Da asporto chiave
- Due rapporti recenti evidenziano che gli aggressori cercano sempre di più l'anello più debole della catena della sicurezza: le persone.
- Gli esperti ritengono che il settore dovrebbe introdurre processi per far aderire le persone alle migliori pratiche di sicurezza.
-
Un addestramento adeguato può trasformare i possessori di dispositivi nei difensori più forti contro gli attaccanti.
Molte persone non riescono ad apprezzare la portata delle informazioni sensibili nei loro smartphone e credono che questi dispositivi portatili siano intrinsecamente più sicuri dei PC, secondo recenti rapporti.
Mentre elencano i principali problemi che affliggono gli smartphone, i rapporti di Zimperium e Cyble indicano entrambi che nessuna sicurezza integrata è sufficiente per impedire agli aggressori di compromettere un dispositivo se il proprietario non prende provvedimenti per proteggerlo.
"La sfida principale, a mio avviso, è che gli utenti non riescono a stabilire una connessione personale di queste migliori pratiche di sicurezza con le loro vite personali", ha detto a Lifewire Avishai Avivi, CISO di SafeBreach. "Senza comprendere che hanno un interesse personale nel rendere sicuri i loro dispositivi, questo continuerà a essere un problema."
Minacce mobili
Nasser Fattah, presidente del comitato direttivo per il Nord America presso Shared Assessments, ha detto a Lifewire via e-mail che gli aggressori cercano gli smartphone perché forniscono una superficie di attacco molto ampia e offrono vettori di attacco unici, tra cui phishing via SMS o smishing.
Inoltre, i normali proprietari di dispositivi vengono presi di mira perché sono facili da manipolare. Per compromettere il software, è necessario che ci sia un difetto non identificato o irrisolto nel codice, ma le tattiche di ingegneria sociale click-and-bait sono sempreverdi, ha detto a Lifewire via e-mail Chris Goettl, VP of Product Management di Ivanti.
Senza comprendere che hanno un interesse personale nel rendere sicuri i loro dispositivi, questo continuerà a essere un problema.
Il rapporto Zimperium rileva che meno della metà (42%) delle persone ha applicato soluzioni ad alta priorità entro due giorni dal rilascio, il 28% ha richiesto fino a una settimana, mentre il 20% ha impiegato fino a due settimane per rattoppare i loro smartphone.
"Agli utenti finali, in generale, non piacciono gli aggiornamenti. Spesso interrompono le loro attività lavorative (o ricreative), possono modificare il comportamento sul proprio dispositivo e potrebbero persino causare problemi che possono essere un inconveniente più lungo", ha affermato Goettl.
Il rapporto Cyble ha menzionato un nuovo trojan mobile che ruba i codici di autenticazione a due fattori (2FA) e viene diffuso tramite una falsa app McAfee. I ricercatori rilevano che l'app dannosa è distribuita tramite fonti diverse dal Google Play Store, che è qualcosa che le persone non dovrebbero mai usare, e richiede troppe autorizzazioni, che non dovrebbero mai essere concesse.
Pete Chestna, CISO del Nord America presso Checkmarx, crede che saremo noi l'anello più debole della sicurezza. Crede che i dispositivi e le app debbano proteggersi e curarsi da soli o essere altrimenti resistenti ai danni poiché la maggior parte delle persone non può essere disturbata. In base alla sua esperienza, le persone sono consapevoli delle migliori pratiche di sicurezza per cose come le password, ma scelgono di ignorarle.
"Gli utenti non acquistano in base alla sicurezza. Non [la] usano in base alla sicurezza. Certamente non pensano mai alla sicurezza finché non sono accadute loro cose brutte personalmente. Anche dopo un evento negativo, i loro ricordi sono brevi", osservò Chestna.
I proprietari di dispositivi possono essere alleati
Atul Payapilly, Fondatore di Verifilly, lo guarda da un punto di vista diverso. Leggere i rapporti gli ricorda gli incidenti di sicurezza AWS spesso segnalati, ha detto a Lifewire via e-mail. In questi casi, AWS funzionava come previsto e le violazioni erano in re altà il risultato di autorizzazioni errate impostate dalle persone che utilizzavano la piattaforma. Alla fine, AWS ha cambiato l'esperienza della configurazione per aiutare le persone a definire le autorizzazioni corrette.
Questo risuona con Rajiv Pimplaskar, CEO di Dispersive Networks. "Gli utenti sono focalizzati sulla scelta, sulla convenienza e sulla produttività, ed è responsabilità del settore della sicurezza informatica educare e creare un ambiente di assoluta sicurezza, senza compromettere l'esperienza dell'utente."
Il settore dovrebbe capire che la maggior parte di noi non sono addetti alla sicurezza e non possiamo aspettarci di comprendere i rischi teorici e le implicazioni della mancata installazione di un aggiornamento, ritiene Erez Yalon, vicepresidente della ricerca sulla sicurezza di Checkmarx. "Se gli utenti possono inviare una password molto semplice, lo faranno. Se il software può essere utilizzato anche se non è stato aggiornato, verrà utilizzato", ha condiviso Yalon con Lifewire tramite e-mail.
Goettl si basa su questo e ritiene che una strategia efficace potrebbe essere quella di limitare l'accesso da dispositivi non conformi. Ad esempio, un dispositivo jailbroken, o uno che ha un'applicazione errata nota, o esegue una versione del sistema operativo che è notoriamente esposta, può essere utilizzato come trigger per limitare l'accesso fino a quando il proprietario non corregge il passo falso di sicurezza.
Avivi crede che mentre i fornitori di dispositivi e gli sviluppatori di software possono fare molto per ridurre al minimo ciò a cui l'utente sarà alla fine esposto, non ci sarebbe mai un proiettile d'argento o una tecnologia che possa veramente sostituire il wetware.
"La persona che potrebbe fare clic sul collegamento dannoso che ha superato tutti i controlli di sicurezza automatizzati è la stessa che può segnalarlo ed evitare di essere colpito da uno zero-day o da un punto cieco tecnologico", ha affermato Avivi.