मुख्य तथ्य
- हाल ही की दो रिपोर्टें इस बात पर प्रकाश डालती हैं कि सुरक्षा श्रृंखला की सबसे कमजोर कड़ी: लोगों के पीछे हमलावर तेजी से बढ़ रहे हैं।
- विशेषज्ञों का मानना है कि उद्योग को लोगों को सुरक्षा सर्वोत्तम प्रथाओं का पालन करने के लिए प्रक्रियाएं शुरू करनी चाहिए।
-
उचित प्रशिक्षण डिवाइस मालिकों को हमलावरों के खिलाफ सबसे मजबूत रक्षक में बदल सकता है।
हाल की रिपोर्टों के अनुसार, कई लोग अपने स्मार्टफ़ोन में संवेदनशील जानकारी की सीमा की सराहना करने में विफल रहते हैं और मानते हैं कि ये पोर्टेबल डिवाइस पीसी की तुलना में स्वाभाविक रूप से अधिक सुरक्षित हैं।
स्मार्टफोन से जुड़ी प्रमुख समस्याओं को सूचीबद्ध करते हुए, Zimperium और Cyble दोनों की रिपोर्ट से संकेत मिलता है कि अगर मालिक इसे सुरक्षित करने के लिए कदम नहीं उठाता है तो हमलावरों को किसी डिवाइस से समझौता करने से रोकने के लिए कोई भी अंतर्निहित सुरक्षा पर्याप्त नहीं है।
सेफब्रीच के सीआईएसओ अविशाई अविवी ने ईमेल पर लाइफवायर को बताया, "मुझे लगता है कि मुख्य चुनौती यह है कि उपयोगकर्ता इन सुरक्षा सर्वोत्तम प्रथाओं का अपने निजी जीवन से व्यक्तिगत संबंध बनाने में विफल रहते हैं।" "बिना यह समझे कि अपने उपकरणों को सुरक्षित बनाने में उनकी निजी हिस्सेदारी है, यह एक मुद्दा बना रहेगा।"
मोबाइल धमकी
साझा आकलन में उत्तरी अमेरिका संचालन समिति के अध्यक्ष नासिर फत्ताह ने ईमेल पर लाइफवायर को बताया कि हमलावर स्मार्टफोन के पीछे जाते हैं क्योंकि वे एक बहुत बड़ी हमले की सतह प्रदान करते हैं और एसएमएस फ़िशिंग, या स्मिशिंग सहित अद्वितीय हमले वैक्टर प्रदान करते हैं।
इसके अलावा, नियमित डिवाइस मालिकों को लक्षित किया जाता है क्योंकि उन्हें हेरफेर करना आसान होता है।सॉफ़्टवेयर से समझौता करने के लिए, कोड में एक अज्ञात या अनसुलझा दोष होना चाहिए, लेकिन क्लिक-एंड-बैट सोशल इंजीनियरिंग रणनीति सदाबहार है, इवांती में उत्पाद प्रबंधन के वीपी क्रिस गोएटल ने ईमेल के माध्यम से लाइफवायर को बताया।
बिना यह समझे कि अपने उपकरणों को सुरक्षित बनाने में उनकी निजी हिस्सेदारी है, यह एक मुद्दा बना रहेगा।
जिम्पेरियम की रिपोर्ट में कहा गया है कि आधे से भी कम (42%) लोगों ने अपनी रिलीज़ के दो दिनों के भीतर उच्च प्राथमिकता वाले फ़िक्सेस लागू किए, 28% लोगों को एक सप्ताह तक की आवश्यकता होती है, जबकि 20% लोगों को दो सप्ताह तक का समय लगता है। उनके स्मार्टफोन को पैच करें।
"अंतिम उपयोगकर्ता, सामान्य रूप से, अपडेट पसंद नहीं करते हैं। वे अक्सर अपने काम (या खेल) गतिविधियों को बाधित करते हैं, अपने डिवाइस पर व्यवहार बदल सकते हैं, और यहां तक कि ऐसी समस्याएं भी पैदा कर सकते हैं जो लंबी असुविधा का कारण बन सकती हैं," गोएटल ने कहा.
