მთავარი წაღებები
- ორი ბოლოდროინდელი მოხსენება ხაზს უსვამს იმას, რომ თავდამსხმელები სულ უფრო და უფრო დადიან უსაფრთხოების ჯაჭვის ყველაზე სუსტ რგოლზე: ადამიანებს.
- ექსპერტები თვლიან, რომ ინდუსტრიამ უნდა შემოიტანოს პროცესები, რათა ხალხი დაიცვან უსაფრთხოების საუკეთესო პრაქტიკა.
-
სწორმა ვარჯიშმა შეიძლება გადააქციოს მოწყობილობის მფლობელები თავდამსხმელებისგან უძლიერეს დამცველებად.
ბევრი ვერ აფასებს მათი სმარტფონების სენსიტიური ინფორმაციის მოცულობას და თვლის, რომ ეს პორტატული მოწყობილობები არსებითად უფრო უსაფრთხოა ვიდრე კომპიუტერები, ბოლოდროინდელი ანგარიშების მიხედვით.
როდესაც ჩამოთვლილია სმარტფონებისთვის ყველაზე გავრცელებული პრობლემები, Zimperium-ისა და Cyble-ის ანგარიშები მიუთითებს, რომ არცერთი ჩაშენებული უსაფრთხოება არ არის საკმარისი იმისათვის, რომ თავდამსხმელებმა არ დაარღვიონ მოწყობილობა, თუ მფლობელი არ გადადგამს ზომებს მის დასაცავად.
„მთავარი გამოწვევა, მე ვხვდები, არის ის, რომ მომხმარებლები ვერ ახერხებენ უსაფრთხოების ამ საუკეთესო პრაქტიკის პერსონალურ კავშირს საკუთარ პირად ცხოვრებასთან“, განუცხადა ავიშაი ავივიმ, CISO SafeBreach-ში, Lifewire-ს ელექტრონული ფოსტით. "გაგების გარეშე, რომ მათ აქვთ პირადი წილი თავიანთი მოწყობილობების უსაფრთხოებაში, ეს კვლავ პრობლემად რჩება."
მობილური საფრთხეები
ნასერ ფატაჰმა, ჩრდილოეთ ამერიკის მმართველი კომიტეტის თავმჯდომარემ Shared Assessments-ში, განუცხადა Lifewire-ს ელფოსტით, რომ თავდამსხმელები მიჰყვებიან სმარტფონებს, რადგან ისინი უზრუნველყოფენ შეტევის ძალიან დიდ ზედაპირს და გვთავაზობენ თავდასხმის უნიკალურ ვექტორებს, მათ შორის SMS ფიშინგს ან smishing-ს.
უფრო მეტიც, ჩვეულებრივი მოწყობილობების მფლობელები არიან მიზანმიმართული, რადგან მათი მანიპულირება მარტივია.პროგრამული უზრუნველყოფის კომპრომისისთვის საჭიროა არსებობდეს კოდის ამოუცნობი ან გადაუჭრელი ხარვეზი, მაგრამ სოციალური ინჟინერიის დაწკაპუნების ტაქტიკა მარადმწვანეა, განუცხადა Ivanti-ის პროდუქტის მენეჯმენტის ვიცე-პრეზიდენტმა კრის გოტლმა Lifewire-ს ელექტრონული ფოსტით.
იმის გაგების გარეშე, რომ მათ აქვთ პირადი წილი მათი მოწყობილობების უსაფრთხოებაში, ეს კვლავ პრობლემად რჩება.
Zimperium-ის მოხსენებაში აღნიშნულია, რომ ადამიანების ნახევარზე ნაკლებმა (42%) გამოიყენა მაღალი პრიორიტეტული შესწორებები გამოშვებიდან ორი დღის განმავლობაში, 28%-ს ესაჭიროება კვირამდე, ხოლო 20%-ს სჭირდება დაახლოებით ორი კვირა. დაალაგეთ მათი სმარტფონები.
"საბოლოო მომხმარებლებს, ზოგადად, არ მოსწონთ განახლებები. ისინი ხშირად არღვევენ სამუშაო (ან სათამაშო) აქტივობებს, შეუძლიათ შეცვალონ ქცევა მოწყობილობაზე და შეიძლება გამოიწვიოს პრობლემებიც კი, რომლებიც შეიძლება უფრო ხანგრძლივი უხერხულობა იყოს", - თქვა გოტლმა..
Cyble ანგარიშში ნახსენები იყო ახალი მობილური ტროას, რომელიც იპარავს ორფაქტორიან ავთენტიფიკაციის (2FA) კოდებს და ვრცელდება ყალბი McAfee აპლიკაციის მეშვეობით.მკვლევარებმა გააცნობიერეს, რომ მავნე აპი ნაწილდება Google Play Store-ის გარდა სხვა წყაროების საშუალებით, რაც ადამიანებმა არასდროს არ უნდა გამოიყენონ და ითხოვენ ძალიან ბევრ ნებართვას, რომელიც არასდროს არ უნდა მიენიჭოს.
