Key Takeaways
- Zwei aktuelle Berichte zeigen, dass Angreifer es zunehmend auf das schwächste Glied in der Sicherheitskette abgesehen haben: Menschen.
- Experten sind der Ansicht, dass die Branche Prozesse einführen sollte, um die Menschen dazu zu bringen, sich an bewährte Sicherheitspraktiken zu h alten.
-
Das richtige Training kann Gerätebesitzer zu den stärksten Verteidigern gegen Angreifer machen.
Jüngsten Berichten zufolge wissen viele Menschen nicht, wie viele vertrauliche Informationen auf ihren Smartphones gespeichert sind, und glauben, dass diese tragbaren Geräte von Natur aus sicherer sind als PCs.
Bei der Auflistung der wichtigsten Probleme, die Smartphones plagen, weisen Berichte von Zimperium und Cyble beide darauf hin, dass keine eingebaute Sicherheit ausreicht, um Angreifer daran zu hindern, ein Gerät zu kompromittieren, wenn der Besitzer keine Schritte unternimmt, um es zu sichern.
"Die größte Herausforderung besteht meines Erachtens darin, dass Benutzer es versäumen, eine persönliche Verbindung zwischen diesen Best Practices für die Sicherheit und ihrem eigenen Privatleben herzustellen", sagte Avishai Avivi, CISO bei SafeBreach, per E-Mail gegenüber Lifewire. "Ohne zu verstehen, dass sie ein persönliches Interesse daran haben, ihre Geräte sicher zu machen, wird dies weiterhin ein Problem sein."
Mobile Bedrohungen
Nasser Fattah, Vorsitzender des nordamerikanischen Lenkungsausschusses bei Shared Assessments, teilte Lifewire per E-Mail mit, dass Angreifer es auf Smartphones abgesehen haben, weil diese eine sehr große Angriffsfläche bieten und einzigartige Angriffsvektoren bieten, einschließlich SMS-Phishing oder Smishing.
Darüber hinaus werden normale Gerätebesitzer ins Visier genommen, weil sie leicht zu manipulieren sind. Um Software zu kompromittieren, muss es einen nicht identifizierten oder ungelösten Fehler im Code geben, aber Click-and-Bait-Social-Engineering-Taktiken sind allgegenwärtig, sagte Chris Goettl, VP of Product Management bei Ivanti, Lifewire per E-Mail.
Ohne zu verstehen, dass sie ein persönliches Interesse daran haben, ihre Geräte sicher zu machen, wird dies weiterhin ein Problem sein.
Der Zimperium-Bericht stellt fest, dass weniger als die Hälfte (42 %) der Personen Korrekturen mit hoher Priorität innerhalb von zwei Tagen nach ihrer Veröffentlichung anwendeten, 28 % benötigten bis zu einer Woche, während 20 % bis zu zwei Wochen dafür brauchten ihre Smartphones patchen.
"Endnutzer mögen im Allgemeinen keine Updates. Sie stören oft ihre Arbeits- (oder Spiel-)Aktivitäten, können das Verh alten auf ihrem Gerät ändern und sogar Probleme verursachen, die längere Unannehmlichkeiten darstellen können", meinte Göttl.
Der Cyble-Bericht erwähnt einen neuen mobilen Trojaner, der Zwei-Faktor-Authentifizierungscodes (2FA) stiehlt und über eine gefälschte McAfee-App verbreitet wird. Die Forscher gehen davon aus, dass die bösartige App über andere Quellen als den Google Play Store vertrieben wird, was Menschen niemals verwenden sollten, und nach zu vielen Berechtigungen fragt, die niemals gewährt werden sollten.
Pete Chestna, CISO of North America bei Checkmarx, glaubt, dass wir immer das schwächste Glied in Sachen Sicherheit sein werden. Er glaubt, dass Geräte und Apps sich selbst schützen und heilen oder anderweitig widerstandsfähig gegen Schäden sein müssen, da die meisten Menschen nicht gestört werden können. Seiner Erfahrung nach kennen die Leute die besten Sicherheitspraktiken für Dinge wie Passwörter, ignorieren sie aber lieber.
"Benutzer kaufen nicht auf der Grundlage der Sicherheit. Sie verwenden [es] nicht auf der Grundlage der Sicherheit. Sie denken sicherlich nie über Sicherheit nach, bis ihnen persönlich Schlimmes passiert ist. Selbst nach einem negativen Ereignis, ihr Gedächtnis ist kurz, “bemerkte Chestna.
Gerätebesitzer können Verbündete sein
Atul Payapilly, Gründer von Verifiably, betrachtet es aus einem anderen Blickwinkel. Das Lesen der Berichte erinnere ihn an die oft gemeldeten AWS-Sicherheitsvorfälle, sagte er Lifewire per E-Mail. In diesen Fällen funktionierte AWS wie vorgesehen, und die Verstöße waren tatsächlich das Ergebnis schlechter Berechtigungen, die von den Benutzern der Plattform festgelegt wurden. Schließlich änderte AWS die Erfahrung der Konfiguration, um Benutzern zu helfen, die richtigen Berechtigungen zu definieren.
Das stimmt mit Rajiv Pimplaskar, CEO von Dispersive Networks, überein. "Benutzer konzentrieren sich auf Auswahl, Komfort und Produktivität, und es liegt in der Verantwortung der Cybersicherheitsbranche, aufzuklären und eine Umgebung absoluter Sicherheit zu schaffen, ohne die Benutzererfahrung zu beeinträchtigen."
Die Branche sollte verstehen, dass die meisten von uns keine Sicherheitsexperten sind, und es kann nicht erwartet werden, dass wir die theoretischen Risiken und Auswirkungen verstehen, wenn ein Update nicht installiert wird, glaubt Erez Yalon, VP of Security Research bei Checkmarx. „Wenn Benutzer ein sehr einfaches Passwort eingeben können, werden sie das tun. Wenn Software verwendet werden kann, obwohl sie nicht aktualisiert wurde, wird sie verwendet“, teilte Yalon Lifewire per E-Mail mit.
Goettl baut darauf auf und glaubt, dass eine wirksame Strategie darin bestehen könnte, den Zugriff von nicht konformen Geräten zu beschränken. Beispielsweise kann ein Gerät mit Jailbreak oder eines, das eine bekanntermaßen fehlerhafte Anwendung hat oder auf dem eine Version des Betriebssystems ausgeführt wird, von der bekannt ist, dass sie ungeschützt ist, als Auslöser verwendet werden, um den Zugriff einzuschränken, bis der Eigentümer den Sicherheitsfauxpas korrigiert.
Avivi glaubt, dass Gerätehersteller und Softwareentwickler zwar viel tun können, um zu minimieren, was dem Benutzer letztendlich ausgesetzt ist, es aber niemals eine Wunderwaffe oder eine Technologie geben wird, die Wetware wirklich ersetzen kann.
"Die Person, die möglicherweise auf den schädlichen Link klickt, der es durch alle automatisierten Sicherheitskontrollen geschafft hat, ist dieselbe Person, die ihn melden und vermeiden kann, von einem Zero-Day oder einem Technologie-Blindspot beeinträchtigt zu werden", sagte Avivi.
