Əsas Çıxarışlar
- Son iki hesabatda vurğulanır ki, təcavüzkarlar getdikcə daha çox təhlükəsizlik zəncirinin ən zəif halqasının ardınca gedirlər: insanlar.
- Mütəxəssislər hesab edir ki, sənaye insanları təhlükəsizliklə bağlı ən yaxşı təcrübələrə riayət etmək üçün proseslər təqdim etməlidir.
-
Düzgün təlim cihaz sahiblərini təcavüzkarlara qarşı ən güclü müdafiəçiyə çevirə bilər.
Son hesabatlara görə, bir çox insanlar smartfonlarındakı həssas məlumatların həcmini qiymətləndirə bilmir və bu portativ cihazların mahiyyət etibarilə fərdi kompüterlərdən daha təhlükəsiz olduğuna inanırlar.
Smartfonları narahat edən əsas problemləri sadalamaqla yanaşı, Zimperium və Cyble-ın hesabatları göstərir ki, sahibi cihazın təhlükəsizliyini təmin etmək üçün addımlar atmasa, təcavüzkarların cihazı təhlükəyə atmasının qarşısını almaq üçün heç bir daxili təhlükəsizlik kifayət deyil.
"Mən hesab edirəm ki, əsas problem istifadəçilərin bu ən yaxşı təhlükəsizlik təcrübələri ilə şəxsi həyatları ilə şəxsi əlaqə qura bilməmələridir", - SafeBreach-da CISO, Avishai Avivi Lifewire-a e-poçt vasitəsilə bildirib. "Cihazlarını təhlükəsiz etməkdə onların şəxsi payı olduğunu başa düşmədən bu, problem olaraq qalacaq."
Mobil Təhdidlər
Şimali Amerika Rəhbər Komitəsinin sədri, Shared Assessments-da Nasser Fəttah Lifewire-a e-poçt vasitəsilə bildirib ki, təcavüzkarlar smartfonların arxasınca gedirlər, çünki onlar çox böyük hücum səthi təmin edir və SMS fişinqi və ya güllələnmə daxil olmaqla unikal hücum vektorları təklif edirlər.
Bundan əlavə, adi cihaz sahibləri manipulyasiya etmək asan olduğu üçün hədəflənir. Proqram təminatını güzəştə getmək üçün kodda naməlum və ya həll edilməmiş qüsur olmalıdır, lakin “klik və yem” sosial mühəndislik taktikası həmişəyaşıldır, İvantidə Məhsul İdarəetmə üzrə vitse-prezidenti Chris Goettl Lifewire-a e-poçt vasitəsilə bildirib.
Cihazlarının təhlükəsizliyini təmin etməkdə onların şəxsi payının olduğunu başa düşmədən bu, problem olaraq qalacaq.
Zimperium hesabatında qeyd olunur ki, insanların yarısından azı (42%) buraxıldıqdan sonra iki gün ərzində yüksək prioritet düzəlişlər tətbiq edib, 28%-i bir həftəyə qədər, 20%-i isə iki həftəyə qədər vaxt aparır. onların smartfonlarını yamaqlayın.
"Son istifadəçilər, ümumiyyətlə, yeniləmələri sevmirlər. Onlar tez-tez iş (və ya oyun) fəaliyyətlərini pozur, cihazındakı davranışı dəyişə bilər və hətta daha uzun müddət narahatçılığa səbəb ola biləcək problemlərə səbəb ola bilər" deyə Goettl bildirib..
Cyble hesabatında iki faktorlu autentifikasiya (2FA) kodlarını oğurlayan və saxta McAfee proqramı vasitəsilə yayılan yeni mobil troyandan bəhs edilir. Tədqiqatçılar zərərli proqramın insanların heç vaxt istifadə etməməli olduğu Google Play Store-dan başqa mənbələr vasitəsilə yayıldığını və heç vaxt verilməməli olan həddən artıq icazələrin tələb olunduğunu başa düşürlər.
