wirusy, programy szpiegujące i inne złośliwe oprogramowanie mogą wpływać na więcej niż tylko komputery stacjonarne i laptopy. Urządzenia mobilne są również podatne na zagrożenia. W miarę jak krajobraz zagrożeń stale się zmienia, ważne jest, abyśmy nie tylko rozumieli te zagrożenia—ale także sposób, w jaki możemy się przed nimi chronić.
w tym poście przyjrzymy się bliżej zagrożeniom bezpieczeństwa telefonów komórkowych, z którymi mamy do czynienia dzisiaj, i przedstawimy wskazówki i sugestie dotyczące ich minimalizacji.
- czym są zagrożenia dla bezpieczeństwa urządzeń mobilnych?
- rodzaje zagrożeń bezpieczeństwa mobilnego
- 6 zagrożenia bezpieczeństwa urządzeń mobilnych-i jak im zapobiegać
- pobieranie złośliwych aplikacji i przyznawanie zbyt wielu uprawnień
- łączenie się z niezabezpieczonymi sieciami Wi-Fi
- jest celem ataku socjotechnicznego
- praktykowanie złej higieny cybernetycznej
- obsługa z uszkodzoną kryptografią lub bez szyfrowania end-to-end
- padanie ofiarą botnetów
- jak organizacje mogą chronić się przed zagrożeniami mobilnymi
- co może zrobić IT i bezpieczeństwo
- co mogą zrobić osoby prywatne
- co dalej z zabezpieczeniami urządzeń mobilnych?
czym są zagrożenia dla bezpieczeństwa urządzeń mobilnych?
zagrożenia bezpieczeństwa mobilnego to ataki, które mają na celu kompromis lub kradzież danych z urządzeń mobilnych, takich jak smartfony i Tablety. Zagrożenia te często przybierają formę złośliwego oprogramowania lub oprogramowania szpiegującego, dając złym podmiotom nieautoryzowany dostęp do urządzenia; w wielu przypadkach użytkownicy nie są nawet świadomi, że doszło do ataku.
dzięki dostępowi atakujący mogą wykonywać różne złośliwe działania, od kradzieży i sprzedaży danych po dostęp do kontaktów, wysyłanie wiadomości i wykonywanie połączeń. Mogą również użyć urządzenia do kradzieży danych logowania użytkowników i fałszywych tożsamości. Ataki te mają wpływ zarówno na indywidualnych użytkowników, jak i organizacje, ponieważ pojedyncze naruszenie może prowadzić do wycieków danych na dużą skalę.
rodzaje zagrożeń bezpieczeństwa mobilnego
ataki na urządzenia mobilne mają różne kształty i rozmiary, ale zazwyczaj należą do następujących czterech kategorii:
- zagrożenia mobilne oparte na aplikacjach: aplikacje są często źródłem luk w zabezpieczeniach urządzeń mobilnych. Tego typu ataki mogą wystąpić, gdy użytkownicy pobierają złośliwe aplikacje lub przyznają aplikacjom uprawnienia dostępu do danych urządzenia bez sprawdzania, czy jest to bezpieczne.
- internetowe zagrożenia mobilne: internetowy atak mobilny jest zwykle osiągany poprzez phishing lub spoofing. Atakujący wyśle wiadomość e—mail, tekst lub inną wiadomość błyskawiczną, która wygląda tak, jakby pochodziła z zaufanego źródła-ale wiadomość zawiera złośliwe łącze lub załącznik. Gdy użytkownicy klikną lub podadzą dane osobowe, zły aktor może uzyskać nieautoryzowany dostęp do swojego urządzenia mobilnego lub ukraść dane uwierzytelniające w celu sfałszowania tożsamości.
- zagrożenia sieciowe: ten rodzaj ataku mobilnego występuje, gdy złe podmioty celują w niezabezpieczone lub bezpłatne publiczne połączenia Wi-Fi. W niektórych przypadkach hakerzy mogą nawet skonfigurować fałszywą sieć WiFi (znaną jako spoofing sieciowy), próbując oszukać użytkowników. Fałszywe sieci będą prosić użytkowników o utworzenie konta z nazwą użytkownika i hasłem, dając hakerom możliwość naruszenia urządzeń i poświadczeń.
