প্রধান টেকওয়ে
- দুটি সাম্প্রতিক প্রতিবেদনে তুলে ধরা হয়েছে যে আক্রমণকারীরা ক্রমবর্ধমান নিরাপত্তা শৃঙ্খলে সবচেয়ে দুর্বল লিঙ্ক অনুসরণ করছে: মানুষ।
- বিশেষজ্ঞরা বিশ্বাস করেন যে শিল্পের এমন প্রক্রিয়া চালু করা উচিত যাতে লোকেরা নিরাপত্তার সর্বোত্তম অনুশীলনগুলি মেনে চলে।
-
যথাযথ প্রশিক্ষণ ডিভাইসের মালিকদের আক্রমণকারীদের বিরুদ্ধে শক্তিশালী ডিফেন্ডারে পরিণত করতে পারে।
অনেক লোক তাদের স্মার্টফোনে সংবেদনশীল তথ্যের পরিমাণ উপলব্ধি করতে ব্যর্থ হন এবং বিশ্বাস করেন যে এই পোর্টেবল ডিভাইসগুলি পিসি থেকে স্বভাবতই বেশি সুরক্ষিত, সাম্প্রতিক রিপোর্ট অনুযায়ী৷
স্মার্টফোনে জর্জরিত শীর্ষস্থানীয় সমস্যাগুলির তালিকা করার সময়, জিম্পেরিয়াম এবং সাইবল উভয়ের রিপোর্টগুলি ইঙ্গিত করে যে মালিক যদি কোনও ডিভাইস সুরক্ষিত করার জন্য পদক্ষেপ না নেয় তবে আক্রমণকারীদের সাথে আপোস করা থেকে বিরত রাখতে বিল্ট-ইন নিরাপত্তা যথেষ্ট নয়৷
"প্রধান চ্যালেঞ্জ, আমি দেখতে পাই, ব্যবহারকারীরা তাদের নিজের ব্যক্তিগত জীবনের সাথে এই নিরাপত্তার সর্বোত্তম অনুশীলনের একটি ব্যক্তিগত সংযোগ তৈরি করতে ব্যর্থ হয়," সেফব্রীচের CISO আভিশাই আভিভি, লাইফওয়্যারকে ইমেলের মাধ্যমে বলেছেন। "তাদের ডিভাইসগুলিকে সুরক্ষিত করতে তাদের ব্যক্তিগত অংশীদারিত্ব রয়েছে তা না বুঝে, এটি একটি সমস্যা হতে থাকবে৷"
মোবাইল হুমকি
নাসের ফাত্তাহ, শেয়ার্ড অ্যাসেসমেন্ট-এর উত্তর আমেরিকা স্টিয়ারিং কমিটির চেয়ার, লাইফওয়্যারকে ইমেলের মাধ্যমে বলেছেন যে আক্রমণকারীরা স্মার্টফোনের পিছনে থাকে কারণ তারা একটি খুব বড় আক্রমণের পৃষ্ঠ প্রদান করে এবং এসএমএস ফিশিং বা স্মিশিং সহ অনন্য আক্রমণ ভেক্টর সরবরাহ করে।
এছাড়াও, নিয়মিত ডিভাইসের মালিকদের টার্গেট করা হয় কারণ তারা ম্যানিপুলেট করা সহজ।সফ্টওয়্যারকে আপস করার জন্য, কোডে একটি অজানা বা অমীমাংসিত ত্রুটি থাকা দরকার, তবে ক্লিক-এন্ড-বেট সোশ্যাল ইঞ্জিনিয়ারিং কৌশলগুলি চিরসবুজ, ক্রিস গোয়েটল, ইভান্তির প্রোডাক্ট ম্যানেজমেন্টের ভিপি, ইমেলের মাধ্যমে লাইফওয়্যারকে বলেছেন৷
তাদের ডিভাইসগুলিকে সুরক্ষিত করতে তাদের ব্যক্তিগত অংশীদারিত্ব রয়েছে তা না বুঝে, এটি একটি সমস্যা হতে থাকবে৷
