Үндсэн санаанууд
- Сүүлийн хоёр тайланд халдагчид аюулгүй байдлын гинжин хэлхээний хамгийн сул холбоос болох хүмүүсийг дагах нь ихсэж байгааг онцолж байна.
- Аюулгүй байдлын шилдэг туршлагыг хүмүүст мөрдүүлэхийн тулд салбар нь үйл явцыг нэвтрүүлэх ёстой гэж мэргэжилтнүүд үзэж байна.
-
Зөв сургалт нь төхөөрөмжийн эзэмшигчдийг халдагчдаас хамгийн хүчтэй хамгаалагч болгож чадна.
Олон хүмүүс ухаалаг гар утсан дээрх нууц мэдээллийн цар хүрээг үнэлдэггүй бөгөөд эдгээр зөөврийн төхөөрөмжүүд нь угаасаа компьютерээс илүү аюулгүй гэж итгэдэг.
Ухаалаг утсанд тулгардаг гол асуудлуудыг жагсааж байгаа хэдий ч Zimperium болон Cyble-ийн тайланд дурдсанаар эзэмшигч нь төхөөрөмжөө хамгаалах арга хэмжээ авахгүй бол халдагч этгээд төхөөрөмжийг эвдэхээс урьдчилан сэргийлэхэд хангалттай хэмжээний хамгаалалт байхгүй байна.
"Гол асуудал бол хэрэглэгчид эдгээр аюулгүй байдлын шилдэг туршлагуудыг хувийн амьдралтайгаа холбож чадахгүй байгаа явдал юм" гэж SafeBreach-ийн CISO Avishai Avivi Lifewire-д цахим шуудангаар ярьжээ. "Тэд төхөөрөмжөө аюулгүй болгоход хувийн оролцоотой гэдгийг ойлгохгүй бол энэ асуудал хэвээр байх болно."
Мобайл аюул
Shared Assessments-ийн Хойд Америкийн Удирдах Хорооны дарга Насер Фатта Lifewire-д цахим шуудангаар халдагчид ухаалаг утаснуудын араас довтлоход маш том гадаргуугаар хангадаг бөгөөд SMS фишинг, шидэх зэрэг өвөрмөц халдлагын векторуудыг санал болгодог гэж мэдэгджээ.
Цаашилбал, энгийн төхөөрөмж эзэмшигчдийг удирдахад хялбар байдаг тул онилдог. Програм хангамжийг эвдэхийн тулд кодонд тодорхойгүй эсвэл шийдэгдээгүй алдаа байх шаардлагатай боловч "товшиж, өгөөш" гэсэн нийгмийн инженерчлэлийн тактикууд мөнх ногоон байдаг гэж Ивантигийн Бүтээгдэхүүний удирдлагын дэд захирал Крис Гёттл Lifewire-д имэйлээр мэдэгдэв.
Төхөөрөмжийнхөө аюулгүй байдлыг хангахад тэд хувийн оролцоотой гэдгийг ойлгохгүй бол энэ асуудал хэвээр байх болно.
Хүмүүсийн талаас бага хувь нь (42%) нь гарсан цагаасаа хойш хоёр хоногийн дотор өндөр ач холбогдолтой засваруудыг ашигласан бол 28% нь долоо хоног хүртэл, 20% нь хоёр долоо хоног хүртэл хугацаа шаардагддаг болохыг Zimperium тайланд тэмдэглэжээ. тэдний ухаалаг утсыг засварлана.
"Эцсийн хэрэглэгчид ерөнхийдөө шинэчлэлтэд дургүй байдаг. Тэд ихэвчлэн ажлын (эсвэл тоглох) үйл ажиллагаагаа тасалдуулж, төхөөрөмжийнхөө үйлдлийг өөрчилж, илүү урт хүндрэл учруулж болзошгүй асуудлуудыг үүсгэж болзошгүй" гэж Гёттл хэлэв..
Cyble тайланд хоёр хүчин зүйлийн баталгаажуулалтын (2FA) кодыг хулгайлж, хуурамч McAfee аппликейшнээр дамжин тархсан шинэ гар утасны трояны талаар дурдсан байна. Судлаачид хортой аппликейшн нь Google Play Store-оос өөр эх сурвалжаар тархдаг бөгөөд үүнийг хүмүүс хэзээ ч ашиглах ёсгүй бөгөөд хэт олон зөвшөөрөл хүсдэг тул хэзээ ч өгөх ёсгүй гэж үзэж байна.
