Հիմնական տանողներ
- Վերջին երկու զեկույցները ընդգծում են, որ հարձակվողներն ավելի ու ավելի են գնում անվտանգության շղթայի ամենաթույլ օղակի հետևից՝ մարդկանց:
- Փորձագետները կարծում են, որ արդյունաբերությունը պետք է գործընթացներ ներդնի, որպեսզի մարդիկ հավատարիմ մնան անվտանգության լավագույն փորձին:
-
Պատշաճ մարզումները կարող են սարքի սեփականատերերին դարձնել հարձակվողներից ամենաուժեղ պաշտպանները:
Շատերը չեն կարողանում գնահատել իրենց սմարթֆոնների զգայուն տեղեկատվության ծավալը և կարծում են, որ այս շարժական սարքերն իրենց էությամբ ավելի ապահով են, քան համակարգիչները, համաձայն վերջին զեկույցների:
Սմարթֆոններին պատուհասող ամենակարևոր խնդիրները թվարկելիս, Zimperium-ի և Cyble-ի զեկույցները ցույց են տալիս, որ ներկառուցված անվտանգությունը բավարար չէ հարձակվողներին սարքը վնասելու համար, եթե սեփականատերը միջոցներ չձեռնարկի այն ապահովելու համար:
«Գտնում եմ, որ հիմնական մարտահրավերն այն է, որ օգտատերերը չեն կարողանում անձնական կապ հաստատել անվտանգության այս լավագույն փորձի հետ իրենց անձնական կյանքի հետ», - ասաց Ավիշայ Ավիվին, SafeBreach-ի CISO, Lifewire-ին էլփոստով: «Առանց հասկանալու, որ նրանք անձնական շահ ունեն իրենց սարքերը անվտանգ դարձնելու հարցում, սա կշարունակի մնալ խնդիր»:
Շարժական սպառնալիքներ
Նասեր Ֆաթթահը, Հյուսիսային Ամերիկայի Ղեկավար կոմիտեի նախագահ Shared Assessments-ը, Lifewire-ին էլ.
Ավելին, սովորական սարքերի սեփականատերերը թիրախավորված են, քանի որ դրանք հեշտ է շահարկել:Ծրագրային ապահովման փոխզիջման համար անհրաժեշտ է, որ կոդի մեջ լինի չբացահայտված կամ չլուծված թերություն, սակայն սոցիալական ինժեներական մարտավարությունը սեղմեք և խայծը մշտադալար է, Lifewire-ին ասել է Իվանտիի արտադրանքի կառավարման փոխնախագահ Քրիս Գյոթլը::
Առանց հասկանալու, որ նրանք անձնական շահ ունեն իրենց սարքերը անվտանգ դարձնելու հարցում, սա կշարունակի մնալ խնդիր:
Զիմպերիումի զեկույցը նշում է, որ մարդկանց կեսից պակասը (42%) դիմել է բարձր առաջնահերթ ուղղումներ դրանց թողարկումից հետո երկու օրվա ընթացքում, 28%-ի համար պահանջվում է մինչև մեկ շաբաթ, մինչդեռ 20%-ի համար պահանջվում է մինչև երկու շաբաթ։ կարկատել իրենց սմարթֆոնները։
«Վերջնական օգտվողները, ընդհանուր առմամբ, չեն սիրում թարմացումներ: Նրանք հաճախ խանգարում են իրենց աշխատանքային (կամ խաղային) գործունեությունը, կարող են փոխել վարքագիծը իրենց սարքում և նույնիսկ կարող են խնդիրներ առաջացնել, որոնք կարող են ավելի երկար անհարմարություն առաջացնել», - կարծում է Գյոթլը:.
