Önemli Bilgiler
- Son zamanlarda yayınlanan iki rapor, saldırganların güvenlik zincirindeki en zayıf halkanın, yani insanların peşinden giderek daha fazla gittiğini vurguluyor.
- Uzmanlar, endüstrinin, insanları en iyi güvenlik uygulamalarına bağlı kılmak için süreçler getirmesi gerektiğine inanıyor.
-
Doğru eğitim, cihaz sahiplerini saldırganlara karşı en güçlü savunuculara dönüştürebilir.
Birçok kişi akıllı telefonlarındaki hassas bilgilerin kapsamını takdir edemiyor ve son raporlara göre bu taşınabilir cihazların doğası gereği PC'lerden daha güvenli olduğuna inanıyor.
Akıllı telefonları rahatsız eden en önemli sorunları listelerken, Zimperium ve Cyble'dan gelen raporlar, sahibi cihazı güvenceye almak için adım atmazsa, saldırganların bir cihazı tehlikeye atmasını önlemek için hiçbir yerleşik güvenliğin yeterli olmadığını gösteriyor.
SafeBreach'in CISO'su Avishai Avivi, Lifewire'a e-posta yoluyla verdiği demeçte, "Bana göre asıl zorluk, kullanıcıların bu en iyi güvenlik uygulamalarıyla kendi kişisel yaşamları arasında kişisel bir bağlantı kuramamalarıdır." "Cihazlarını güvenli hale getirme konusunda kişisel çıkarları olduğunu anlamadan, bu sorun olmaya devam edecek."
Mobil Tehditler
Shared Assessments Kuzey Amerika Yönlendirme Komitesi Başkanı Nasser Fattah, Lifewire'a e-posta yoluyla, saldırganların akıllı telefonların peşine düştüğünü çünkü akıllı telefonların çok büyük bir saldırı yüzeyi sağladığını ve SMS kimlik avı veya smishing de dahil olmak üzere benzersiz saldırı vektörleri sunduğunu söyledi.
Ayrıca, manipüle edilmesi kolay oldukları için normal cihaz sahipleri hedeflenir. Ivanti Ürün Yönetimi Başkan Yardımcısı Chris Goettl, Lifewire'a e-posta yoluyla verdiği demeçte, yazılımı tehlikeye atmak için kodda tanımlanamayan veya çözülmemiş bir kusur olması gerekir, ancak tıkla ve tuzla sosyal mühendislik taktikleri her zaman yeşildir.
Cihazlarını güvenli hale getirme konusunda kişisel çıkarları olduğunu anlamadan, bu bir sorun olmaya devam edecek.
Zimperium raporu, insanların yarısından azının (%42) yüksek öncelikli düzeltmeleri piyasaya çıktıktan sonraki iki gün içinde uyguladığını, %28'inin bir haftaya kadar gerekli olduğunu, %20'sinin ise iki hafta kadar sürdüğünü belirtiyor. akıllı telefonlarını yamalayın.
"Son kullanıcılar, genel olarak güncellemeleri sevmezler. Genellikle iş (veya oyun) etkinliklerini kesintiye uğratır, cihazlarındaki davranışları değiştirebilir ve hatta daha uzun süre rahatsızlık verebilecek sorunlara neden olabilir, " diye belirtti Goettl.
Cyble raporu, iki faktörlü kimlik doğrulama (2FA) kodlarını çalan ve sahte bir McAfee uygulaması aracılığıyla yayılan yeni bir mobil truva atından bahsetti. Araştırmacılar, kötü amaçlı uygulamanın, insanların asla kullanmaması gereken Google Play Store dışındaki kaynaklar aracılığıyla dağıtıldığını ve asla verilmemesi gereken çok fazla izin istediğini anlıyor.
Checkmarx Kuzey Amerika CISO'su olan Pete Chestna, güvenlikte her zaman en zayıf halkanın biz olacağımıza inanıyor. Çoğu insan rahatsız edilemeyeceğinden, cihazların ve uygulamaların kendilerini korumaları ve iyileştirmeleri gerektiğine veya başka türlü zarara karşı dayanıklı olmaları gerektiğine inanıyor. Onun deneyimine göre, insanlar şifreler gibi şeyler için en iyi güvenlik uygulamalarının farkındalar ama onları görmezden gelmeyi seçiyorlar.
"Kullanıcılar güvenliğe dayalı satın almazlar. [bunu] güvenliğe dayalı olarak kullanmazlar. Kişisel olarak başlarına kötü şeyler gelene kadar kesinlikle güvenliği düşünmezler. Olumsuz bir olaydan sonra bile, anıları kısa, " gözlemlenen Chestna.
Cihaz Sahipleri Müttefik Olabilir
Verfiably'ın Kurucusu Atul Payapilly, olaya farklı bir açıdan bakıyor. Lifewire'a e-posta yoluyla raporları okumak, sık sık bildirilen AWS güvenlik olaylarını hatırlattığını söyledi. Bu durumlarda, AWS tasarlandığı gibi çalışıyordu ve ihlaller aslında platformu kullanan kişiler tarafından belirlenen hatalı izinlerin sonucuydu. Sonunda AWS, insanların doğru izinleri tanımlamasına yardımcı olmak için yapılandırma deneyimini değiştirdi.
Bu, Dispersive Networks CEO'su Rajiv Pimplaskar ile rezonansa giriyor. "Kullanıcılar seçim, rahatlık ve üretkenliğe odaklanmıştır ve kullanıcı deneyiminden ödün vermeden mutlak güvenlik ortamı yaratmak ve eğitmek siber güvenlik endüstrisinin sorumluluğundadır."
Endüstri, çoğumuzun güvenlik görevlisi olmadığımızı anlamalı ve bir güncellemeyi yüklememenin teorik risklerini ve sonuçlarını anlamamızın beklenemeyeceğine inanıyor, diyor Checkmarx Güvenlik Araştırmaları Başkan Yardımcısı Erez Yalon. Kullanıcılar çok basit bir şifre gönderebilirlerse, bunu yapacaklardır. Yazılım güncellenmemesine rağmen kullanılabiliyorsa kullanılacaktır” dedi.
Goettl bunun üzerine kuruludur ve etkili bir stratejinin uyumlu olmayan cihazlardan erişimi kısıtlamak olabileceğine inanmaktadır. Örneğin, jailbreak yapılmış bir cihaz veya bilinen bir kötü uygulamaya sahip olan veya işletim sisteminin açık olduğu bilinen bir sürümünü çalıştıran bir cihazın tümü, sahibi güvenlik hatasını düzeltene kadar erişimi kısıtlamak için tetikleyiciler olarak kullanılabilir.
Avivi, cihaz satıcılarının ve yazılım geliştiricilerin, kullanıcının eninde sonunda maruz kalabileceklerini en aza indirmeye yardımcı olmak için çok şey yapabileceğine inanıyor, ancak asla gümüş bir kurşun veya ıslak yazılımların yerini alabilecek bir teknoloji asla olmayacak.
"Tüm otomatik güvenlik kontrollerini geçen kötü amaçlı bağlantıya tıklayabilen kişi, bunu rapor edebilen ve sıfır gün veya teknoloji kör noktasından etkilenmekten kaçınabilen kişidir" dedi..