- zagrożenia fizyczne: utracone, skradzione i nienadzorowane urządzenia otwierają użytkownikom szereg problemów z bezpieczeństwem telefonów komórkowych. Jeśli nie używasz silnego hasła, kodu PIN ani uwierzytelniania biometrycznego, ani nie korzystasz z niezaszyfrowanych aplikacji i usług, Twój telefon może zostać łatwo zhakowany—zwłaszcza biorąc pod uwagę, jak zaawansowany jest obecnie krajobraz zagrożeń.
6 zagrożenia bezpieczeństwa urządzeń mobilnych-i jak im zapobiegać
to wystarczająco złe, że złośliwi aktorzy mogą użyć dowolnego z wyżej wymienionych typów zagrożeń, aby przeprowadzić atak na niczego niepodejrzewających użytkowników-ale co gorsza, nasze codzienne zachowanie i aktywność mobilna mogą jeszcze ułatwić im osiągnięcie sukcesu. Poniżej przedstawiamy niektóre z najczęstszych sposobów na narażenie naszych danych i tożsamości na zagrożenia bezpieczeństwa urządzeń mobilnych oraz wskazówki, jak się chronić.
pobieranie złośliwych aplikacji i przyznawanie zbyt wielu uprawnień
aplikacje pobrane ze źródeł innych niż oficjalne sklepy z aplikacjami mogą prowadzić do wycieków danych, ponieważ często jest mało prawdopodobne, aby miały odpowiednie zabezpieczenia. Ponadto napastnicy mogą udostępniać złośliwe aplikacje, które mają na celu wykorzystanie użytkowników, którzy je pobierają—na przykład kradnąc dane z urządzenia i sprzedając je stronom trzecim. Wycieki danych mogą również wystąpić za pośrednictwem zainfekowanych złośliwym oprogramowaniem aplikacji korporacyjnych, które rozprowadzają kod w mobilnych systemach operacyjnych, przenosząc dane w sieciach biznesowych bez wykrycia.
jak zminimalizować ryzyko: pobieraj tylko aplikacje z Google Play, Apple App store i innych zaufanych dostawców. Ponadto odmawiaj uprawnień, takich jak dostęp do danych o lokalizacji, aparatu i mikrofonu, chyba że aplikacja, której używasz, absolutnie tego wymaga.
łączenie się z niezabezpieczonymi sieciami Wi-Fi
sieci Wi-Fi, do których można uzyskać bezpłatny dostęp w miejscach publicznych, takich jak lotniska, kawiarnie i biblioteki, są atrakcyjne, ponieważ dają możliwość unikania korzystania z danych mobilnych. Wiele z tych sieci jest jednak niezabezpieczonych, co oznacza, że atakujący mogą łatwiej uzyskać dostęp do urządzeń użytkowników i skompromitować swoje dane.
jak zminimalizować ryzyko: zastanów się dwa razy przed połączeniem się z darmowymi hotspotami WiFi i nigdy nie używaj takiego, który wymaga utworzenia konta lub hasła. Jeśli musisz korzystać z jednej z tych sieci, trzymaj się działań niskiego ryzyka-nigdy nie powinny być używane do uzyskiwania dostępu do kont w mediach społecznościowych, aplikacji bankowych lub dokonywania zakupów online.
jest celem ataku socjotechnicznego
wraz ze wzrostem liczby zdalnych prac, ataki takie jak phishing i „uśmieszek” są coraz bardziej powszechne zarówno na urządzeniach mobilnych, jak i komputerach. Jednak użytkownicy urządzeń mobilnych są często bardziej podatni na te ataki, ponieważ mniejsze rozmiary ekranu ograniczają ilość informacji, które można zobaczyć w złośliwej wiadomości e-mail w dowolnym momencie. Zwiększa to szanse, że użytkownicy klikną link bez uwzględnienia konsekwencji.
jak zminimalizować ryzyko: nigdy nie klikaj łącza w wiadomości e-mail lub wiadomości tekstowej, nawet jeśli wydaje się, że pochodzi od zaufanego nadawcy. Zamiast tego wprowadź adres URL w pasku adresu przeglądarki internetowej, aby sprawdzić, czy łącze jest zgodne z prawem.
