آزمایشگاه تخصصی آپا دانشگاه فردوسی مشهد::FUM CERT Lab. (Computer Emergency Response Team)

5 تهدید امنیتی تلفن همراه که باید در سال 2018 جدی بگیرید

عنوان5 تهدید امنیتی تلفن همراه که باید در سال 2018 جدی بگیرید
گروه اصلیOther
شرح خبر

این روزها امنیت تلفن همراه یکی از بزرگ‌ترین نگرانی‌های هر شرکتی می‌باشد و دلیل خوبی برای این مسأله وجود دارد: تقریباً تمام کارکنان با استفاده از تلفن‌های هوشمند خود به داده‌های شرکت دسترسی دارند و این به این معناست که دور نگه داشتن اطلاعات حساس، از افراد اشتباه، به یک معمای بسیار پیچیده تبدیل شده است. بر اساس گزارش منتشر شده توسط Ponemon Institute در سال 2016، هزینه متوسط نقض داده‌های شرکتی به صورت روزانه 21.155 دلار می‌باشد.

در حالی که تمرکز بر روی موضوع حساس بدافزارها ساده است، حقیقت این است که در دنیای واقعی، نفوذ به‌واسطه بدافزارهای تلفن همراه بسیار غیرمتداول است. بر مبنای یک تخمین، احتمال آلودگی شما به مراتب کمتر از احتمال برق گرفتگی توسط رعد و برق است. این مسأله به لطف ماهیت بدافزارهای تلفن همراه و حفاظت ذاتی تعبیه‌شده درون سیستم‎عامل‌های تلفن همراه است.

انتظار می‌رود مخاطرات امنیت موبایل، که در برخی حوزه‌ها به سادگی نادیده گرفته می‌شوند، در سال آینده به‌شدت افزایش یابد:

1.      نشت داده‌ها

با ورود به سال 2018، مشاهده می‌شود که نشت داده، به یکی از نگران‌کننده ترین تهدیدات برای امنیت شرکت‌ها تبدیل شود. آن‌چه این معضل را حادتر می‌کند، این است که این معضل غالباً ماهیت بدی ندارد؛ در عوض، این کاربران هستند که با تصمیمات اشتباه خود، در رابطه با اینکه چه برنامه‌هایی قادر به مشاهده و انتقال اطلاعاتشان باشند، باعث بدتر شدن این معضل می‌شوند.

به گفته Dionisio Zumerle، مدیر تحقیقات امنیت موبایل در گارتنر، «چالش اصلی چگونگی پیاده‌سازی فرآیند بررسی برنامه است، به‌گونه‌ای که مدیر را سرکوب نکرده و کاربران را مختل نکند.» وی پیشنهاد داد از راه‌حل‌های محافظت در برابر تهدیدات موبایل (MTD) استفاده شود. محصولاتی مانند Symantec's Endpoint Protection Mobile، CheckPoint's SandBlast Mobile، و Zimperium's zIPS Protection. وی ادامه داد، «چنین ابزارهایی برنامه‌ها را برای «رفتار نشت‌کننده» پویش می‌کنند و می‌توانند مسدود کردن فرآیندهای مشکل‌ساز را به‌صورت خودکار انجام دهند.»

البته، حتی این روش نیز همیشه نمی‌تواند نشتی‌هایی که ناشی از خطای کاربر است را پوشش دهد. چیزی به سادگی انتقال فایل‌های شرکت روی یک خدمت عمومی ذخیره‌سازی ابر، الحاق اعتبارات در یک مکان اشتباه، یا فوروارد کردن ایمیل به یک فرستنده ناخواسته. این چالشی است که صنعت مراقبت بهداشت در حال حاضر تلاش دارد بر آن غلبه کند: به گفته فراهم‌آورنده بیمه متخصصان، با نام Beazley، «افشای ناخواسته» مسئول 41 درصد از نقض‌های داده گزارش شده توسط سازمان‌های مراقبت بهداشت است، که در 3 فصل اول سال 2017 گزارش شده است. بیش از دو برابر بالاترین علت بعدی.

برای این نوع نشت، ابزارهای جلوگیری از اتلاف داده (DLP) ممکن است مؤثرترین نوع حفاظت باشند. چنین ابزارهایی طراحی شدند تا از فاش شدن اطلاعات حساس، از جمله در سناریوهای تصادفی جلوگیری کنند.

