Princípios importantes
- Dois relatórios recentes destacam que os invasores estão cada vez mais perseguindo o elo mais fraco da cadeia de segurança: as pessoas.
- Especialistas acreditam que a indústria deve introduzir processos para fazer as pessoas aderirem às melhores práticas de segurança.
-
O treinamento adequado pode transformar os proprietários de dispositivos nos defensores mais fortes contra os atacantes.
Muitas pessoas não conseguem avaliar a extensão das informações confidenciais em seus smartphones e acreditam que esses dispositivos portáteis são inerentemente mais seguros do que os PCs, de acordo com relatórios recentes.
Ao listar os principais problemas que assolam os smartphones, relatórios da Zimperium e Cyble indicam que nenhuma quantidade de segurança integrada é suficiente para impedir que invasores comprometam um dispositivo se o proprietário não tomar medidas para protegê-lo.
"O principal desafio, eu acho, é que os usuários não conseguem fazer uma conexão pessoal dessas melhores práticas de segurança com suas próprias vidas pessoais", disse Avishai Avivi, CISO da SafeBreach, à Lifewire por e-mail. "Sem entender que eles têm um interesse pessoal em tornar seus dispositivos seguros, isso continuará sendo um problema."
Ameaças móveis
Nasser Fattah, presidente do Comitê Gestor da América do Norte em Avaliações Compartilhadas, disse à Lifewire por e-mail que os invasores vão atrás de smartphones porque eles fornecem uma superfície de ataque muito grande e oferecem vetores de ataque exclusivos, incluindo phishing ou smishing por SMS.
Além disso, os proprietários regulares de dispositivos são visados porque são fáceis de manipular. Para comprometer o software, é preciso haver uma falha não identificada ou não resolvida no código, mas as táticas de engenharia social de clique e isca são perenes, disse Chris Goettl, vice-presidente de gerenciamento de produtos da Ivanti, à Lifewire por e-mail.
Sem entender que eles têm um interesse pessoal em tornar seus dispositivos seguros, isso continuará sendo um problema.
O relatório Zimperium observa que menos da metade (42%) das pessoas aplicaram correções de alta prioridade dentro de dois dias após o lançamento, 28% exigiram até uma semana, enquanto 20% levaram até duas semanas para corrigir seus smartphones.
"Os usuários finais, em geral, não gostam de atualizações. Eles geralmente interrompem suas atividades de trabalho (ou lazer), podem alterar o comportamento em seus dispositivos e podem até causar problemas que podem ser um inconveniente mais longo ", opinou Goettl.
O relatório do Cyble mencionou um novo trojan móvel que rouba códigos de autenticação de dois fatores (2FA) e se espalha por meio de um aplicativo falso da McAfee. Os pesquisadores entendem que o aplicativo malicioso é distribuído por outras fontes que não a Google Play Store, algo que as pessoas nunca devem usar e pede muitas permissões, que nunca devem ser concedidas.
Pete Chestna, CISO da América do Norte na Checkmarx, acredita que somos nós que sempre seremos o elo mais fraco em segurança. Ele acredita que dispositivos e aplicativos precisam se proteger e se curar ou ser resilientes a danos, já que a maioria das pessoas não pode ser incomodada. Em sua experiência, as pessoas estão cientes das práticas recomendadas de segurança para coisas como senhas, mas optam por ignorá-las.
"Os usuários não compram com base na segurança. Eles não a usam com base na segurança. Eles certamente nunca pensam em segurança até que coisas ruins tenham acontecido com eles pessoalmente. Mesmo após um evento negativo, suas memórias são curtas", observou Chestna.
Os proprietários de dispositivos podem ser aliados
Atul Payapilly, fundador da Verifably, olha para isso de um ponto de vista diferente. Ler os relatórios o lembra dos incidentes de segurança da AWS frequentemente relatados, disse ele à Lifewire por e-mail. Nesses casos, a AWS estava funcionando conforme projetado e as violações foram, na verdade, o resultado de permissões incorretas definidas pelas pessoas que usavam a plataforma. Eventualmente, a AWS mudou a experiência da configuração para ajudar as pessoas a definir as permissões corretas.
Isso ressoa com Rajiv Piimplaskar, CEO da Dispersive Networks. "Os usuários estão focados na escolha, conveniência e produtividade, e é responsabilidade do setor de segurança cibernética educar, bem como criar um ambiente de segurança absoluta, sem comprometer a experiência do usuário."
A indústria deve entender que a maioria de nós não somos pessoas de segurança, e não podemos esperar que entendamos os riscos teóricos e as implicações de não instalar uma atualização, acredita Erez Yalon, vice-presidente de pesquisa de segurança da Checkmarx. "Se os usuários puderem enviar uma senha muito simples, eles farão isso. Se o software puder ser usado embora não tenha sido atualizado, ele será usado ", Yalon compartilhou com a Lifewire por e-mail.
Goettl baseia-se nisso e acredita que uma estratégia eficaz poderia ser restringir o acesso de dispositivos não compatíveis. Por exemplo, um dispositivo desbloqueado, ou um que tenha um aplicativo defeituoso conhecido, ou esteja executando uma versão do sistema operacional que esteja exposta, podem ser usados como gatilhos para restringir o acesso até que o proprietário corrija a gafe de segurança.
Avivi acredita que, embora os fornecedores de dispositivos e desenvolvedores de software possam fazer muito para ajudar a minimizar o que o usuário será exposto, nunca haveria uma bala de prata ou uma tecnologia que pudesse realmente substituir o wetware.
"A pessoa que pode clicar no link malicioso que passou por todos os controles de segurança automatizados é a mesma que pode denunciá-lo e evitar ser impactado por um ponto cego de dia zero ou tecnologia ", disse Avivi.
