Asosiy takliflar
- Oxirgi ikkita hisobotda tajovuzkorlar xavfsizlik zanjiridagi eng zaif boʻgʻin boʻlgan odamlarga koʻproq intilayotgani taʼkidlangan.
- Mutaxassislarning fikricha, sanoat odamlarni xavfsizlik boʻyicha ilgʻor tajribalarga rioya qilishlari uchun jarayonlarni joriy qilishi kerak.
-
Toʻgʻri mashq qilish qurilma egalarini tajovuzkorlarga qarshi eng kuchli himoyachiga aylantirishi mumkin.
Koʻpchilik oʻz smartfonlaridagi maxfiy maʼlumotlarning koʻlamini qadrlamaydi va soʻnggi hisobotlarga koʻra, bu koʻchma qurilmalar shaxsiy kompyuterlarga qaraganda tabiiyroq xavfsizroq deb hisoblashadi.
Smartfonlar bilan bogʻliq eng muhim muammolarni sanab oʻtish bilan birga, Zimperium va Cyble hisobotlari shuni koʻrsatadiki, agar egasi qurilmani himoyalash choralarini koʻrmasa, tajovuzkorlar uni buzishining oldini olish uchun oʻrnatilgan xavfsizlik yetarli emas.
“Asosiy muammo shundaki, foydalanuvchilar xavfsizlikning ushbu eng yaxshi amaliyotlarini shaxsiy hayotlari bilan shaxsiy bogʻlay olmaydilar”, dedi SafeBreach’dagi CISO Avishai Avivi Lifewire’ga elektron pochta orqali. “Ular oʻz qurilmalari xavfsizligini taʼminlashda shaxsiy manfaati borligini tushunmasa, bu muammo boʻlib qolaveradi.”
Mobil tahdidlar
Nosser Fattoh, Shimoliy Amerika Boshqaruv Qoʻmitasining Shared Assessments rahbari Lifewire elektron pochta orqali tajovuzkorlar smartfonlar ortidan borishini aytdi, chunki ular juda katta hujum maydonini taʼminlaydi va noyob hujum vektorlarini, jumladan SMS fishing yoki smishingni taklif qiladi.
Bundan tashqari, oddiy qurilma egalari maqsadli, chunki ularni boshqarish oson. Dasturiy ta'minotni buzish uchun kodda noma'lum yoki hal etilmagan kamchilik bo'lishi kerak, biroq bosish va o'lja qilish ijtimoiy muhandislik taktikasi doimo yashil, dedi Ivanti mahsulot boshqaruvi vitse-prezidenti Kris Goettl Lifewire'ga elektron pochta orqali.
Ular oʻz qurilmalari xavfsizligini taʼminlashda shaxsiy manfaatdor ekanini tushunmasa, bu muammo boʻlib qolaveradi.
Zimperium hisobotida qayd etilishicha, odamlarning yarmidan kamrog'i (42%) chiqarilgandan keyin ikki kun ichida yuqori ustuvor tuzatishlarni qo'llagan, 28% bir haftagacha, 20% esa ikki haftagacha vaqt oladi. ularning smartfonlariga tuzatish kiriting.
"Oxirgi foydalanuvchilar, umuman olganda, yangilanishlarni yoqtirmaydilar. Ular ko'pincha ish (yoki o'yin) faoliyatini buzishi mumkin, qurilmadagi xatti-harakatlarini o'zgartirishi mumkin va hatto uzoqroq noqulaylik tug'diradigan muammolarni keltirib chiqarishi mumkin ", dedi Goettl..
Cyble hisobotida ikki faktorli autentifikatsiya (2FA) kodlarini oʻgʻirlaydigan va soxta McAfee ilovasi orqali tarqaladigan yangi mobil troyan haqida gapirilgan. Tadqiqotchilar zararli ilova Google Play do‘konidan boshqa manbalar orqali tarqatilishini, bu odamlar hech qachon foydalanmasligi va haddan tashqari ko‘p ruxsat so‘rashini, bu hech qachon berilmasligini tushunishadi.