साइबल रिपोर्ट में एक नए मोबाइल ट्रोजन का उल्लेख किया गया है जो दो-कारक प्रमाणीकरण (2FA) कोड चुराता है और एक नकली McAfee ऐप के माध्यम से फैलता है।शोधकर्ताओं ने माना कि दुर्भावनापूर्ण ऐप को Google Play Store के अलावा अन्य स्रोतों के माध्यम से वितरित किया जाता है, जिसका लोगों को कभी भी उपयोग नहीं करना चाहिए, और बहुत अधिक अनुमतियां मांगता है, जिसे कभी भी प्रदान नहीं किया जाना चाहिए।
चेकमार्क्स में उत्तरी अमेरिका के सीआईएसओ पीट चेस्टना का मानना है कि यह हम ही हैं जो हमेशा सुरक्षा की सबसे कमजोर कड़ी रहेंगे। उनका मानना है कि उपकरणों और ऐप्स को खुद को बचाने और ठीक करने की जरूरत है या अन्यथा नुकसान के लिए लचीला होना चाहिए क्योंकि ज्यादातर लोगों को परेशान नहीं किया जा सकता है। उनके अनुभव में, लोग पासवर्ड जैसी चीज़ों के लिए सुरक्षा सर्वोत्तम प्रथाओं के बारे में जानते हैं लेकिन उन्हें अनदेखा करना चुनते हैं।
"उपयोगकर्ता सुरक्षा के आधार पर खरीदारी नहीं करते हैं। वे सुरक्षा के आधार पर [इसका] उपयोग नहीं करते हैं। वे निश्चित रूप से सुरक्षा के बारे में तब तक नहीं सोचते जब तक कि व्यक्तिगत रूप से उनके साथ कुछ बुरा न हो जाए। एक नकारात्मक घटना के बाद भी, उनकी यादें छोटी हैं," चेस्टना ने देखा।
डिवाइस के मालिक सहयोगी हो सकते हैं
अतुल पयापिली, Verifiably के फाउंडर, इसे एक अलग नजरिए से देखते हैं।उन्होंने ईमेल पर लाइफवायर को बताया कि रिपोर्टों को पढ़कर उन्हें अक्सर रिपोर्ट की गई एडब्ल्यूएस सुरक्षा घटनाओं की याद आती है। इन उदाहरणों में, AWS डिज़ाइन के अनुसार काम कर रहा था, और उल्लंघन वास्तव में प्लेटफ़ॉर्म का उपयोग करने वाले लोगों द्वारा निर्धारित खराब अनुमतियों का परिणाम थे। आखिरकार, AWS ने लोगों को सही अनुमतियों को परिभाषित करने में मदद करने के लिए कॉन्फ़िगरेशन के अनुभव को बदल दिया।
यह फैलाव नेटवर्क के सीईओ राजीव पिंपलस्कर के साथ गूंजता है। "उपयोगकर्ता पसंद, सुविधा और उत्पादकता पर ध्यान केंद्रित करते हैं, और उपयोगकर्ता अनुभव से समझौता किए बिना शिक्षित करना, साथ ही पूर्ण सुरक्षा का वातावरण बनाना साइबर सुरक्षा उद्योग की जिम्मेदारी है।"
उद्योग को यह समझना चाहिए कि हम में से अधिकांश सुरक्षा लोग नहीं हैं, और हमें सैद्धांतिक जोखिमों और अपडेट को स्थापित करने में विफल होने के प्रभावों को समझने की उम्मीद नहीं की जा सकती है, चेकमार्क्स में सुरक्षा अनुसंधान के वीपी ईरेज़ यालोन का मानना है. "यदि उपयोगकर्ता एक बहुत ही सरल पासवर्ड जमा कर सकते हैं, तो वे ऐसा करेंगे।यदि सॉफ़्टवेयर का उपयोग किया जा सकता है, हालांकि इसे अद्यतन नहीं किया गया था, तो इसका उपयोग किया जाएगा, " Yalon ने Lifewire के साथ ईमेल पर साझा किया।
Goettl इस पर निर्माण करता है और मानता है कि गैर-अनुपालन वाले उपकरणों से पहुंच को प्रतिबंधित करने के लिए एक प्रभावी रणनीति हो सकती है। उदाहरण के लिए, एक जेलब्रेक डिवाइस, या एक ज्ञात खराब एप्लिकेशन वाला, या ओएस का एक संस्करण चला रहा है जिसे उजागर होने के लिए जाना जाता है, सभी को ट्रिगर के रूप में उपयोग किया जा सकता है जब तक कि मालिक सुरक्षा अशुद्धियों को ठीक नहीं करता।
अविवि का मानना है कि जहां डिवाइस विक्रेता और सॉफ्टवेयर डेवलपर उपयोगकर्ता के संपर्क में आने को कम करने में मदद करने के लिए बहुत कुछ कर सकते हैं, वहीं चांदी की गोली या ऐसी तकनीक कभी नहीं होगी जो वास्तव में वेटवेयर की जगह ले सके।
"वह व्यक्ति जो दुर्भावनापूर्ण लिंक पर क्लिक कर सकता है, जिसने इसे सभी स्वचालित सुरक्षा नियंत्रणों से परे कर दिया है, वही है जो इसकी रिपोर्ट कर सकता है और शून्य-दिन या प्रौद्योगिकी ब्लाइंड स्पॉट से प्रभावित होने से बच सकता है," अविवि ने कहा.