জিম্পেরিয়াম রিপোর্টে উল্লেখ করা হয়েছে যে অর্ধেকেরও কম (42%) লোক তাদের প্রকাশের দুই দিনের মধ্যে উচ্চ-অগ্রাধিকার সংশোধনগুলি প্রয়োগ করেছে, 28% এক সপ্তাহ পর্যন্ত প্রয়োজন, যেখানে 20% এর জন্য দুই সপ্তাহের বেশি সময় লাগে তাদের স্মার্টফোন প্যাচ করুন।
"শেষ ব্যবহারকারীরা, সাধারণভাবে, আপডেটগুলি পছন্দ করেন না। তারা প্রায়ই তাদের কাজ (বা খেলার) কার্যকলাপে ব্যাঘাত ঘটাতে পারে, তাদের ডিভাইসে আচরণ পরিবর্তন করতে পারে এবং এমনকি এমন সমস্যার কারণ হতে পারে যা দীর্ঘস্থায়ী অসুবিধার কারণ হতে পারে, " Goettl বলেছেন.
সাইবল রিপোর্টে একটি নতুন মোবাইল ট্রোজান উল্লেখ করা হয়েছে যা টু-ফ্যাক্টর অথেনটিকেশন (2FA) কোড চুরি করে এবং একটি নকল McAfee অ্যাপের মাধ্যমে ছড়িয়ে পড়ে।গবেষকরা অনুমান করেন যে দূষিত অ্যাপটি Google Play Store ব্যতীত অন্য উত্সের মাধ্যমে বিতরণ করা হয়, যা এমন কিছু যা লোকেদের কখনই ব্যবহার করা উচিত নয় এবং অনেক বেশি অনুমতি চায়, যা কখনই দেওয়া উচিত নয়৷
পিট চেস্টনা, চেকমার্কে উত্তর আমেরিকার CISO, বিশ্বাস করেন যে আমরাই নিরাপত্তার ক্ষেত্রে সর্বদা দুর্বলতম লিঙ্ক হব। তিনি বিশ্বাস করেন যে ডিভাইস এবং অ্যাপগুলিকে নিজেদের রক্ষা করতে এবং নিরাময় করতে হবে বা অন্যথায় ক্ষতির জন্য স্থিতিস্থাপক হতে হবে কারণ বেশিরভাগ লোককে বিরক্ত করা যায় না। তার অভিজ্ঞতায়, লোকেরা পাসওয়ার্ডের মতো জিনিসগুলির জন্য নিরাপত্তার সর্বোত্তম অনুশীলন সম্পর্কে সচেতন কিন্তু সেগুলি উপেক্ষা করা বেছে নেয়৷
"ব্যবহারকারীরা নিরাপত্তার উপর ভিত্তি করে কিনবেন না। তারা নিরাপত্তার উপর ভিত্তি করে [এটি] ব্যবহার করেন না। ব্যক্তিগতভাবে তাদের সাথে খারাপ কিছু না হওয়া পর্যন্ত তারা অবশ্যই নিরাপত্তার কথা ভাবেন না। এমনকি একটি নেতিবাচক ঘটনার পরেও, তাদের স্মৃতি ছোট," চেস্টনা দেখেছে।
ডিভাইস মালিকরা মিত্র হতে পারে
Verifiably এর প্রতিষ্ঠাতা অতুল পেয়াপিলি এটিকে ভিন্ন দৃষ্টিকোণ থেকে দেখেন।প্রতিবেদনগুলি পড়া তাকে প্রায়শই রিপোর্ট করা AWS নিরাপত্তা ঘটনাগুলির কথা মনে করিয়ে দেয়, তিনি লাইফওয়্যারকে ইমেলে বলেছিলেন। এই দৃষ্টান্তগুলিতে, AWS ডিজাইন হিসাবে কাজ করছিল, এবং লঙ্ঘনগুলি আসলে প্ল্যাটফর্ম ব্যবহার করে লোকেদের দ্বারা সেট করা খারাপ অনুমতিগুলির ফলাফল ছিল। অবশেষে, AWS কনফিগারেশনের অভিজ্ঞতা পরিবর্তন করেছে যাতে লোকেদের সঠিক অনুমতি নির্ধারণ করতে সাহায্য করে।