Чекмаркс дахь Хойд Америкийн CISO-ийн ажилтан Пит Честна бид аюулгүй байдлын хамгийн сул холбоос хэвээр байх болно гэж үзэж байна. Ихэнх хүмүүст саад болохгүй тул төхөөрөмж болон програмууд өөрсдийгөө хамгаалж, эдгээх эсвэл хор хөнөөлийг даван туулах чадвартай байх ёстой гэж тэр үзэж байна. Түүний туршлагаас харахад хүмүүс нууц үг гэх мэт зүйлсийн аюулгүй байдлын шилдэг туршлагыг мэддэг ч тэдгээрийг үл тоомсорлодог.
"Хэрэглэгчид аюулгүй байдалд тулгуурлан худалдан авалт хийдэггүй. Тэд [үүнийг] аюулгүй байдлын үндсэн дээр ашигладаггүй. Өөрсдөд нь муу зүйл тохиолдох хүртэл тэд аюулгүй байдлын талаар хэзээ ч боддоггүй нь лавтай. Сөрөг үйл явдлын дараа ч гэсэн, тэдний дурсамж богино байна" гэж Честна ажиглав.
Төхөөрөмж эзэмшигчид холбоотон байж болно
Verfiably-ийг үүсгэн байгуулагч Атул Паяпилли үүнийг өөр өнцгөөс харж байна. Тайланг унших нь түүнд байнга мэдээлдэг AWS-ийн аюулгүй байдлын зөрчлүүдийг санагдуулдаг гэж тэрээр Lifewire-д цахим шуудангаар ярьжээ. Эдгээр тохиолдлуудад AWS нь төлөвлөсний дагуу ажиллаж байсан бөгөөд зөрчил нь уг платформыг ашигладаг хүмүүсийн буруу зөвшөөрлийн үр дүн юм. Эцэст нь AWS нь хүмүүст зөв зөвшөөрлийг тодорхойлоход туслах үүднээс тохиргооны туршлагыг өөрчилсөн.
Энэ нь Dispersive Networks-ийн гүйцэтгэх захирал Ражив Пимпласкартай таарч байна. "Хэрэглэгчид сонголт, тав тухтай байдал, бүтээмжид анхаарлаа төвлөрүүлдэг бөгөөд хэрэглэгчийн туршлагыг алдагдуулахгүйгээр үнэмлэхүй аюулгүй байдлын орчинг бүрдүүлэх, сургах нь кибер аюулгүй байдлын салбарын үүрэг юм."
Бидний ихэнх нь аюулгүй байдлын хүмүүс биш гэдгийг салбарынхан ойлгох ёстой бөгөөд шинэчлэлтийг суулгаагүйгээс үүсэх онолын эрсдэл, үр дагаврыг ойлгохгүй байх ёстой гэж Checkmarx-ийн Аюулгүй байдлын судалгааны дэд захирал Эрез Ялон үзэж байна.. "Хэрэв хэрэглэгчид маш энгийн нууц үг оруулж чадвал үүнийг хийх болно. Хэрэв програм хангамжийг шинэчлээгүй ч ашиглах боломжтой бол түүнийг ашиглах болно" гэж Yalon Lifewire-тэй имэйлээр хуваалцлаа.
Goettl үүн дээр тулгуурласан бөгөөд тохирохгүй төхөөрөмжүүдийн хандалтыг хязгаарлах нь үр дүнтэй стратеги гэж үзэж байна. Жишээ нь, jailbroken буюу муу програмтай эсвэл үйлдлийн системийн хувилбарыг ажиллуулж байгаа төхөөрөмжийг эзэмшигч нь аюулгүй байдлын хуурамч алдааг засах хүртэл хандалтыг хязгаарлах өдөөгч болгон ашиглаж болно.
Авиви төхөөрөмж борлуулагчид болон программ хангамж хөгжүүлэгчид хэрэглэгчдэд учирч болзошгүй зүйлийг багасгахын тулд маш их зүйлийг хийж чадна гэдэгт итгэдэг ч чийгтэй программыг орлох мөнгөн сум эсвэл технологи хэзээ ч байхгүй.
"Бүх автоматжуулсан аюулгүй байдлын хяналтыг давсан хортой холбоос дээр дарж болзошгүй хүн бол энэ тухай мэдээлэх, тэг өдөр эсвэл технологийн сохор цэгийн нөлөөнд автахаас сэргийлж чадах хүн" гэж Авиви хэлэв..
