viry, spyware a další malware mohou ovlivnit více než jen stolní počítače a notebooky. Zranitelná jsou i mobilní zařízení. Vzhledem k tomu, že se hrozba neustále vyvíjí, je důležité, abychom těmto rizikům nejen porozuměli—ale jak se proti nim můžeme chránit.
v tomto příspěvku se blíže podíváme na bezpečnostní hrozby mobilních telefonů, kterým dnes čelíme, a nabídneme tipy a návrhy na jejich minimalizaci.
- co jsou mobilní bezpečnostní hrozby?
- typy mobilních bezpečnostních hrozeb
- 6 mobilní bezpečnostní hrozby-a jak jim zabránit
- stahování škodlivých aplikací a udělení příliš mnoha oprávnění
- připojení k nezabezpečeným WiFi sítím
- být terčem útoku sociálního inženýrství
- procvičování špatné kybernetické hygieny
- práce s rozbitou kryptografií nebo bez end-to-end šifrování
- padající kořist botnetům
- jak se organizace mohou chránit před mobilními hrozbami
- co mohou IT a bezpečnost dělat
- co mohou jednotlivci dělat
- co bude dál v zabezpečení mobilních zařízení?
co jsou mobilní bezpečnostní hrozby?
mobilní bezpečnostní hrozby jsou útoky, které mají ohrozit nebo ukrást data z mobilních zařízení, jako jsou smartphony a tablety. Tyto hrozby mají často podobu malwaru nebo spywaru, což dává špatným hercům neoprávněný přístup k zařízení; v mnoha případech si uživatelé ani neuvědomují, že došlo k útoku.
s přístupem mohou útočníci provádět různé škodlivé akce, od krádeže a prodeje dat až po přístup ke kontaktům až po odesílání zpráv a volání. Mohou také použít zařízení k odcizení přihlašovacích údajů uživatelů a falešných identit. Tyto útoky mají dopad na jednotlivé uživatele i organizace, protože jedno jediné porušení by mohlo vést k únikům dat ve velkém měřítku.
typy mobilních bezpečnostních hrozeb
útoky mobilních zařízení přicházejí ve všech tvarech a velikostech, ale obecně spadají do následujících čtyř kategorií:
- mobilní hrozby založené na aplikacích: Aplikace jsou často kořenem zranitelností mobilních zařízení. K těmto typům útoků může dojít, když uživatelé stahují škodlivé aplikace nebo udělují aplikacím oprávnění k přístupu k datům zařízení, aniž by zkontrolovali, zda je to bezpečné.
- webové mobilní hrozby: webového mobilního útoku je obvykle dosaženo phishingem nebo spoofingem. Útočníci pošlou e—mail, text nebo jinou rychlou zprávu, která vypadá, jako by byla z důvěryhodného zdroje-ale zpráva obsahuje škodlivý odkaz nebo přílohu. Když uživatelé prokliknou nebo poskytnou osobní údaje, špatný herec pak může získat neoprávněný přístup ke svému mobilnímu zařízení nebo ukrást přihlašovací údaje k falešným identitám.
- síťové hrozby: k tomuto typu mobilního útoku dochází, když se špatní aktéři zaměřují na nezajištěné nebo volně použitelné veřejné WiFi připojení. V některých případech mohou hackeři dokonce vytvořit falešnou síť WiFi (známou jako network spoofing) ve snaze přimět uživatele. Spoofed networks požádá uživatele o vytvoření účtu s uživatelským jménem a heslem, což hackerům dává příležitost ohrozit zařízení a přihlašovací údaje.
- fyzické hrozby: ztracená, odcizená a bezobslužná zařízení otevírají uživatelům řadu bezpečnostních problémů s mobilním telefonem. Pokud nepoužíváte silné heslo, PIN nebo biometrické ověřování nebo nepoužíváte nešifrované aplikace a služby, může být váš telefon snadno napaden—zejména s ohledem na to, jak sofistikované je dnes prostředí hrozeb.
6 mobilní bezpečnostní hrozby-a jak jim zabránit
je dost špatné, že škodliví aktéři mohou použít kterýkoli z výše uvedených typů hrozeb k zahájení útoku na nic netušící uživatele—ale co je ještě horší je, že naše každodenní chování a mobilní aktivita jim může usnadnit úspěch. Níže jsou uvedeny některé z nejčastějších způsobů, jak vystavit naše data a identity riziku bezpečnostních hrozeb mobilních zařízení, a tipy, jak se chránit.