এটি ডিসপারসিভ নেটওয়ার্কের সিইও রাজীব পিমপ্লাসকারের সাথে অনুরণিত। "ব্যবহারকারীরা পছন্দ, সুবিধা এবং উত্পাদনশীলতার উপর দৃষ্টি নিবদ্ধ করে, এবং ব্যবহারকারীর অভিজ্ঞতার সাথে আপস না করে, শিক্ষিত করার পাশাপাশি পরম নিরাপত্তার পরিবেশ তৈরি করা সাইবার নিরাপত্তা শিল্পের দায়িত্ব।"
শিল্পের বোঝা উচিত যে আমাদের মধ্যে বেশিরভাগই নিরাপত্তার মানুষ নন, এবং আমরা একটি আপডেট ইনস্টল করতে ব্যর্থ হওয়ার তাত্ত্বিক ঝুঁকি এবং প্রভাবগুলি বুঝতে পারব বলে আশা করা যায় না, চেকমার্কের নিরাপত্তা গবেষণার ভিপি এরেজ ইয়ালন বিশ্বাস করেন. "ব্যবহারকারীরা যদি খুব সাধারণ পাসওয়ার্ড জমা দিতে পারে, তবে তারা তা করবে।যদি সফ্টওয়্যার ব্যবহার করা যায় যদিও এটি আপডেট করা হয়নি, তবে এটি ব্যবহার করা হবে, " ইয়ালন ইমেলের মাধ্যমে লাইফওয়্যারের সাথে শেয়ার করেছেন৷
Goettl এটি তৈরি করে এবং বিশ্বাস করে যে একটি কার্যকর কৌশল হতে পারে অ-সম্মতিযুক্ত ডিভাইসগুলি থেকে অ্যাক্সেস সীমাবদ্ধ করা। উদাহরণস্বরূপ, একটি জেলব্রোকেন ডিভাইস, অথবা যেটির একটি পরিচিত খারাপ অ্যাপ্লিকেশন রয়েছে, বা OS এর একটি সংস্করণ চলছে যা প্রকাশ করা হয়েছে বলে জানা যায়, মালিক নিরাপত্তা ত্রুটি সংশোধন না করা পর্যন্ত অ্যাক্সেস সীমাবদ্ধ করতে ট্রিগার হিসাবে ব্যবহার করা যেতে পারে৷
আভিভি বিশ্বাস করে যে ডিভাইস বিক্রেতারা এবং সফ্টওয়্যার বিকাশকারীরা ব্যবহারকারীর শেষ পর্যন্ত কী সংস্পর্শে আসবে তা কমাতে সাহায্য করার জন্য অনেক কিছু করতে পারে, সেখানে কখনই সিলভার বুলেট বা এমন কোনও প্রযুক্তি থাকবে না যা সত্যিই ওয়েটওয়্যার প্রতিস্থাপন করতে পারে।
"যে ব্যক্তি ক্ষতিকারক লিঙ্কে ক্লিক করতে পারে যা এটি সমস্ত স্বয়ংক্রিয় নিরাপত্তা নিয়ন্ত্রণ অতিক্রম করেছে সেই একই ব্যক্তি এটি রিপোর্ট করতে পারে এবং একটি শূন্য-দিন বা প্রযুক্তির অন্ধ স্থান দ্বারা প্রভাবিত হওয়া এড়াতে পারে," আভিভি বলেছেন.
