Key takeaways
- Två färska rapporter visar att angripare i allt större utsträckning går efter den svagaste länken i säkerhetskedjan: människor.
- Experter anser att branschen bör införa processer för att få människor att följa de bästa säkerhetsrutinerna.
-
Rätt träning kan göra enhetsägare till de starkaste försvararna mot angripare.
Många människor misslyckas med att uppskatta omfattningen av känslig information i sina smartphones och tror att dessa bärbara enheter i sig är säkrare än datorer, enligt senaste rapporter.
Medan de listar de vanligaste problemen som plågar smartphones, visar rapporter från Zimperium och Cyble båda att ingen mängd inbyggd säkerhet räcker för att förhindra angripare från att äventyra en enhet om ägaren inte vidtar åtgärder för att säkra den.
"Den största utmaningen, tycker jag, är att användare misslyckas med att skapa en personlig koppling av dessa säkerhetsmetoder till sina egna personliga liv", sa Avishai Avivi, CISO på SafeBreach, till Lifewire via e-post. "Utan att förstå att de har ett personligt intresse i att göra sina enheter säkra kommer detta att fortsätta att vara ett problem."
Mobilhot
Nasser Fattah, Nordamerikas styrgruppsordförande på Shared Assessments, sa till Lifewire via e-post att angripare går efter smartphones eftersom de ger en mycket stor attackyta och erbjuder unika attackvektorer, inklusive SMS-nätfiske eller smishing.
Dessutom riktar man sig mot vanliga enhetsägare eftersom de är lätta att manipulera. För att kompromissa med programvaran måste det finnas ett oidentifierat eller olöst fel i koden, men klick-och-bete social ingenjörsteknik är alltid grön, sa Chris Goettl, VP of Product Management på Ivanti, till Lifewire via e-post.
Utan att förstå att de har ett personligt intresse i att göra sina enheter säkra kommer detta att fortsätta att vara ett problem.
Zimperium-rapporten noterar att mindre än hälften (42 %) av personerna tillämpade högprioriterade korrigeringar inom två dagar efter att de släpptes, 28 % krävde upp till en vecka, medan 20 % tar så mycket som två veckor att lappa sina smartphones.
"Slutanvändare i allmänhet gillar inte uppdateringar. De stör ofta deras arbete (eller lek) aktiviteter, kan ändra beteende på sin enhet och kan till och med orsaka problem som kan vara ett längre besvär", menade Goettl.
Cyble-rapporten nämnde en ny mobil trojan som stjäl tvåfaktorsautentiseringskoder (2FA) och sprids via en falsk McAfee-app. Forskarna förstår att den skadliga appen distribueras via andra källor än Google Play Butik, vilket är något folk aldrig bör använda, och ber om för många behörigheter, som aldrig bör beviljas.
Pete Chestna, CISO i Nordamerika på Checkmarx, tror att det är vi som alltid kommer att vara den svagaste länken inom säkerhet. Han tror att enheter och appar behöver skydda och läka sig själva eller på annat sätt vara motståndskraftiga mot skador eftersom de flesta människor inte kan bry sig. Enligt hans erfarenhet är folk medvetna om de bästa säkerhetsmetoderna för saker som lösenord men väljer att ignorera dem.
"Användare köper inte baserat på säkerhet. De använder inte [det] baserat på säkerhet. De tänker absolut aldrig på säkerhet förrän dåliga saker har hänt dem personligen. Även efter en negativ händelse, deras minnen är korta", konstaterade Chestna.
Enhetsägare kan vara allierade
Atul Payapilly, grundare av Verifiably, ser på det från en annan synvinkel. Att läsa rapporterna påminner honom om de ofta rapporterade AWS-säkerhetsincidenterna, sa han till Lifewire via e-post. I dessa fall fungerade AWS som designat, och överträdelserna var faktiskt resultatet av dåliga behörigheter som ställts in av personerna som använder plattformen. Så småningom ändrade AWS upplevelsen av konfigurationen för att hjälpa människor att definiera rätt behörigheter.
Detta resonerar hos Rajiv Pimplaskar, VD för Dispersive Networks. "Användare är fokuserade på valmöjligheter, bekvämlighet och produktivitet, och det är cybersäkerhetsbranschens ansvar att utbilda, samt skapa en miljö av absolut säkerhet, utan att kompromissa med användarupplevelsen."
Branschen borde förstå att de flesta av oss inte är säkerhetsmänniskor, och vi kan inte förväntas förstå de teoretiska riskerna och konsekvenserna av att misslyckas med att installera en uppdatering, anser Erez Yalon, VP för säkerhetsforskning på Checkmarx. "Om användare kan skicka in ett väldigt enkelt lösenord kommer de att göra det. Om programvara kan användas även om den inte uppdaterades kommer den att användas, " delade Yalon med Lifewire via e-post.
Goettl bygger vidare på detta och tror att en effektiv strategi kan vara att begränsa åtkomst från enheter som inte uppfyller kraven. Till exempel kan en jailbroken enhet, eller en som har en känd dålig applikation, eller kör en version av operativsystemet som är känt för att vara exponerad, alla användas som utlösare för att begränsa åtkomst tills ägaren korrigerar säkerhetsfaux pas.
Avivi tror att även om enhetsleverantörer och mjukvaruutvecklare kan göra mycket för att minimera vad användaren i slutändan kommer att utsättas för, skulle det aldrig finnas en silverkula eller en teknik som verkligen kan ersätta våtprogram.
"Personen som kan klicka på den skadliga länken som tog sig förbi alla automatiserade säkerhetskontroller är densamma som kan rapportera det och undvika att bli påverkad av en nolldagar eller en teknisk blind fläck", sa Avivi.
