Key Takeaways
- Dua laporan terbaru menyoroti bahwa penyerang semakin mengincar mata rantai terlemah dalam rantai keamanan: orang.
- Para ahli percaya bahwa industri harus memperkenalkan proses untuk membuat orang mematuhi praktik terbaik keamanan.
-
Pelatihan yang tepat dapat mengubah pemilik perangkat menjadi pembela terkuat melawan penyerang.
Banyak orang gagal memahami tingkat informasi sensitif di ponsel cerdas mereka dan percaya bahwa perangkat portabel ini secara inheren lebih aman daripada PC, menurut laporan terbaru.
Saat mencantumkan masalah teratas yang mengganggu ponsel cerdas, laporan dari Zimperium dan Cyble keduanya menunjukkan bahwa tidak ada keamanan bawaan yang cukup untuk mencegah penyerang mengkompromikan perangkat jika pemiliknya tidak mengambil langkah untuk mengamankannya.
"Tantangan utama, menurut saya, adalah bahwa pengguna gagal membuat koneksi pribadi dari praktik terbaik keamanan ini ke kehidupan pribadi mereka sendiri," Avishai Avivi, CISO di SafeBreach, mengatakan kepada Lifewire melalui email. "Tanpa memahami bahwa mereka memiliki kepentingan pribadi dalam mengamankan perangkat mereka, ini akan terus menjadi masalah."
Ancaman Seluler
Nasser Fattah, Ketua Komite Pengarah Amerika Utara di Shared Assessments, mengatakan kepada Lifewire melalui email bahwa penyerang mengincar smartphone karena mereka menyediakan permukaan serangan yang sangat besar dan menawarkan vektor serangan yang unik, termasuk SMS phishing, atau smishing.
Selanjutnya, pemilik perangkat biasa menjadi sasaran karena mudah dimanipulasi. Untuk mengkompromikan perangkat lunak, perlu ada cacat yang tidak teridentifikasi atau belum terselesaikan dalam kode, tetapi taktik rekayasa sosial klik-dan-umpan selalu hijau, Chris Goettl, VP Manajemen Produk di Ivanti, mengatakan kepada Lifewire melalui email.
Tanpa memahami bahwa mereka memiliki kepentingan pribadi dalam mengamankan perangkat mereka, ini akan terus menjadi masalah.
Laporan Zimperium mencatat bahwa kurang dari setengah (42%) orang menerapkan perbaikan prioritas tinggi dalam waktu dua hari sejak dirilis, 28% membutuhkan waktu hingga satu minggu, sementara 20% membutuhkan waktu hingga dua minggu untuk patch smartphone mereka.
"Pengguna akhir pada umumnya tidak menyukai pembaruan. Mereka sering mengganggu aktivitas kerja (atau bermain), dapat mengubah perilaku pada perangkat mereka, dan bahkan dapat menyebabkan masalah yang dapat menjadi ketidaknyamanan yang lebih lama, " demikian pendapat Goettl.
Laporan Cyble menyebutkan trojan seluler baru yang mencuri kode otentikasi dua faktor (2FA) dan disebarkan melalui aplikasi McAfee palsu. Para peneliti memahami bahwa aplikasi jahat didistribusikan melalui sumber selain Google Play Store, yang merupakan sesuatu yang tidak boleh digunakan orang, dan meminta terlalu banyak izin, yang seharusnya tidak pernah diberikan.
Pete Chestna, CISO Amerika Utara di Checkmarx, percaya bahwa kitalah yang akan selalu menjadi mata rantai terlemah dalam keamanan. Dia percaya bahwa perangkat dan aplikasi perlu melindungi dan menyembuhkan diri mereka sendiri atau sebaliknya tahan terhadap bahaya karena kebanyakan orang tidak dapat diganggu. Dalam pengalamannya, orang-orang mengetahui praktik terbaik keamanan untuk hal-hal seperti kata sandi tetapi memilih untuk mengabaikannya.
"Pengguna tidak membeli berdasarkan keamanan. Mereka tidak menggunakan [itu] berdasarkan keamanan. Mereka tentu tidak pernah memikirkan keamanan sampai hal-hal buruk menimpa mereka secara pribadi. Bahkan setelah peristiwa negatif, ingatan mereka pendek," kata Chestna.
Pemilik Perangkat Bisa Menjadi Sekutu
Atul Payapilly, Founder Verifiably, melihat dari sudut pandang yang berbeda. Membaca laporan mengingatkannya pada insiden keamanan AWS yang sering dilaporkan, katanya kepada Lifewire melalui email. Dalam hal ini, AWS bekerja sesuai desain, dan pelanggaran sebenarnya adalah akibat dari izin buruk yang ditetapkan oleh orang-orang yang menggunakan platform. Akhirnya, AWS mengubah pengalaman konfigurasi untuk membantu orang menentukan izin yang benar.
Ini selaras dengan Rajiv Pimplaskar, CEO Dispersive Networks. "Pengguna fokus pada pilihan, kenyamanan, dan produktivitas, dan merupakan tanggung jawab industri keamanan siber untuk mendidik, serta menciptakan lingkungan keamanan mutlak, tanpa mengorbankan pengalaman pengguna."
Industri harus memahami bahwa kebanyakan dari kita bukanlah orang-orang keamanan, dan kita tidak dapat diharapkan untuk memahami risiko teoretis dan implikasi dari kegagalan menginstal pembaruan, percaya Erez Yalon, VP Riset Keamanan di Checkmarx. "Jika pengguna dapat mengirimkan kata sandi yang sangat sederhana, mereka akan melakukannya. Jika software dapat digunakan meskipun tidak diperbarui, itu akan digunakan, " Yalon berbagi dengan Lifewire melalui email.
Goettl membangun ini dan percaya bahwa strategi yang efektif adalah membatasi akses dari perangkat yang tidak patuh. Misalnya, perangkat yang di-jailbreak, atau yang memiliki aplikasi yang diketahui buruk, atau menjalankan versi OS yang diketahui terpapar, semuanya dapat digunakan sebagai pemicu untuk membatasi akses hingga pemilik memperbaiki kesalahan keamanan.
Avivi percaya bahwa meskipun vendor perangkat dan pengembang perangkat lunak dapat melakukan banyak hal untuk membantu meminimalkan apa yang pada akhirnya akan terpapar kepada pengguna, tidak akan pernah ada peluru perak atau teknologi yang benar-benar dapat menggantikan perangkat basah.
"Orang yang mungkin mengklik tautan berbahaya yang berhasil melewati semua kontrol keamanan otomatis adalah orang yang sama yang dapat melaporkannya dan menghindari terkena dampak zero-day atau titik buta teknologi," kata Avivi.