praktykowanie złej higieny cybernetycznej
praktykowanie dobrej higieny cybernetycznej jest ważniejsze niż kiedykolwiek, ale wiele osób nadal używa słabych haseł, recykluje poświadczenia na kontach, udostępnia dane znajomym i współpracownikom oraz odmawia aktualizacji aplikacji i systemów operacyjnych.
nieaktualne urządzenia mogą również przyczynić się do wielu problemów związanych z cyberbezpieczeństwem urządzeń mobilnych. Niezależnie od tego, czy chodzi o to, że producent nie oferuje aktualizacji, czy o to, że użytkownik nie chce pobierać nowych wersji i oprogramowania, pozostawia to luki, których atakujący może użyć do infiltracji urządzenia.
Ponadto użytkownicy mogą paść ofiarą zagrożeń bezpieczeństwa urządzeń mobilnych z powodu niewłaściwej obsługi sesji. Wiele aplikacji używa tokenów, aby ułatwić użytkownikom korzystanie z nich (np. pozwalając im wykonywać czynności bez ponownego uwierzytelniania). Ale te tokeny mogą być czasami przypadkowo udostępniane złym aktorom, jeśli sesje pozostają otwarte.
jak zminimalizować ryzyko: Używaj silnych haseł, wdrażaj narzędzia uwierzytelniania wieloskładnikowego (MFA), ustawiaj urządzenia na automatyczną aktualizację i wylogowuj się z aplikacji i witryn po zakończeniu korzystania z nich. I oczywiście Zachowaj swoje dane osobowe i loginy dla siebie.
obsługa z uszkodzoną kryptografią lub bez szyfrowania end-to-end
ponieważ ludzie spędzają więcej czasu w domu, nastąpił ogromny wzrost wykorzystania narzędzi do wideokonferencji na urządzeniach mobilnych. Chociaż są one świetne do pomagania współpracownikom i rodzinom w utrzymywaniu kontaktu, wiąże się to z ryzykiem—zwłaszcza jeśli korzystasz z aplikacji lub usługi, która nie szyfruje rozmów, działa przy użyciu słabych algorytmów lub w inny sposób naraża urządzenia na ataki.
jak zminimalizować ryzyko: niezależnie od tego, czy jesteś właścicielem firmy, czy osobą zainteresowaną, upewnij się, że ty—i wszyscy inni, z którymi się komunikujesz—korzystasz z aplikacji i narzędzi online, które priorytetowo traktują bezpieczeństwo tożsamości i danych.
padanie ofiarą botnetów
botnet powstaje, gdy grupa komputerów znajduje się pod kontrolą hakera. Zazwyczaj są one używane do przeciążania zasobów organizacji podczas złośliwych działań, takich jak ataki DDoS (Distributed Denial of Service)—które mogą być wykonywane na urządzeniach mobilnych za pomocą trojanów, wirusów i robaków.
jak zminimalizować ryzyko: podobnie jak wiele innych zagrożeń mobilnych, botnetów można uniknąć, pobierając tylko legalne aplikacje, nigdy nie klikając linków ani załączników w wiadomościach e-mail, korzystając z bezpiecznych sieci bezprzewodowych i zdając sobie sprawę z nietypowej aktywności na urządzeniach.
jak organizacje mogą chronić się przed zagrożeniami mobilnymi
chociaż zespoły IT i bezpieczeństwa są w dużej mierze odpowiedzialne za ochronę danych firmy, pracowników i klientów, użytkownicy końcowi mogą również wiele zrobić, aby zabezpieczyć swoje urządzenia. Przyjrzyjmy się, jak każda grupa może poprawić bezpieczeństwo w pracy i w domu.