Checkmarx-ın Şimali Amerika üzrə CISO-su Pete Chestna hesab edir ki, təhlükəsizlikdə həmişə ən zəif halqa bizik. O hesab edir ki, cihazlar və proqramlar özlərini qorumalı və sağalmalı və ya zərər verməyə davamlı olmalıdır, çünki insanların çoxu narahat ola bilməz. Onun təcrübəsinə əsasən, insanlar parol kimi şeylər üçün təhlükəsizliklə bağlı ən yaxşı təcrübələrdən xəbərdardırlar, lakin onlara məhəl qoymurlar.
"İstifadəçilər təhlükəsizliyə əsaslanaraq satın almırlar. Onlar [onu] təhlükəsizliyə əsaslanaraq istifadə etmirlər. Şəxsən başlarına pis şeylər gəlməyincə, əlbəttə ki, təhlükəsizlik haqqında düşünmürlər. Hətta mənfi hadisədən sonra belə, onların xatirələri qısadır "deyə Çestna qeyd etdi.
Cihaz Sahibləri Müttəfiq ola bilər
Verfiably-in təsisçisi Atul Payapilly buna fərqli nöqteyi-nəzərdən baxır. Hesabatları oxumaq ona tez-tez bildirilən AWS təhlükəsizlik insidentlərini xatırladır, o, Lifewire-a e-poçt vasitəsilə bildirib. Bu hallarda, AWS nəzərdə tutulduğu kimi işləyirdi və pozuntular əslində platformadan istifadə edən insanlar tərəfindən təyin edilmiş pis icazələrin nəticəsi idi. Nəhayət, AWS insanlara düzgün icazələri təyin etməkdə kömək etmək üçün konfiqurasiya təcrübəsini dəyişdi.
Bu, Dispersive Networks-in baş direktoru Rajiv Pimplaskar ilə səsləşir. "İstifadəçilər seçim, rahatlıq və məhsuldarlığa diqqət yetirirlər və istifadəçi təcrübəsinə xələl gətirmədən mütləq təhlükəsizlik mühiti yaratmaqla yanaşı, maarifləndirmək kibertəhlükəsizlik sənayesinin məsuliyyətidir."
Sənaye başa düşməlidir ki, əksəriyyətimiz təhlükəsizlik işçiləri deyilik və bizdən yeniləmə quraşdırmamağın nəzəri risklərini və nəticələrini başa düşməyimiz gözlənilmir, Erez Yalon, Checkmarx-ın Təhlükəsizlik Araşdırmaları üzrə vitse-prezidenti hesab edir.. “İstifadəçilər çox sadə parol təqdim edə bilsələr, bunu edəcəklər. Əgər proqram təminatı yenilənməsə də istifadə oluna bilərsə, o, istifadə olunacaq deyə Yalon e-poçt vasitəsilə Lifewire ilə paylaşdı.
Goettl buna əsaslanır və hesab edir ki, effektiv strategiya uyğun olmayan cihazlardan girişi məhdudlaşdırmaq ola bilər. Məsələn, jailbroken cihaz və ya məlum pis proqramı olan və ya əməliyyat sisteminin ifşa olunduğu məlum olan versiyası ilə işləyən cihaz, sahibi təhlükəsizlik saxtakarlığını düzəldənə qədər girişi məhdudlaşdırmaq üçün tetikleyici kimi istifadə edilə bilər.
Avivi hesab edir ki, cihaz satıcıları və proqram tərtibatçıları istifadəçinin son nəticədə məruz qalacağını minimuma endirmək üçün çox şey edə bilsələr də, heç vaxt nəm proqram təminatını əvəz edə biləcək bir gümüş güllə və ya texnologiya olmayacaq.
"Bütün avtomatlaşdırılmış təhlükəsizlik nəzarətlərini aşmış zərərli linki klikləyə bilən şəxs, bu barədə məlumat verə bilən və sıfır gün və ya texnoloji kor nöqtənin təsirinə məruz qalmayan şəxsdir" dedi Avivi.