Ключевые проблемы безопасности мобильных устройств: подробное руководство для занятых технических лидеров
Согласно недавнему исследованию исследовательского подразделения ведущей компании по кибербезопасности, в 2017 году более 16 миллионов человек сообщили об угрозах со стороны вредоносных программ. Ко второму кварталу 2018 года они обнаружили около 2,5 миллионов новых мобильных вредоносных программ. Угрозы безопасности мобильных устройств нацелены не только на смартфоны, но и на другие портативные цифровые устройства, включая ноутбуки, носимые устройства и КПК (персональные цифровые помощники), которые могут подключаться к общедоступным сетям.
Это подводит нас к еще одной реальной угрозе — утечке корпоративных данных. В 2018 году утечка корпоративных данных обошлась глобальным корпорациям в 3,86 миллиона долларов. Стоимость нарушений безопасности мобильных данных растет с каждым годом. Однако это лишь верхушка айсберга. Вот руководство для технических лидеров, чтобы понять эти угрозы и убедиться, что они позволяют своим организациям обеспечивать безопасность мобильных данных в 2019 году.
Утечка данных из-за ошибок конечного пользователя
В этом году перед всеми мобильными пользователями стоят новые задачи. Вероятность утечки данных ведущих компаний в 2019 и 2020 годах составляет около 28%. Чтобы отбросить примечательный факт, утечка данных часто является результатом неосмотрительности пользователя, а не атак вредоносных программ. Пользователь несет ответственность за предоставление определенным приложениям из ненадежных источников доступа к своей личной информации, а также к корпоративным данным на своих устройствах. Одним из возможных решений является установка решений для защиты от мобильных угроз, которые могут быстро и беспрепятственно проверять мобильные приложения для всех мобильных устройств. Однако это не предотвратит потерю данных из баз данных компании в случае ошибки пользователя.
Простая передача данных из защищенной базы данных в общедоступное облако или отправка электронных писем, содержащих данные компании, не тому получателю может привести к утечке важных данных. Единственный способ защитить данные от таких утечек — использовать инструменты предотвращения потери данных (DLP).
Публичный Wi-Fi и атаки «человек посередине»
Мы все виновны в использовании общедоступных сетей Wi-Fi в аэропорту и кафе. Обычно мы считаем сеть в нашем любимом Starbucks и общественных местах безопасной, но это бывает редко. Согласно недавнему исследованию, корпоративные мобильные телефоны подключаются к Wi-Fi в три раза чаще, чем используют мобильные данные. Исследования также показывают, что из всех мобильных телефонов, изученных экспертами, по крайней мере 25 процентов подключены к открытым и потенциально незащищенным сетям, а 4 процента из них действительно подвергались атакам «человек посередине». «Человек посередине» — это форма ручного и преднамеренного нападения, когда человек перехватывает связь между двумя или более сторонами. Это может сделать вашу электронную почту, мессенджер и даже ваши SMS-разговоры широко открытыми для злоумышленников.
По словам экспертов по безопасности, люди редко защищают свою конфиденциальность перед подключением к сети через общедоступный Wi-Fi. Если у вас нет надежного VPN-сервиса, неразумно использовать общедоступный Wi-Fi для отправки официальных электронных писем или корпоративных данных. Киберпреступники могут легко перехватывать конфиденциальную информацию, включая банковские реквизиты ваших клиентов, данные кредитной или дебетовой карты или номер социального страхования. Даже такое простое действие, как доступ к новостному веб-сайту, может быть небезопасным, если вы используете общедоступный Wi-Fi. Некоторые веб-сайты не имеют SSL-сертификата или используют шифрование только на странице входа. Когда вы используете общедоступный Wi-Fi, для которого не требуется пароль WPA или WPA2, хакеры в той же сети могут видеть все, что вы видите и отправляете. Загружаемые хакерские инструменты оставляют ваши учетные данные и другую личную информацию незащищенными из-за отсутствия шифрования.
Фишинговые атаки социальной инженерии
Удивительный 91 процент всех киберпреступлений начинается с, казалось бы, безвредного электронного письма, которое каждая фирма, занимающаяся безопасностью программного обеспечения, называет «атакой без вредоносного ПО». Когда-то социальная инженерия была доступна только пользователям настольных компьютеров, но развивающаяся технология распространила угрозу и на пользователей смартфонов. Хотя это метод из школьных учебников, который многие люди считают неэффективным, он хорошо работает для киберпреступников.
