Bài học rút ra chính
- Hai báo cáo gần đây nhấn mạnh rằng những kẻ tấn công đang ngày càng truy cập vào mắt xích yếu nhất trong chuỗi bảo mật: con người.
- Các chuyên gia tin rằng ngành công nghiệp nên giới thiệu các quy trình để khiến mọi người tuân thủ các phương pháp bảo mật tốt nhất.
-
Việc đào tạo đúng cách có thể biến chủ sở hữu thiết bị thành những người bảo vệ mạnh mẽ nhất chống lại những kẻ tấn công.
Nhiều người không đánh giá đúng mức độ thông tin nhạy cảm trong điện thoại thông minh của họ và tin rằng những thiết bị di động này vốn đã an toàn hơn PC, theo các báo cáo gần đây.
Trong khi liệt kê các vấn đề hàng đầu gây ra cho điện thoại thông minh, các báo cáo từ Zimperium và Cyble đều chỉ ra rằng không có lượng bảo mật tích hợp nào đủ để ngăn những kẻ tấn công xâm phạm thiết bị nếu chủ sở hữu không thực hiện các bước để bảo mật thiết bị.
"Tôi nhận thấy rằng thách thức chính là người dùng không kết nối cá nhân giữa các phương pháp bảo mật tốt nhất này với cuộc sống cá nhân của họ", Avishai Avivi, CISO tại SafeBreach, nói với Lifewire qua email. "Nếu không hiểu rằng họ có cổ phần cá nhân trong việc bảo mật thiết bị của họ, thì đây sẽ tiếp tục là một vấn đề."
Mối đe dọa trên thiết bị di động
Nasser Fattah, Chủ tịch Ủy ban chỉ đạo Bắc Mỹ tại Đánh giá được chia sẻ, nói với Lifewire qua email rằng những kẻ tấn công theo đuổi điện thoại thông minh vì chúng cung cấp một bề mặt tấn công rất lớn và cung cấp các vectơ tấn công độc đáo, bao gồm lừa đảo qua SMS hoặc đánh lừa.
Hơn nữa, chủ sở hữu thiết bị thường xuyên được nhắm mục tiêu vì họ dễ thao tác. Để xâm phạm phần mềm, cần phải có một lỗ hổng chưa xác định hoặc chưa được giải quyết trong mã, nhưng các chiến thuật kỹ thuật xã hội nhấp chuột và mồi vẫn thường xuyên, Chris Goettl, Phó Chủ tịch Quản lý Sản phẩm tại Ivanti, nói với Lifewire qua email.
Nếu không hiểu rằng họ có lợi ích cá nhân trong việc bảo mật thiết bị của họ, thì đây sẽ là một vấn đề tiếp tục.
Báo cáo Zimperium lưu ý rằng chưa đến một nửa (42%) số người đã áp dụng các bản sửa lỗi có mức độ ưu tiên cao trong vòng hai ngày kể từ ngày phát hành, 28% yêu cầu tối đa một tuần, trong khi 20% mất tới hai tuần để vá điện thoại thông minh của họ.
"Người dùng cuối nói chung không thích các bản cập nhật. Họ thường làm gián đoạn hoạt động làm việc (hoặc giải trí), có thể thay đổi hành vi trên thiết bị của họ và thậm chí có thể gây ra các vấn đề có thể gây bất tiện lâu hơn", Goettl nói.
Báo cáo của Cyble đã đề cập đến một loại trojan di động mới đánh cắp mã xác thực hai yếu tố (2FA) và được phát tán thông qua một ứng dụng McAfee giả mạo. Các nhà nghiên cứu hiểu rằng ứng dụng độc hại được phân phối qua các nguồn khác ngoài Cửa hàng Google Play, đây là thứ mà mọi người không bao giờ nên sử dụng và yêu cầu quá nhiều quyền, điều này sẽ không bao giờ được cấp.
Pete Chestna, CISO của Bắc Mỹ tại Checkmarx, tin rằng chúng tôi sẽ luôn là mắt xích yếu nhất trong bảo mật. Anh ấy tin rằng các thiết bị và ứng dụng cần phải tự bảo vệ và chữa lành hoặc có khả năng chống chịu tác hại vì hầu hết mọi người đều không thể bị làm phiền. Theo kinh nghiệm của anh ấy, mọi người nhận thức được các phương pháp bảo mật tốt nhất cho những thứ như mật khẩu nhưng lại chọn bỏ qua chúng.
"Người dùng không mua dựa trên bảo mật. Họ không sử dụng [nó] dựa trên bảo mật. Họ chắc chắn không bao giờ nghĩ đến bảo mật cho đến khi những điều tồi tệ xảy ra với cá nhân họ. Ngay cả sau một sự kiện tiêu cực, ký ức của họ rất ngắn, "Chestna nhận xét.
Chủ sở hữu thiết bị có thể là đồng minh
Atul Payapilly, Người sáng lập của Verifiably, nhìn nó từ một quan điểm khác. Đọc các báo cáo nhắc anh ta nhớ đến các sự cố bảo mật AWS thường được báo cáo, anh ta nói với Lifewire qua email. Trong những trường hợp này, AWS đang hoạt động như được thiết kế và các vi phạm thực sự là kết quả của các quyền không hợp lệ do những người sử dụng nền tảng thiết lập. Cuối cùng, AWS đã thay đổi trải nghiệm của cấu hình để giúp mọi người xác định các quyền chính xác.
Điều này cộng hưởng với Rajiv Pimplaskar, Giám đốc điều hành của Mạng lưới phân tán. "Người dùng tập trung vào sự lựa chọn, sự tiện lợi và năng suất, và trách nhiệm của ngành an ninh mạng là phải giáo dục, cũng như tạo ra một môi trường bảo mật tuyệt đối, không ảnh hưởng đến trải nghiệm người dùng."
Ngành công nghiệp nên hiểu rằng hầu hết chúng ta không phải là dân bảo mật và chúng ta không thể hiểu được những rủi ro lý thuyết và tác động của việc không cài đặt bản cập nhật, Erez Yalon, Phó Giám đốc Nghiên cứu Bảo mật tại Checkmarx tin tưởng.. "Nếu người dùng có thể gửi một mật khẩu rất đơn giản, họ sẽ làm điều đó. Nếu phần mềm có thể được sử dụng mặc dù nó chưa được cập nhật, nó sẽ được sử dụng ", Yalon chia sẻ với Lifewire qua email.
Goettl dựa trên điều này và tin rằng một chiến lược hiệu quả có thể là hạn chế quyền truy cập từ các thiết bị không tuân thủ. Ví dụ: một thiết bị đã bẻ khóa hoặc một thiết bị có ứng dụng xấu đã biết hoặc đang chạy phiên bản hệ điều hành được cho là bị lộ, tất cả đều có thể được sử dụng làm trình kích hoạt để hạn chế quyền truy cập cho đến khi chủ sở hữu sửa lại mật khẩu giả bảo mật.
Avivi tin rằng mặc dù các nhà cung cấp thiết bị và nhà phát triển phần mềm có thể làm được nhiều điều để giúp giảm thiểu những gì người dùng cuối cùng sẽ tiếp xúc, nhưng sẽ không bao giờ có một viên đạn bạc hay một công nghệ thực sự có thể thay thế phần mềm ướt.
"Người có thể nhấp vào liên kết độc hại đã vượt qua tất cả các biện pháp kiểm soát bảo mật tự động cũng chính là người có thể báo cáo và tránh bị ảnh hưởng bởi zero-day hoặc điểm mù công nghệ", Avivi nói.
