Mga Key Takeaway
- Dalawang kamakailang ulat ang nagha-highlight na ang mga umaatake ay lalong humahabol sa pinakamahina na link sa security chain: mga tao.
- Naniniwala ang mga eksperto na dapat ipakilala ng industriya ang mga proseso para sumunod ang mga tao sa pinakamahuhusay na kagawian sa seguridad.
-
Ang wastong pagsasanay ay maaaring gawing pinakamalakas na tagapagtanggol ang mga may-ari ng device laban sa mga umaatake.
Maraming tao ang nabigo sa pagpapahalaga sa lawak ng sensitibong impormasyon sa kanilang mga smartphone at naniniwala na ang mga portable na device na ito ay likas na mas secure kaysa sa mga PC, ayon sa mga kamakailang ulat.
Habang naglilista ng mga nangungunang isyu na sumasalot sa mga smartphone, ang mga ulat mula sa Zimperium at Cyble ay parehong nagpapahiwatig na walang sapat na halaga ng built-in na seguridad upang pigilan ang mga umaatake na ikompromiso ang isang device kung ang may-ari ay hindi gagawa ng mga hakbang upang ma-secure ito.
"Ang pangunahing hamon, nalaman ko, ay nabigo ang mga user na gumawa ng personal na koneksyon ng pinakamahuhusay na kagawian sa seguridad na ito sa kanilang sariling personal na buhay," sabi ni Avishai Avivi, CISO sa SafeBreach, sa Lifewire sa pamamagitan ng email. "Kung hindi nauunawaan na mayroon silang personal na stake sa paggawa ng secure ng kanilang mga device, ito ay patuloy na magiging isyu."
Mga Banta sa Mobile
Nasser Fattah, North America Steering Committee Chair sa Shared Assessments, ay nagsabi sa Lifewire sa pamamagitan ng email na hinahabol ng mga attacker ang mga smartphone dahil nagbibigay sila ng napakalaking attack surface at nag-aalok ng mga natatanging attack vector, kabilang ang SMS phishing, o smishing.
Higit pa rito, ang mga regular na may-ari ng device ay tina-target dahil madali silang manipulahin. Upang makompromiso ang software, kailangang mayroong hindi natukoy o hindi nalutas na depekto sa code, ngunit ang click-and-bait na social engineering tactics ay evergreen, sinabi ni Chris Goettl, VP ng Product Management sa Ivanti, sa Lifewire sa pamamagitan ng email.
Kung hindi nauunawaan na mayroon silang personal na stake sa paggawa ng secure ng kanilang mga device, ito ay patuloy na magiging isyu.
Ang ulat ng Zimperium ay nagsasaad na wala pang kalahati (42%) ng mga tao ang naglapat ng mataas na priyoridad na mga pag-aayos sa loob ng dalawang araw mula sa kanilang paglabas, 28% ay kinakailangan hanggang sa isang linggo, habang 20% ay tumatagal ng hanggang dalawang linggo upang i-patch ang kanilang mga smartphone.
"Ang mga end user, sa pangkalahatan, ay hindi nagugustuhan ang mga update. Madalas nilang naaabala ang kanilang mga aktibidad sa trabaho (o paglalaro), maaaring magbago ng gawi sa kanilang device, at maaari pang magdulot ng mga isyu na maaaring maging mas matagal na abala, " ayon kay Goettl.
Ang ulat ng Cyble ay nagbanggit ng bagong mobile trojan na nagnanakaw ng two-factor authentication (2FA) code at kumakalat sa pamamagitan ng pekeng McAfee app. Inaalam ng mga mananaliksik na ang nakakahamak na app ay ipinamamahagi sa pamamagitan ng mga mapagkukunan maliban sa Google Play Store, na isang bagay na hindi dapat gamitin ng mga tao, at humihingi ng napakaraming pahintulot, na hindi kailanman dapat ibigay.
Pete Chestna, CISO ng North America sa Checkmarx, ay naniniwala na tayo ang palaging magiging pinakamahinang link sa seguridad. Naniniwala siya na kailangang protektahan at pagalingin ng mga device at app ang kanilang mga sarili o kaya naman ay maging matatag sa pinsala dahil karamihan sa mga tao ay hindi mapakali. Sa kanyang karanasan, alam ng mga tao ang pinakamahuhusay na kagawian sa seguridad para sa mga bagay tulad ng mga password ngunit pinipili nilang huwag pansinin ang mga ito.
"Ang mga user ay hindi bumibili batay sa seguridad. Hindi nila ginagamit [ito] batay sa seguridad. Tiyak na hindi nila iniisip ang tungkol sa seguridad hangga't hindi sila nangyayari nang personal sa mga masasamang bagay. Kahit pagkatapos ng isang negatibong kaganapan, ang kanilang mga alaala ay maikli, " pagmamasid ni Chestna.
Maaaring Maging Kakampi ang Mga May-ari ng Device
Atul Payapilly, Tagapagtatag ng Verifiably, ay tumitingin dito mula sa ibang pananaw. Ang pagbabasa ng mga ulat ay nagpapaalala sa kanya ng madalas na naiulat na mga insidente sa seguridad ng AWS, sinabi niya sa Lifewire sa pamamagitan ng email. Sa mga pagkakataong ito, gumagana ang AWS ayon sa disenyo, at ang mga paglabag ay talagang resulta ng masasamang pahintulot na itinakda ng mga taong gumagamit ng platform. Sa kalaunan, binago ng AWS ang karanasan ng configuration para matulungan ang mga tao na tukuyin ang mga tamang pahintulot.
Ito ay tumutugon kay Rajiv Pimplaskar, CEO ng Dispersive Networks. "Ang mga user ay nakatuon sa pagpili, kaginhawahan, at pagiging produktibo, at responsibilidad ng industriya ng cybersecurity na turuan, pati na rin lumikha ng isang kapaligiran ng ganap na seguridad, nang hindi nakompromiso ang karanasan ng user."
Dapat maunawaan ng industriya na karamihan sa atin ay hindi mga taong panseguridad, at hindi natin inaasahang mauunawaan natin ang mga teoretikal na panganib at implikasyon ng hindi pag-install ng update, naniniwala si Erez Yalon, VP ng Security Research sa Checkmarx. "Kung ang mga user ay makakapagsumite ng napakasimpleng password, gagawin nila iyon. Kung magagamit ang software kahit na hindi ito na-update, ito ay gagamitin, " ibinahagi ni Yalon sa Lifewire sa pamamagitan ng email.
Ang Goettl ay bubuo dito at naniniwala na ang isang epektibong diskarte ay maaaring paghigpitan ang pag-access mula sa mga hindi sumusunod na device. Halimbawa, ang isang jailbroken na device, o isa na may kilalang hindi magandang application, o nagpapatakbo ng bersyon ng OS na kilalang nalantad, ay magagamit lahat bilang mga trigger upang paghigpitan ang pag-access hanggang sa itama ng may-ari ang security faux pas.
Naniniwala ang Avivi na habang malaki ang magagawa ng mga vendor ng device at software developer para makatulong na mabawasan kung ano ang malalantad sa user, hinding-hindi magkakaroon ng silver bullet o teknolohiyang tunay na mapapalitan ang wetware.
"Ang taong maaaring mag-click sa malisyosong link na nakalampas sa lahat ng mga awtomatikong kontrol sa seguridad ay ang taong maaaring mag-ulat nito at maiwasang maapektuhan ng zero-day o blind spot ng teknolohiya," sabi ni Avivi.