stahování škodlivých aplikací a udělení příliš mnoha oprávnění
aplikace, které jsou staženy z jiných zdrojů než z oficiálních obchodů s aplikacemi, mohou vést k úniku dat, protože je často nepravděpodobné, že budou mít odpovídající ochranu. Kromě toho mohou útočníci uvolňovat škodlivé aplikace, které jsou určeny k zneužití uživatelů, kteří je stahují—například krádeží dat ze zařízení a jejich prodejem třetím stranám. K úniku dat může dojít také prostřednictvím podnikových aplikací infikovaných malwarem, které distribuují kód v mobilních operačních systémech a přesouvají data přes obchodní sítě, aniž by byly objeveny.
jak minimalizovat riziko: stahujte pouze aplikace z Google Play, Apple App store a dalších důvěryhodných poskytovatelů. Kromě toho odepřete oprávnění-například přístup k údajům o poloze, fotoaparátu a mikrofonu-pokud to aplikace, kterou používáte, absolutně nevyžaduje.
připojení k nezabezpečeným WiFi sítím
WiFi sítě, které jsou volně přístupné na veřejných místech, jako jsou letiště, kavárny a knihovny, jsou atraktivní, protože vám dávají příležitost vyhnout se používání mobilních dat. Mnoho z těchto sítí je však nezabezpečených, což znamená, že útočníci mohou snadněji získat přístup k zařízením uživatelů a ohrozit jejich data.
jak minimalizovat riziko: před připojením k bezplatným hotspotům WiFi si dvakrát rozmyslete a nikdy nepoužívejte ten, který vyžaduje vytvoření účtu nebo hesla. Pokud potřebujete použít jednu z těchto sítí, držte se nízkorizikových aktivit-nikdy by neměly být používány k přístupu k vašim účtům sociálních médií,bankovním aplikacím nebo k online nákupu.
s dálkovou prací na vzestupu jsou útoky jako phishing a „smishing“ stále častější na mobilních zařízeních i počítačích. Mobilní uživatelé jsou však často vůči těmto útokům zranitelnější, protože menší velikosti obrazovky omezují množství informací, které lze kdykoli vidět ve škodlivém e-mailu. To zvyšuje šance, že uživatelé kliknou na odkaz, aniž by zvážili důsledky.
jak minimalizovat riziko: nikdy neklikejte na odkaz v e-mailu nebo textové zprávě, i když se zdá, že pochází od důvěryhodného odesílatele. Místo toho zadejte adresu URL do adresního řádku webového prohlížeče, abyste mohli ověřit, zda je odkaz legitimní.
procvičování špatné kybernetické hygieny
je důležitější než kdy jindy, aby lidé praktikovali správnou kybernetickou hygienu, ale mnoho lidí nadále používá slabá hesla, recykluje přihlašovací údaje napříč účty, sdílí data s přáteli a kolegy a odmítá aktualizovat aplikace a operační systémy.
zastaralá zařízení mohou také přispět k řadě problémů s mobilní kybernetickou bezpečností. Ať už je to kvůli tomu, že výrobce nenabízí aktualizace, nebo proto, že se uživatel rozhodne nestahovat nové verze a software, ponechává to mezery, které může útočník použít k infiltrování zařízení.
kromě toho se uživatelé mohou stát obětí mobilních bezpečnostních hrozeb kvůli nesprávné manipulaci s relací. Mnoho aplikací používá tokeny, aby zážitek pohodlnější pro uživatele (tj, což jim umožňuje provádět akce bez reauthenticating). Tyto žetony však mohou být někdy neúmyslně sdíleny se špatnými herci, pokud relace zůstanou otevřené.
jak minimalizovat riziko: Používejte silná hesla, nasazujte nástroje pro vícefaktorové ověřování (MFA), nastavte zařízení tak, aby se automaticky aktualizovala, a po dokončení jejich používání se odhlaste z aplikací a webů. A samozřejmě si nechte své osobní údaje a přihlášení pro sebe.
práce s rozbitou kryptografií nebo bez end-to-end šifrování
s lidmi, kteří tráví více času doma, došlo k obrovskému nárůstu používání videokonferenčních nástrojů na mobilních zařízeních. I když jsou skvělé pro pomoc kolegům a rodinám zůstat v kontaktu, existují rizika-zejména pokud používáte aplikaci nebo službu, která nešifruje konverzace, pracuje pomocí slabých algoritmů nebo jinak ponechává zařízení zranitelná vůči útokům.
jak minimalizovat riziko: ať už jste vlastníkem firmy nebo dotyčná osoba, ujistěte se, že vy-a všichni ostatní, se kterými komunikujete-používáte aplikace a online nástroje, které upřednostňují zabezpečení identit a dat.
padající kořist botnetům
botnet vzniká, když skupina počítačů spadá pod kontrolu hackera. Obvykle se používají k přetížení zdrojů organizace během škodlivých činů, jako jsou útoky distribuovaného odmítnutí služby (DDoS) – které lze provádět na mobilních zařízeních prostřednictvím trojských koní, virů a červů.
