Belangrijkste afhaalrestaurants
- Twee recente rapporten benadrukken dat aanvallers steeds vaker achter de zwakste schakel in de beveiligingsketen aan gaan: mensen.
- Experts zijn van mening dat de industrie processen moet invoeren om ervoor te zorgen dat mensen zich houden aan best practices op het gebied van beveiliging.
-
Een goede training kan van apparaateigenaren de sterkste verdedigers tegen aanvallers maken.
Veel mensen beseffen de omvang van gevoelige informatie op hun smartphones niet en zijn van mening dat deze draagbare apparaten inherent veiliger zijn dan pc's, volgens recente rapporten.
Terwijl ze de belangrijkste problemen opsommen die smartphones teisteren, geven rapporten van Zimperium en Cyble beide aan dat geen enkele hoeveelheid ingebouwde beveiliging voldoende is om te voorkomen dat aanvallers een apparaat compromitteren als de eigenaar geen stappen onderneemt om het te beveiligen.
"De grootste uitdaging vind ik dat gebruikers deze best practices op het gebied van beveiliging niet persoonlijk verbinden met hun eigen persoonlijke leven", vertelde Avishai Avivi, CISO bij SafeBreach, via e-mail aan Lifewire. "Zonder te begrijpen dat ze een persoonlijk belang hebben bij het beveiligen van hun apparaten, zal dit een probleem blijven."
Mobiele bedreigingen
Nasser Fattah, voorzitter van de Noord-Amerikaanse stuurgroep bij Shared Assessments, vertelde Lifewire via e-mail dat aanvallers achter smartphones aan gaan omdat ze een zeer groot aanvalsoppervlak bieden en unieke aanvalsvectoren bieden, waaronder sms-phishing of smishing.
Bovendien zijn reguliere apparaateigenaren het doelwit omdat ze gemakkelijk te manipuleren zijn. Om software te compromitteren, moet er een niet-geïdentificeerde of onopgeloste fout in de code zijn, maar click-and-bait social engineering-tactieken zijn altijd groen, Chris Goettl, VP Product Management bij Ivanti, vertelde Lifewire via e-mail.
Zonder te begrijpen dat ze een persoonlijk belang hebben bij het beveiligen van hun apparaten, blijft dit een probleem.
In het Zimperium-rapport staat dat minder dan de helft (42%) van de mensen oplossingen met hoge prioriteit binnen twee dagen na de release heeft toegepast, 28% had tot een week nodig, terwijl 20% er wel twee weken over deed patch hun smartphones.
"Eindgebruikers houden over het algemeen niet van updates. Ze verstoren vaak hun werk (of speel)activiteiten, kunnen het gedrag op hun apparaat veranderen en kunnen zelfs problemen veroorzaken die langer ongemak kunnen veroorzaken, " meende Goettl.
Het Cyble-rapport vermeldde een nieuwe mobiele trojan die codes voor tweefactorauthenticatie (2FA) steelt en wordt verspreid via een valse McAfee-app. De onderzoekers doorgronden dat de kwaadaardige app wordt verspreid via andere bronnen dan de Google Play Store, iets wat mensen nooit zouden moeten gebruiken, en vraagt om te veel toestemmingen, die nooit zouden mogen worden verleend.
Pete Chestna, CISO van Noord-Amerika bij Checkmarx, gelooft dat wij het zijn die altijd de zwakste schakel in beveiliging zullen zijn. Hij is van mening dat apparaten en apps zichzelf moeten beschermen en genezen of anderszins bestand moeten zijn tegen schade, aangezien de meeste mensen er geen last van hebben. In zijn ervaring zijn mensen op de hoogte van de best practices op het gebied van beveiliging voor zaken als wachtwoorden, maar kiezen ze ervoor deze te negeren.
"Gebruikers kopen niet op basis van veiligheid. Ze gebruiken [het] niet op basis van veiligheid. Ze denken zeker nooit aan veiligheid totdat hen persoonlijk slechte dingen zijn overkomen. Zelfs na een negatieve gebeurtenis, hun geheugen is kort, " merkte Chestna op.
Apparaateigenaren kunnen bondgenoten zijn
Atul Payapilly, oprichter van Verifiably, bekijkt het vanuit een ander oogpunt. Het lezen van de rapporten herinnert hem aan de vaak gemelde AWS-beveiligingsincidenten, vertelde hij Lifewire via e-mail. In deze gevallen werkte AWS zoals ontworpen, en de inbreuken waren eigenlijk het gevolg van slechte machtigingen die waren ingesteld door de mensen die het platform gebruikten. Uiteindelijk veranderde AWS de ervaring van de configuratie om mensen te helpen de juiste machtigingen te definiëren.
Dit resoneert met Rajiv Pimplaskar, CEO van Dispersive Networks. "Gebruikers zijn gericht op keuze, gemak en productiviteit, en het is de verantwoordelijkheid van de cyberbeveiligingsindustrie om te onderwijzen en een omgeving van absolute veiligheid te creëren, zonder de gebruikerservaring in gevaar te brengen."
De industrie zou moeten begrijpen dat de meesten van ons geen beveiligingsmensen zijn, en van ons kan niet worden verwacht dat we de theoretische risico's en implicaties begrijpen van het niet installeren van een update, meent Erez Yalon, VP Security Research bij Checkmarx. "Als gebruikers een heel eenvoudig wachtwoord kunnen opgeven, zullen ze dat doen. Als software kan worden gebruikt, hoewel deze niet is bijgewerkt, zal deze worden gebruikt, " heeft Yalon via e-mail met Lifewire gedeeld.
Goettl bouwt hierop voort en is van mening dat een effectieve strategie zou kunnen zijn om de toegang van niet-conforme apparaten te beperken. Een gejailbreakt apparaat, of een apparaat met een bekende slechte toepassing, of een versie van het besturingssysteem waarvan bekend is dat het wordt blootgesteld, kunnen allemaal worden gebruikt als triggers om de toegang te beperken totdat de eigenaar de beveiligingsfout corrigeert.
Avivi is van mening dat, hoewel verkopers van apparaten en softwareontwikkelaars veel kunnen doen om te helpen minimaliseren waaraan de gebruiker uiteindelijk wordt blootgesteld, er nooit een wondermiddel of een technologie zal zijn die wetware echt kan vervangen.
"De persoon die kan klikken op de kwaadaardige link die alle geautomatiseerde beveiligingscontroles heeft doorstaan, is dezelfde die dit kan melden en kan voorkomen dat hij wordt beïnvloed door een zero-day of een technologische blinde vlek," zei Avivi.