co może zrobić IT i bezpieczeństwo
więcej niż kiedykolwiek wcześniej pracownicy pracują zdalnie z różnych lokalizacji i na różnych urządzeniach. Jednak tylko 13% organizacji stosuje cztery podstawowe zabezpieczenia: szyfrowanie danych, niezbędny dostęp, brak domyślnych haseł i regularne testowanie zabezpieczeń. Co więcej, prawie 50% organizacji nie stosuje Zasad dopuszczalnego użytkowania, które są niezbędne do walki z zagrożeniami bezpieczeństwa danych mobilnych i wyznaczają standardy zachowania pracowników na urządzeniach i w sieciach.
zespoły IT mogą skorzystać, wdrażając zarządzanie urządzeniami mobilnymi, wdrażając narzędzia takie jak MFA i jednokrotne logowanie (rezygnując z uwierzytelniania SMS) oraz przyjmując podejście zerowego zaufania do bezpieczeństwa w swoich organizacjach. Powinni również zapewnić regularne szkolenia dla pracowników, aby upewnić się, że bezpieczeństwo jest zawsze na pierwszym miejscu i doradzać wszystkim o najnowszych, najważniejszych zagrożeniach, z którymi mogą się codziennie zmierzyć.
co mogą zrobić osoby prywatne
pracownicy mogą również zapobiegać atakom na urządzenia mobilne, upewniając się, że dobrze rozumieją typowe zagrożenia. Nie tylko powinni wiedzieć, czym są-ale powinni także być w stanie rozpoznać znaki wskazujące, że dokonano próby ataku.
oprócz przestrzegania zasad określonych przez swoją organizację, pracownicy mogą wziąć bezpieczeństwo w swoje ręce, wdrażając bezpieczne praktyki dotyczące haseł i umożliwiając silniejsze narzędzia uwierzytelniania (takie jak MFA i biometria) na swoich urządzeniach. Mogą również zapewnić bezpieczeństwo sieci domowych i unikać korzystania z bezpłatnych sieci WiFi podczas pracy zdalnej.
co dalej z zabezpieczeniami urządzeń mobilnych?
aby chronić swoich pracowników i dane firmy, ważne jest, aby organizacje były na bieżąco z zagrożeniami związanymi z bezpieczeństwem urządzeń mobilnych—zwłaszcza, że świat staje się coraz bardziej odległy.
oto kilka trendów, o których warto pamiętać:
- Dynamic work to model, który daje pracownikom swobodę i elastyczność pracy z dowolnego miejsca i wymaga wysoce bezpiecznego, zintegrowanego stosu IT. Bezpieczeństwo urządzeń mobilnych ma kluczowe znaczenie, aby pracownicy mogli efektywnie i bezpiecznie współpracować-w dowolnym czasie, z dowolnego miejsca, na dowolnym urządzeniu.
- wprowadzaj własne urządzenia zasady są już od dawna, ale są jeszcze ważniejsze w naszych obecnych środowiskach pracy. Organizacje muszą zapewnić pracownikom możliwość pracy na dowolnym urządzeniu, co sprawia, że narzędzia takie jak MFA i podejście do bezpieczeństwa bez zaufania są absolutnie kluczowe.
- Internet rzeczy szybko rośnie, ponieważ coraz więcej osób polega na podłączonych urządzeniach w pracy iw domu (np. inteligentnych lodówkach i asystentach głosowych). Wiedza o tym, czym są te urządzenia i jak mogą zmienić krajobraz bezpieczeństwa, jest kluczem do zapobiegania nieautoryzowanemu dostępowi do informacji i sieci.
otrzymywanie informacji o najnowszych atakach na urządzenia mobilne jest pierwszym krokiem do zwiększenia bezpieczeństwa pracowników. Aby uzyskać więcej informacji na temat zabezpieczeń urządzeń mobilnych oraz porady, jak zabezpieczyć dane firmy i pracowników, zapoznaj się z następującymi zasobami:
- bezpieczeństwo urządzeń mobilnych: 4 wyzwania do pokonania (post na blogu)
- jak BYOD wpływa na bezpieczeństwo urządzeń (post na blogu)
- Jak zabezpieczyć urządzenia pracowników za pomocą Okta (post na blogu)
- Okta Device Trust: Wykorzystaj w pełni integrację zarządzania tożsamością i punktami końcowymi (post na blogu)
- Zestaw Narzędzi bezpiecznej pracy zdalnej (Ebook)