2.      مهندسی اجتماعی

تاکتیک سعی و خطا همان اندازه بر روی تلفن‌های همراه مشکل‌ساز است که بر روی دسکتاپ‌ها. علی‌رغم سهولت مهندسی اجتماعی، که این تفکر را به ‌وجود می‌آورد که می‌توان از معایب آن چشم‌پوشی کرد، اما همچنان به‌طور شگفت‌آوری مؤثر است.

بر مبنای گزارش Data Breach Investigations Report، در سال 2017، 90 درصد نقض داده‌ها که توسط Verizon's Enterprise Solutions مشاهده شده، در اثر فیشینگ می‌باشد. به گفته Verizon's Enterprise Solutions، تنها 7 درصد کاربران در تلاش‌های فیشینگ با شکست مواجه می‌شوند، اما سایرین آنقدر تلاش می‌کنند تا سرانجام موفق شوند: طبق تخمین شرکت، در یک سازمان نوعی، 15 درصد کاربرانی که حداقل یک بار مورد حملات فیشینگ موفق قرار گرفته‌اند، حداقل یک بار دیگر در همان سال با چنین حمله‌ای مواجه می‌شوند.

علاوه بر این، تعداد زیادی از محققان بر این باورند که کاربران دستگاه‌های موبایل، در مقایسه با کاربران دسکتاپ‌ها، در مقابل حملات فیشینگ آسیب‌پذیرتر هستند. بر مبنای مطالعات IBM، تقریباً 3 برابر بیشتر، بخشی از آن می‌تواند به این دلیل باشد که احتمالاً افراد ابتدا یک پیام را بر روی تلفن همراه خود مشاهده می‌کنند. به گفته John "Lex" Robinson، متخصص استراتژی‌های ضدفیشینگ و امنیت اطلاعات در PhishMe ، شرکتی که با استفاده از شبیه‌سازی‌های دنیای واقعی به کارکنان در شناسایی و پاسخ به تلاش‌های فیشینگ آموزش می‌دهد، «ما شاهد پیشرفت کلی در حساسیت تلفن‌های همراه هستیم، که در اثر افزایش سراسری محاسبات موبایل و رشد مستمر محیط‌های کاری BYOD ایجاد می‌شود.»

Robinson یادآور می‌شود که مرز بین محاسبات کاری و شخصی به‌مرور شفاف‌تر خواهد شد. وی اشاره کرد، کارکنان بیشتری به‌طور همزمان در حال مشاهده چندین صندوق ورودی بر روی یک تلفن هوشمند هستند – متصل به ترکیبی از حساب‌های کاربری شخصی و کاری – و تقریباً همه آن‌ها در طول روز به نوعی کارهای شخصی برخط خود را انجام می‌دهند. در نتیجه، تصور دریافت یک رایانامه ظاهراً شخصی در کنار پیام‌های مربوط به کار، به‌هیچ وجه غیر معمول به نظر نمی‌رسد، حتی اگر در واقعیت یک فریب باشد.

3.      تداخل Wi-Fi

امنیت یک دستگاه تلفن همراه به اندازه امنیت شبکه‌ای است که از طریق آن داده‌هایش را انتقال می‌دهد. در عصری که همه ما دائماً به شبکه‌های Wi-Fi عمومی متصل می‌شویم، اطلاعات اغلب به اندازه‌ای که ما تصور می‌کنیم امنیت ندارند.

این نگرانی چقدر اهمیت دارد؟ بر مبنای تحقیق جدیدی که این هفته توسط شرکت امنیتی Wandera منتشر شده، دستگاه‌های تلفن همراه شرکت‌ها تقریباً سه برابر استفاده از داده‌های سلولی، از Wi-Fi استفاده می‌کنند. تقریباً 4/1 دستگاه‌ها به شبکه‌های Wi-Fi باز و به‌طور بالقوه ناامن متصل می‌شوند، و در ماه جاری، 4 درصد دستگاه‌ها با حمله مردی در میانه - که در آن یک نفر با اهداف خرابکارانه ارتباط میان دو نفر را قطع می‌کند - مواجه می‌شوند.

به گفته Kevin Du، استاد علوم کامپیوتر در دانشگاه Syracuse University، که در حوزه امنیت تلفن‌های هوشمند تخصص دارد، «این روزها رمزنگاری ترافیک کار دشواری نیست. چنانچه شما VPN ندارید، درهای زیادی را پیرامون خود باز می‌گذارید.»