Pit Chestna, Shimoliy Amerikaning Checkmarx kompaniyasining CISO boʻlimi, xavfsizlikning eng zaif boʻgʻini biz ekanligimizga ishonadi. Uning fikricha, qurilmalar va ilovalar o'zlarini himoya qilishi va davolashi yoki zararga chidamli bo'lishi kerak, chunki ko'pchilik odamlarni bezovta qila olmaydi. Uning tajribasiga ko‘ra, odamlar parollar kabi xavfsizlik bo‘yicha eng yaxshi amaliyotlardan xabardor, lekin ularga e’tibor bermaslikni afzal ko‘rishadi.
"Foydalanuvchilar xavfsizlik asosida xarid qilmaydilar. Ular xavfsizlikka asoslangan holda [uni] ishlatmaydilar. Shaxsan ular bilan yomon voqealar sodir bo'lmaguncha, ular xavfsizlik haqida hech qachon o'ylamaydilar. Hatto salbiy voqeadan keyin ham., ularning xotiralari qisqa ", dedi Chestna.
Qurilma egalari ittifoqdosh boʻlishi mumkin
Atul Payapilly, Verfiably asoschisi, bunga boshqa nuqtai nazardan qaraydi. Hisobotlarni o'qish unga tez-tez xabar qilinadigan AWS xavfsizlik hodisalarini eslatadi, dedi u Lifewire-ga elektron pochta orqali. Bunday hollarda, AWS mo'ljallanganidek ishladi va buzilishlar aslida platformadan foydalanadigan odamlar tomonidan o'rnatilgan yomon ruxsatlarning natijasi edi. Oxir-oqibat, AWS odamlarga to‘g‘ri ruxsatlarni aniqlashda yordam berish uchun konfiguratsiya tajribasini o‘zgartirdi.
Bu Rajiv Pimplaskar, Dispersive Networks bosh direktori bilan rezonanslashadi. "Foydalanuvchilar tanlov, qulaylik va mahsuldorlikka e'tibor qaratadilar va kiberxavfsizlik sanoatining mas'uliyati foydalanuvchi tajribasini buzmasdan, ta'lim berish, shuningdek, mutlaq xavfsizlik muhitini yaratishdir."
Sanoat koʻpchiligimiz xavfsizlik xodimlari emasligimizni tushunishi kerak va bizdan yangilanishni oʻrnatmaslikning nazariy xavflari va oqibatlarini tushunib boʻlmaydi, deb hisoblaydi Erez Yalon, Checkmarx xavfsizlik tadqiqotlari boʻyicha VP.. “Agar foydalanuvchilar juda oddiy parolni taqdim eta olsalar, buni amalga oshiradilar. Agar dasturiy ta'minot yangilanmagan bo'lsa-da, undan foydalanish mumkin bo'lsa, undan foydalaniladi , dedi Yalon elektron pochta orqali Lifewire bilan.
Goettl bunga asoslanadi va samarali strategiya mos kelmaydigan qurilmalardan kirishni cheklash bo'lishi mumkin, deb hisoblaydi. Misol uchun, jailbroken qurilmasi yoki ma'lum noto'g'ri ilovasi bor yoki operatsion tizimning ochiqligi ma'lum bo'lgan versiyasida ishlayotgan qurilma, egasi xavfsizlik xatosini tuzatmaguncha kirishni cheklash uchun tetik sifatida ishlatilishi mumkin.
Avivining fikricha, qurilma sotuvchilari va dasturiy ta'minot ishlab chiqaruvchilari foydalanuvchi oxir-oqibat ta'sirini kamaytirishga yordam berish uchun ko'p ish qilishlari mumkin, lekin hech qachon nam dastur o'rnini bosadigan kumush o'q yoki texnologiya bo'lmaydi.
"Barcha avtomatlashtirilgan xavfsizlik boshqaruvlaridan o'tib ketgan zararli havolani bosgan odam bu haqda xabar berishi va nol kunlik yoki texnologik ko'r nuqta ta'siridan qochishi mumkin", dedi Avivi..
