Негизги алып салуулар
- Соңку эки отчетто чабуулчулар коопсуздук чынжырындагы эң алсыз звенонун артынан бара жатканы баса белгиленген.
- Эксперттер өнөр жай адамдарды коопсуздук боюнча эң мыкты тажрыйбаларды кармануу үчүн процесстерди киргизиши керек деп эсептешет.
-
Туура машыгуу түзмөк ээлерин чабуулчуларга каршы эң күчтүү коргоочуга айландырышы мүмкүн.
Көптөгөн адамдар смартфондорундагы купуя маалыматтын көлөмүн баалай алышпайт жана акыркы билдирүүлөргө караганда, бул портативдик түзмөктөр компьютерлерге караганда кыйла коопсуз деп эсептешет.
Смартфондорду кыйнап жаткан башкы маселелерди тизмектеп жатып, Zimperium жана Cyble отчетторуна караганда, эгер ээси аны коргоо үчүн чараларды көрбөсө, чабуулчулар түзмөктү бузуп алышына жол бербөө үчүн эч кандай камтылган коопсуздук жетиштүү эмес.
"Менин оюмча, негизги кыйынчылык - бул колдонуучулар бул коопсуздуктун эң мыкты тажрыйбаларын өздөрүнүн жеке жашоосу менен жеке байланыштыра алышпайт", - деди SafeBreach боюнча CISO Авишай Авиви Lifewireге электрондук почта аркылуу. "Алардын түзмөктөрүн коопсуз кылууда жеке кызыкчылыгы бар экенин түшүнбөстөн, бул маселе кала берет."
Мобилдик коркунучтар
Насер Фаттах, Shared Assessments компаниясынын Түндүк Америка боюнча Башкаруу комитетинин төрагасы Lifewireге электрондук почта аркылуу чабуулчулар смартфондордун артынан барышат, анткени алар чабуулдун абдан чоң бетине ээ жана уникалдуу чабуул векторлорун, анын ичинде SMS фишингди же жымсалоону сунуштаарын айтты.
Андан тышкары, кадимки түзмөк ээлери максаттуу, анткени аларды башкаруу оңой. Программалык камсыздоону бузуш үчүн коддо аныкталбаган же чечилбеген кемчилик болушу керек, бирок социалдык инженерия тактикасы дайыма жашыл, - деди Ивантидеги Продукцияларды башкаруу боюнча вице-премьер-министр Крис Гоетт Lifewireге электрондук почта аркылуу.
Алардын түзмөктөрүн коопсуз кылууда жеке кызыкчылыгы бар экенин түшүнбөсө, бул маселе кала берет.
Zimperium отчетунда белгиленгендей, адамдардын жарымынан азы (42%) артыкчылыктуу оңдоолорду чыгарылгандан кийин эки күндүн ичинде колдонушкан, 28%ы бир жумага чейин, ал эми 20%ы эки жумага чейин убакытты талап кылган. алардын смартфондорун жаңыртыңыз.
"Акыркы колдонуучулар, жалпысынан, жаңыртууларды жактырышпайт. Алар көбүнчө жумуш (же оюн) аракеттерин үзгүлтүккө учуратышат, түзмөгүндөгү жүрүм-турумун өзгөртүшү мүмкүн жана атүгүл узакка созулган ыңгайсыздыктарды жаратышы мүмкүн ", - деп билдирди Гоеттл..
Cyble отчетунда эки факторлуу аутентификация (2FA) коддорун уурдаган жана жасалма McAfee колдонмосу аркылуу тараган жаңы мобилдик троян жөнүндө айтылган. Окумуштуулар зыяндуу колдонмо Google Play Дүкөнүнөн башка булактар аркылуу таратылып жатканын, муну адамдар эч качан колдонбошу керек жана өтө көп уруксаттарды сурайт, бирок аларга эч качан берилбеши керек экенин түшүнүшөт.
