכונים. לעתים קרובות הם משבשים את פעילויות העבודה (או המשחק) שלהם, יכולים לשנות התנהגות במכשיר שלהם, ואף עלולים לגרום לבעיות שעלולות לגרום לאי נוחות ארוכה יותר", אמר גוטל.
דו ח Cyble הזכיר טרויאני נייד חדש שגונב קודי אימות דו-גורמי (2FA) ומופץ באמצעות אפליקציית McAfee מזויפת.החוקרים מבינים שהאפליקציה הזדונית מופצת דרך מקורות אחרים מלבד חנות Google Play, שזה משהו שאנשים לא צריכים להשתמש בו, ומבקשים יותר מדי הרשאות, שאסור להעניק לעולם.
פיט צ'סטנה, CISO של צפון אמריקה בצ'קמארקס, מאמין שתמיד אנחנו נהיה החוליה החלשה ביותר באבטחה. הוא מאמין שמכשירים ואפליקציות צריכים להגן על עצמם ולרפא את עצמם או להיות עמידים בדרך אחרת בפני נזק מכיוון שלא ניתן להטריד את רוב האנשים. מניסיונו, אנשים מודעים לשיטות האבטחה המומלצות עבור דברים כמו סיסמאות, אך בוחרים להתעלם מהם.
"משתמשים לא קונים על סמך אבטחה. הם לא משתמשים [זה] על סמך אבטחה. הם בהחלט לא חושבים על אבטחה עד שדברים רעים קרו להם באופן אישי. גם לאחר אירוע שלילי, הזכרונות שלהם קצרים", ציין צ'סטנה.
בעלי מכשירים יכולים להיות בעלי ברית
Atul Payapilly, מייסד Verifiably, מסתכל על זה מנקודת מבט אחרת.קריאת הדוחות מזכירה לו את אירועי האבטחה המדווחים לעתים קרובות של AWS, הוא אמר ל-Lifewire באימייל. במקרים אלה, AWS פעל כפי שתוכנן, וההפרות היו למעשה תוצאה של הרשאות גרועות שנקבעו על ידי האנשים המשתמשים בפלטפורמה. בסופו של דבר, AWS שינתה את חוויית התצורה כדי לעזור לאנשים להגדיר את ההרשאות הנכונות.
זה מהדהד עם Rajiv Pimplaskar, מנכ"ל Dispersive Networks. "המשתמשים מתמקדים בבחירה, בנוחות ובפרודוקטיביות, ובאחריותה של תעשיית אבטחת הסייבר לחנך, כמו גם ליצור סביבה של אבטחה מוחלטת, מבלי לפגוע בחוויית המשתמש."
התעשייה צריכה להבין שרובנו לא אנשי אבטחה, ולא ניתן לצפות מאיתנו להבין את הסיכונים התיאורטיים וההשלכות של אי התקנת עדכון, מאמין ארז ילון, סמנכ"ל חקר האבטחה בצ'קמארקס. "אם משתמשים יכולים לשלוח סיסמה פשוטה מאוד, הם יעשו זאת.אם ניתן להשתמש בתוכנה למרות שלא עודכנה, היא תעשה שימוש", שיתף ילון עם Lifewire באימייל.
Goettl מתבסס על כך ומאמין שאסטרטגיה יעילה יכולה להיות הגבלת גישה ממכשירים שאינם תואמים. לדוגמה, מכשיר שבור בכלא, או כזה שיש לו אפליקציה פגומה ידועה, או שמפעילה גרסה של מערכת ההפעלה שידועה כחשפה, כולם יכולים לשמש כטריגרים להגבלת גישה עד שהבעלים יתקן את תקלות האבטחה.
Avivi מאמין שבעוד שספקי מכשירים ומפתחי תוכנה יכולים לעשות הרבה כדי לעזור למזער את מה שהמשתמש ייחשף אליו בסופו של דבר, לעולם לא יהיה כדור כסף או טכנולוגיה שיכולה להחליף באמת כלי לחות.
"האדם שעשוי ללחוץ על הקישור הזדוני שחלף את כל בקרות האבטחה האוטומטיות הוא אותו אחד שיכול לדווח על כך ולהימנע מלהיות מושפע מנקודת אפס או נקודה עיוורת של טכנולוגיה", אמר אביבי.