Cyble-ի զեկույցում նշվում էր նոր բջջային տրոյան, որը գողանում է երկու գործոնով վավերացման (2FA) կոդերը և տարածվում կեղծ McAfee հավելվածի միջոցով:Հետազոտողները հասկանում են, որ վնասակար հավելվածը տարածվում է այլ աղբյուրների միջոցով, բացի Google Play Store-ից, ինչը մարդիկ երբեք չպետք է օգտագործեն, և խնդրում են չափազանց շատ թույլտվություններ, որոնք երբեք չպետք է տրվեն:
Փիթ Չեստնան, Հյուսիսային Ամերիկայի CISO-ն Checkmarx-ում, կարծում է, որ մենք ենք, որ միշտ լինելու ենք անվտանգության ամենաթույլ օղակը: Նա կարծում է, որ սարքերը և հավելվածները պետք է պաշտպանեն և բուժեն իրենց կամ այլ կերպ դիմացկուն լինեն վնասների նկատմամբ, քանի որ մարդկանց մեծամասնությունը չի կարող անհանգստանալ: Նրա փորձից ելնելով, մարդիկ տեղյակ են անվտանգության լավագույն փորձի մասին, ինչպիսիք են գաղտնաբառերը, բայց նախընտրում են անտեսել դրանք:
«Օգտատերերը չեն գնում՝ հիմնվելով անվտանգության վրա: Նրանք չեն օգտագործում [այն]՝ հիմնվելով անվտանգության վրա: Նրանք, անշուշտ, երբեք չեն մտածում անվտանգության մասին, քանի դեռ իրենց անձամբ վատ բաներ չեն պատահել: Նույնիսկ բացասական իրադարձությունից հետո:, նրանց հիշողությունները կարճ են», - նկատեց Չեստնան:
Սարքի սեփականատերերը կարող են դաշնակից լինել
Atul Payapilly, Verifiably-ի հիմնադիրը, դրան այլ տեսանկյունից է նայում:Զեկույցները կարդալը նրան հիշեցնում է AWS անվտանգության հաճախակի հաղորդվող միջադեպերի մասին, նա Lifewire-ին ասաց էլ. Այս դեպքերում AWS-ն աշխատում էր այնպես, ինչպես նախագծված էր, և խախտումներն իրականում պլատֆորմն օգտագործող մարդկանց կողմից սահմանված վատ թույլտվությունների արդյունք էին: Ի վերջո, AWS-ը փոխեց կազմաձևման փորձը՝ օգնելու մարդկանց սահմանել ճիշտ թույլտվությունները:
Սա արձագանքում է Dispersive Networks-ի գործադիր տնօրեն Ռաջիվ Պիմպլասկարի հետ: «Օգտատերերը կենտրոնացած են ընտրության, հարմարության և արտադրողականության վրա, և կիբերանվտանգության ոլորտի պատասխանատվությունն է կրթել, ինչպես նաև ստեղծել բացարձակ անվտանգության միջավայր՝ չվնասելով օգտվողի փորձը»::
Արդյունաբերությունը պետք է հասկանա, որ մեզանից շատերը անվտանգության ոլորտի մարդիկ չեն, և մեզանից չի կարելի ակնկալել, որ մենք կհասկանանք թարմացումը չտեղադրելու տեսական ռիսկերն ու հետևանքները, կարծում է Էրեզ Յալոնը՝ Checkmarx-ի Անվտանգության հետազոտությունների փոխնախագահը:. «Եթե օգտվողները կարողանան շատ պարզ գաղտնաբառ ներկայացնել, նրանք դա կանեն։Եթե ծրագրակազմը կարող է օգտագործվել, չնայած այն չի թարմացվել, այն կօգտագործվի», - Յալոնը կիսվել է Lifewire-ի հետ էլփոստի միջոցով:
Goettl-ը հիմնվում է դրա վրա և կարծում է, որ արդյունավետ ռազմավարություն կարող է լինել չհամապատասխանող սարքերից մուտքի սահմանափակումը: Օրինակ՝ ջեյլբրոքված սարքը կամ այն, որն ունի հայտնի վատ հավելված, կամ աշխատում է ՕՀ-ի այն տարբերակը, որը հայտնի է, որ բացահայտված է, բոլորը կարող են օգտագործվել որպես գործարկիչներ՝ մուտքը սահմանափակելու համար, մինչև սեփականատերը չուղղի անվտանգության կեղծիքը:
Avivi-ն կարծում է, որ թեև սարքերի վաճառողները և ծրագրային ապահովման մշակողները կարող են շատ բան անել, որպեսզի նվազագույնի հասցնեն այն, ինչին ի վերջո կենթարկվի օգտատերը, երբեք չի լինի արծաթե փամփուշտ կամ տեխնոլոգիա, որն իսկապես կարող է փոխարինել խոնավ ծրագրերը:
«Այն անձը, ով կարող է սեղմել վնասակար հղման վրա, որն այն անցել է անվտանգության բոլոր ավտոմատացված հսկիչները, նույնն է, ով կարող է հաղորդել դրա մասին և խուսափել զրոյական օրվա կամ տեխնոլոգիական կույր կետի ազդեցության տակ», - ասաց Ավիվին:.