jak minimalizovat riziko: stejně jako mnoho jiných mobilních hrozeb lze botnetům zabránit pouze stahováním legitimních aplikací, nikdy neklikáním na odkazy nebo přílohy v e-mailech, používáním zabezpečených bezdrátových sítí a vědomím neobvyklé aktivity na zařízeních.
jak se organizace mohou chránit před mobilními hrozbami
zatímco IT a bezpečnostní týmy jsou z velké části odpovědné za ochranu firemních, zaměstnaneckých a zákaznických dat, je zde také mnoho, co mohou koncoví uživatelé udělat pro zabezpečení svých zařízení. Podívejme se, jak může každá skupina zlepšit bezpečnost v práci i doma.
co mohou IT a bezpečnost dělat
více než kdy předtím pracují zaměstnanci vzdáleně z různých míst a na různých zařízeních. Pouze 13% organizací však používá čtyři základní ochrany: šifrování dat, need-to-know přístup, žádné výchozí hesla, a pravidelné testování zabezpečení. Navíc téměř 50% organizací nemá přijatelnou politiku používání, která je nezbytná pro boj s bezpečnostními hrozbami mobilních dat a nastavuje standard pro chování zaměstnanců na zařízeních a sítích.
IT týmy mohou těžit z implementace správy mobilních zařízení, nasazení nástrojů jako MFA a jednotné přihlášení (při odklonu od ověřování SMS) a přijetí přístupu nulové důvěry k bezpečnosti ve svých organizacích. Měli by také poskytovat pravidelné školení pro zaměstnance s cílem zajistit bezpečnost je vždy na vrcholu mysli a radit všem nejnovější, nejvýznamnější hrozby, které by mohly čelit na denní bázi.
co mohou jednotlivci dělat
zaměstnanci mohou také zabránit útokům na mobilní zabezpečení tím, že se ujistí, že dobře rozumí společným hrozbám. Nejenže by měli vědět, co jsou—ale měli by být také schopni rozpoznat výmluvné známky toho, že došlo k pokusu o útok.
kromě dodržování zásad stanovených jejich organizací mohou zaměstnanci převzít bezpečnost do svých rukou implementací bezpečných postupů hesel a umožněním silnějších autentizačních nástrojů (jako je MFA a biometrie) na svých zařízeních. Mohou také zajistit, aby jejich domácí sítě byly bezpečné, a vyhnout se používání bezplatných WiFi sítí při práci na dálku.
co bude dál v zabezpečení mobilních zařízení?
Chcete-li udržet své zaměstnance a firemní data v bezpečí, je nezbytné, aby organizace zůstaly na vrcholu bezpečnostních rizik mobilních zařízení-zejména proto, že se svět stává stále vzdálenějším.
zde je několik trendů, které je třeba mít na paměti:
- dynamická práce je model, který dává zaměstnancům svobodu a flexibilitu pracovat odkudkoli, a vyžaduje vysoce bezpečný, integrovaný it zásobník. Vzhledem k tomu, že mobilní zabezpečení je klíčovou součástí toho, aby zaměstnanci mohli efektivně a bezpečně spolupracovat-kdykoli, z jakéhokoli místa, na jakémkoli zařízení.
- Přineste si vlastní zásady zařízení již dlouhou dobu, ale v našich současných pracovních prostředích jsou ještě důležitější. Organizace musí zajistit, aby zaměstnanci byli schopni pracovat na jakémkoli zařízení, což činí nástroje jako MFA a přístup nulové důvěry k bezpečnosti naprosto zásadní.
- Internet věcí rychle roste, protože více lidí se spoléhá na připojená zařízení v práci i doma(např. Být si vědom toho, co tato zařízení jsou a jak mohou změnit bezpečnostní prostředí, je klíčem k zabránění tomu, aby špatní aktéři získali neoprávněný přístup k informacím a sítím.
informování o nejnovějších mobilních bezpečnostních útocích je prvním krokem k bezpečnější pracovní síle. Další informace o zabezpečení mobilních zařízení a rady, jak zabezpečit data vaší společnosti a zaměstnanců, naleznete v následujících zdrojích:
- zabezpečení mobilních zařízení: 4 výzvy k překonání (Blog post)
- jak BYOD ovlivňuje zabezpečení zařízení (Blog post)
- jak zabezpečit zařízení Vaší pracovní síly pomocí Okta (Blog post)
- Okta Device Trust: Získejte maximum z integrace správy identit a koncových bodů (Blog post)
- Secure Remote Work Toolkit (eBook)