Pete Chestna, ჩრდილოეთ ამერიკის CISO Checkmarx-ში, თვლის, რომ ჩვენ ვართ, ვინც ყოველთვის ვიქნებით უსაფრთხოების ყველაზე სუსტი რგოლი. მას სჯერა, რომ მოწყობილობებსა და აპებს სჭირდებათ საკუთარი თავის დაცვა და განკურნება, ან სხვაგვარად მდგრადი იყოს ზიანის მიმართ, რადგან ადამიანების უმეტესობას არ შეუძლია შეწუხება. მისი გამოცდილებიდან ადამიანებმა იციან უსაფრთხოების საუკეთესო პრაქტიკის შესახებ, როგორიცაა პაროლები, მაგრამ არჩევენ მათ იგნორირებას.
"მომხმარებლები არ ყიდულობენ უსაფრთხოების საფუძველზე. ისინი არ იყენებენ [მას] უსაფრთხოების საფუძველზე. ისინი, რა თქმა უნდა, არასდროს ფიქრობენ უსაფრთხოებაზე, სანამ მათ პირადად ცუდი არ მოხდება. ნეგატიური მოვლენის შემდეგაც კი. მათი მოგონებები მოკლეა, - შენიშნა ჩესტნა.
მოწყობილობის მფლობელები შეიძლება იყვნენ მოკავშირეები
Atul Payapilly, Verifiably-ის დამფუძნებელი, მას სხვა კუთხით უყურებს.მოხსენებების წაკითხვა მას ახსენებს AWS უსაფრთხოების ინციდენტებს, რომლებიც ხშირად იუწყებიან, განუცხადა მან Lifewire-ს ელექტრონული ფოსტით. ამ შემთხვევებში, AWS მუშაობდა ისე, როგორც შემუშავებული იყო, და დარღვევები რეალურად იყო პლატფორმის გამოყენებით ხალხის მიერ დაწესებული ცუდი ნებართვების შედეგი. საბოლოოდ, AWS-მა შეცვალა კონფიგურაციის გამოცდილება, რათა დაეხმაროს ადამიანებს სწორი ნებართვების განსაზღვრაში.
ეს ეხმიანება რაჯივ პიმპლასკარს, Dispersive Networks-ის აღმასრულებელ დირექტორს. "მომხმარებლები ორიენტირებულნი არიან არჩევანზე, მოხერხებულობასა და პროდუქტიულობაზე და კიბერუსაფრთხოების ინდუსტრიის პასუხისმგებლობაა განათლება, ისევე როგორც აბსოლუტური უსაფრთხოების გარემოს შექმნა მომხმარებლის გამოცდილების კომპრომისის გარეშე."
ინდუსტრიამ უნდა გააცნობიეროს, რომ უმეტესობა ჩვენგანი არ არის უსაფრთხოების ადამიანი და ჩვენ არ უნდა გვესმოდეს თეორიული რისკები და შედეგები, რომლებიც ვერ დააინსტალირებთ განახლებას, თვლის ერეზ იალონი, Checkmarx-ის უსაფრთხოების კვლევის ვიცე-პრეზიდენტი.. „თუ მომხმარებლებს შეუძლიათ ძალიან მარტივი პაროლის გაგზავნა, ისინი ამას გააკეთებენ.თუ პროგრამული უზრუნველყოფის გამოყენება შესაძლებელია, მიუხედავად იმისა, რომ ის არ იყო განახლებული, ის გამოყენებული იქნება“, - გაუზიარა იალონმა Lifewire-ს ელფოსტით.
Goettl ეფუძნება ამას და თვლის, რომ ეფექტური სტრატეგია შეიძლება იყოს შეუსაბამო მოწყობილობებიდან წვდომის შეზღუდვა. მაგალითად, ჯეილბრეიკული მოწყობილობა ან ის, რომელსაც აქვს ცნობილი ცუდი აპლიკაცია, ან მუშაობს OS-ის ვერსიაზე, რომელიც ცნობილია, რომ გამოვლენილია, ეს ყველაფერი შეიძლება გამოყენებულ იქნას როგორც ტრიგერები წვდომის შეზღუდვის მიზნით, სანამ მფლობელი არ შეასწორებს უსაფრთხოების ყალბი პასს.
Avivi თვლის, რომ მიუხედავად იმისა, რომ მოწყობილობების მომწოდებლებსა და პროგრამული უზრუნველყოფის შემქმნელებს შეუძლიათ ბევრი რამ გააკეთონ იმისთვის, რომ მინიმუმამდე დაიყვანონ ის, რის წინაშეც საბოლოოდ აღმოჩნდება მომხმარებელი, ვერასოდეს იქნება ვერცხლის ტყვია ან ტექნოლოგია, რომელიც ნამდვილად შეცვლის ვეტ-პროგრამებს.
"ადამიანი, რომელმაც შეიძლება დააწკაპუნოს მავნე ბმულზე, რომელმაც გადალახა უსაფრთხოების ყველა ავტომატური კონტროლი, იგივეა, ვისაც შეუძლია ამის შესახებ მოხსენება და თავიდან აიცილოს ზემოქმედება ნულოვანი დღის ან ტექნოლოგიის ბრმა წერტილით," - თქვა ავივიმ..