Пит Честна, Түндүк Америкадагы CISO, Checkmarx компаниясы, коопсуздуктун эң алсыз звеносу дайыма биз экенибизге ишенет. Ал түзмөктөр жана колдонмолор өздөрүн коргоп, айыктырыш керек деп эсептейт же башка жол менен зыян келтирүүгө туруштук бериши керек, анткени көпчүлүк адамдарды тынчсыздандырбайт. Анын тажрыйбасына таянсак, адамдар сырсөздөр сыяктуу коопсуздуктун эң жакшы ыкмаларын билишет, бирок аларга көңүл бурбай коюшат.
"Колдонуучулар коопсуздуктун негизинде сатып алышпайт. Алар [аны] коопсуздуктун негизинде колдонушпайт. Алар, албетте, жеке өздөрү менен жаман нерселер болмоюнча, коопсуздук жөнүндө эч качан ойлонушпайт. Жада калса терс окуядан кийин да, алардын эскерүүлөрү кыска, - деп белгиледи Честна.
Түзмөк ээлери союздаш боло алышат
Atul Payapilly, Verfiably компаниясынын негиздөөчүсү, ага башка көз караш менен карайт. Отчетторду окуу ага көп кабарланган AWS коопсуздук инциденттерин эске салат, деди ал Lifewireге электрондук почта аркылуу. Мындай учурларда, AWS иштелип чыккандай иштеп жаткан жана бузуулар платформаны колдонгон адамдар тарабынан коюлган жаман уруксаттардын натыйжасы болгон. Акыр-аягы, AWS адамдарга туура уруксаттарды аныктоого жардам берүү үчүн конфигурациянын тажрыйбасын өзгөрттү.
Бул Dispersive Networks компаниясынын башкы директору Раджив Пимпласкар менен резонанстуу. "Колдонуучулар тандоого, ыңгайлуулукка жана өндүрүмдүүлүккө көңүл бурушат жана киберкоопсуздук тармагынын милдети колдонуучу тажрыйбасын бузбастан, билим берүү, ошондой эле абсолюттук коопсуздук чөйрөсүн түзүү."
Өнөр жай биздин көпчүлүгүбүз коопсуздук кызматкерлери эмес экенибизди түшүнүшү керек жана жаңыртууну орнотпой коюунун теориялык тобокелдиктерин жана кесепеттерин түшүнө албайбыз, деп эсептейт Checkmarx коопсуздук изилдөөлөр боюнча вице-президенти Эрез Ялон. «Эгерде колдонуучулар абдан жөнөкөй сырсөздү тапшыра алышса, алар муну жасашат. Эгер программа жаңыртылбаганына карабастан колдонула турган болсо, ал колдонулат , - деп Yalon Lifewire менен электрондук почта аркылуу бөлүштү.
Goettl ушуга таянат жана натыйжалуу стратегия шайкеш келбеген түзмөктөрдөн кирүүнү чектөө болушу мүмкүн деп эсептейт. Мисалы, джейлбрейктелген же белгилүү начар тиркемеси бар же ачыкка чыкканы белгилүү болгон ОС версиясын иштетип жаткан түзмөк ээси коопсуздуктун жасалмасын оңдомоюнча кирүүнү чектөө үчүн триггер катары колдонулушу мүмкүн.
Avivi түзмөк сатуучулары жана программалык камсыздоону иштеп чыгуучулар колдонуучуга дуушар боло турган нерселерди азайтуу үчүн көп нерсени жасай алышса да, нымдуу программаны алмаштыра ала турган күмүш ок же технология эч качан болбойт деп эсептейт.
"Баардык автоматташтырылган коопсуздукту көзөмөлдөө каражаттарынан өтүп кеткен зыяндуу шилтемени чыкылдатуу мүмкүн болгон адам бул тууралуу кабарлап, нөлдүк күн же технологиялык сокур тактардын таасиринен сактануу мүмкүн", - деди Авиви..