Отправители этих электронных писем выдают себя за подлинные контакты получателя, чтобы получить доступ к его банковским реквизитам и другим конфиденциальным личным данным. В 2017 году количество фишинговых атак выросло на 65 процентов. Исследования показывают, что мобильные пользователи более уязвимы для фишинговых атак, поскольку большинство почтовых клиентов на мобильных устройствах показывают только имя отправителя, а не весь его адрес электронной почты. Олицетворение может включать в себя отправку электронных писем с адреса, который немного отличается от адреса друга, члена семьи или знакомого получателя.
Пользователи мобильных устройств примерно в три раза чаще отвечают на фишинговые электронные письма, чем пользователи настольных компьютеров. Использование одного и того же устройства для доступа к нескольким адресам электронной почты увеличивает вероятность того, что человек примет поддельное электронное письмо за подлинное. Поскольку границы между личными и профессиональными вычислениями продолжают стираться, случаи социальной инженерии продолжают расти. Если человек тщательно не проверит учетные данные отправителя, ему или ей почти невозможно предотвратить фишинговые атаки.
Атаки криптоджекинга
Криптомайнинг стал причиной 33% всех угроз безопасности мобильных устройств в 2018 году, а криптоджекинг — новый участник длинного списка угроз безопасности для мобильных устройств. В нем участвует человек, использующий мобильное устройство без ведома владельца для добычи криптовалюты. Это метод использования чьего-либо устройства без разрешения или разрешения для чьей-либо прибыли. Телефоны, которые подвергаются атакам криптоджекинга, обычно имеют низкое время автономной работы и проблемы с перегревом. Криптоджекинг на настольных компьютерах начался в начале 2017 года, но к 2018 году он переместился на мобильные устройства. В период с октября по ноябрь 2017 года количество атак на безопасность мобильных устройств установило новые рекорды, когда они выросли на 287 процентов.
Эти атаки значительно снизились после того, как Apple App Store и Google Play Store заблокировали все подозрительные приложения к середине 2018 года. Однако некоторые атаки все еще происходят через мобильные веб-сайты и сторонние неофициальные приложения.
Устаревшие мобильные устройства и программное обеспечение
Можно с уверенностью сказать, что в мире, где доминирует Интернет вещей (IoT), вам необходимо поддерживать все свои КПК в отличной форме. Это включает в себя регулярные обновления прошивки и программного обеспечения. Экосистема IoT объединяет мобильные телефоны, планшеты, смарт-телевизоры, смарт-колонки, ноутбуки и настольные компьютеры. Это создает прекрасную возможность для хакеров взглянуть на вашу смесь личных данных. Особенно это касается всех Android-устройств. Они всегда немного запаздывают со своими обновлениями. Иногда обновления ОС выходят за несколько месяцев до окончательных исправлений безопасности, оставляя злоумышленникам зияющую дыру в доступе к личным и конфиденциальным данным пользователя. Ожидается, что в связи с ростом числа устройств IoT, связанных с работой, стоимость утечки данных резко возрастет в 2019 году.
Недавнее спонсируемое исследование показало, что 82% участвовавших в нем ИТ-специалистов были обеспокоены неминуемой утечкой данных из-за незащищенных устройств IoT на их рабочем месте. На данный момент от компании или корпорации зависит создание надежных политик безопасности в отношении устройств IoT на рабочем месте и мобильной передачи данных для обеспечения безопасности их данных.
Физические нарушения безопасности мобильных устройств
Они часто подрываются большинством фирм, занимающихся безопасностью, и мобильными пользователями, но взлом физических устройств представляет собой реальную угрозу в случае, если кто-то потеряет свои смартфоны или КПК. Почти 50% пользователей мобильных устройств не используют PIN-код или биометрическую защиту для защиты своих личных или рабочих данных. Многие мобильные пользователи также обмениваются паролями и PIN-кодами через системы обмена сообщениями и электронную почту. Это делает их особенно уязвимыми для физических нарушений в случае кражи или потери.
Основы мобильной безопасности
В конце концов, использование новейших моделей смартфонов или ноутбуков недостаточно для защиты данных. Вы должны взять на себя ответственность за безопасность информации ваших бизнес-пользователей и безопасность их устройств. Если вы не хотите инвестировать в службу VPN, не входите в свой банковский счет, финансовый веб-сайт, онлайн-бизнес, учетные записи электронной почты и т. д. при использовании общедоступного Wi-Fi или открытой сети. Легко делать предположения о безопасности мобильных устройств, но хакерам легче завладеть мобильными данными в эпоху развития технологий.