اگرچه، انتخاب VPN دارای کلاس تجاری مناسب، کار راحتی نیست. مشابه اکثر ملاحظات امنیتی، همیشه حفظ توازن ضروری است. به گفته Zumerle، مدیر تحقیقات امنیت موبایل در گارتنر، «تحویل VPNها باید با دستگاه‌های تلفن همراه، هوشمندانه‌تر باشد، چرا که کاهش مصرف منابع – به‌ویژه باتری – حائز اهمیت است». وی افزود: یک VPN کارآمد بایستی بداند فقط در زمان‌های کاملاً ضروری فعال شود، نه مثلاً زمانی که کاربر به یک سایت خبری دسترسی پیدا می‌کند یا زمانی که کاربر در حال کار با یک برنامه قابل اعتماد و ایمن است.

 

4.      دستگاه‌های تاریخ‌گذشته

تلفن‌های هوشمند، تبلت‌ها و دستگاه‌های متصل کوچک‌تر – که عموماً با عنوان اینترنت اشیا (IOT) شناخته می‌شوند – خطر جدیدی برای امنیت سازمان‌ها ایجاد می‌کنند، چرا که بر خلاف دستگاه‌های سنتی، عموماً تضمینی برای به‌روزرسانی‌های مستمر و به‌هنگام ندارند. این مسأله به‌ویژه برای دستگاه‌های اندرویدی صادق است، چرا که اکثر تولیدکنندگان به‌طور شرم‌آوری در به‌روز نگه داشتن محصولاتشان ناکارآمد هستند – هم در به‌روزرسانی‌های سیستم‌عامل و هم وصله‌های امنیتی کوچک‌تری که ماهانه ارائه می‌شود. همچنین در مورد دستگاه‌های اینترنت اشیاء، بسیاری از آن‌ها به‌گونه‌ای طراحی شدند که اصلا قابلیت به‌روزرسانی ندارند.

به گفته Du، «بسیاری از آن‌ها حتی مکانیزم وصله تعبیه‌شده ندارند، و این مسأله روز‌ به‌ روز به تهدید بزرگ‌تری تبدیل می‌شود.»

یک سیاست قوی کفایت می‌کند. دستگاه‌های اندرویدی وجود دارند که به‌روزرسانی‌های قابل اعتماد و به‌هنگام را به‌صورت مستمر دریافت می‌کنند. تا زمانی که چشم‌انداز اینترنت اشیاء دارای قوانین درستی نباشد، با شکست مواجه می‌شود، مگر اینکه شرکت‌ها شبکه امنیتی خود را پیرامون آن ایجاد کنند.

5.      نقض‌های دستگاه فیزیکی

آخرین مورد، که البته نباید کم‌اهمیت قلمداد شود، ظاهراً احمقانه به‌نظر می‌رسد، اما یک تهدید واقعا مخرب است: یک دستگاه گم‌شده یا مراقبت‌نشده، می‌تواند یک خطر امنیتی بزرگ باشد، به‌خصوص اگر یک پین یا کلمه عبور قوی نداشته باشد یا داده‌های آن کاملا رمزنگاری نشده باشد.  

آن‌چه در ادامه آمده در نظر بگیرید: در یک مطالعه انجام‌شده توسط Ponemon Institute در سال 2016، 35 درصد از متخصصان نشان دادند که دستگاه‌های کاری آن‌ها هیچ معیار مجازی برای ایمن‌سازی داده‌های شرکتیِ در دسترس ندارد. از این بدتر، تقریباً نیمی از افرادی که مورد مطالعه قرار گرفتند، عنوان کردند که برای حفاظت از امنیت دستگاه‌هایشان هیچ پین، کلمه عبور یا بیومتریکی ندارند و تقریباً 3/2 آن‌ها گفتند از رمزنگاری استفاده نکرده‌اند. 68 درصد شرکت‌کنندگان عنوان کردند که گاهی کلمات عبور را میان حساب‌های کاری و شخصی خود که از طریق دستگاه موبایل به آن‌ها دسترسی دارند، به اشتراک می‌گذارند.

اصل پیام ساده است: سپردن مسوولیت به کاربران کافی نیست. با فرضیات ادامه ندهید، سیاست‌گذاری کنید. بعدها از خود تشکر خواهید کرد.

آدرس اینترنتی خبرhttps://www.csoonline.com/article/3241727/mobile-security/5-mobile-security-threats-you-should-take-seriously-in-2018.html
تاریخ درج خبر1396-10-09
صفحه اصلی | تماس با ما | معرفی آزمایشگاه | ورود
©2018 Ferdowsi University Of Mashhad
مرکز آپا | آپا | آپا چیست