カジノサイト
モバイル デバイスのセキュリティ意識を高める必要性の評価
モバイル デバイスの安全性とセキュリティを優先することは、あらゆる規模と分野の組織にとって最優先事項です。従業員の半数以上 (55%) がアンケートに参加しました単独で認められている夏季に休暇先で勤務する場合。
さらに、25% はアクセス時にネットワーク接続が安全であるかどうかは気にしていないと回答しました会社データ;調査対象の従業員のうち、旅行時やリモート勤務時に VPN を使用したと回答したのはわずか 12% でした。これだけでも、個人データと企業データの両方が重大なリスクにさらされます。
その調査結果は、当面のより大きな問題の縮図です。モバイル デバイスの普及により、サイバー リスクは新たな高みまで増幅されており、今日のほとんどの人は、大きな影響を与える脆弱性をポケットに入れて歩き回っていますが、それに気づいていません。職場、コーヒーショップ、ジム、あるいは友人と夕食に出かけているときでも、携帯電話の電源が入っていてワイヤレス ネットワークを検索していれば、WiFi リポジトリ データベースで一連のクリックを行うだけで、正確な手順を追跡できます。これが大規模に複合化されることで、攻撃者は誰かの情報について点と点を結びつけることができるようになります。日課そして、彼らに危害を加える可能性のある個人を特定できる情報を明らかにします。
誰にでも起こり得ること
普通の生活を送っている一般市民にとって、モバイル デバイスのセキュリティがそれほど重要ではないのは当然です。「私は狙われるほど重要ではないですよね?」OK、もしかしたら、ハッカーが公衆 Wi-Fi ネットワークからデータを盗み出してクレジット カード情報を盗むまでは。あるいは、数週間前にインスタグラムでブロックしたストーカーが、あなたのお気に入りのランニングコースを見つけ出します。実際には、誰も自分が安全であると考えるべきではありません。そうではないからです。
また、政府機関や著名な民間部門の組織で働く人々にとって、脆弱なモバイル デバイスにより、従業員はランサムウェア、内部関係者による脅威、破壊活動の新たな被害者を狙う国民国家の攻撃者の標的に直接される可能性があります。私は 20 年以上、米国土安全保障省の元連邦職員として、何度も繰り返しプレイしてください。脆弱なモバイル セキュリティ衛生を利用して敵を継続的に追跡するミッションごとに 1 ドルを持っていたら、私は今では大金持ちになっているでしょう。
私たちは皆、デジタル化された生活の中でモバイル デバイスとワイヤレス ネットワークが果たす役割を受け入れる必要があります。デジタル変革が加速し続けるにつれて、今後数年間でさらに成長するでしょう。このため、組織が従業員に効果的なモバイル セキュリティの必要性を教育する重要性が高まっています。
二要素認証、強力なパスワード、暗号化、ウイルス対策ソフトウェアの使用などのベスト プラクティスに従うことは、すべてツールボックス内の重要なツールです。ただし、それは常に意識することから始めなければなりません。継続的な意識向上トレーニングを受ける従業員は次のとおりです。悪意のあるリンクに気づき、回避するため。モバイル デバイスに関連するリスクについて従業員を訓練するために協力して努力すれば、組織を保護するために適切な措置を講じる傾向がはるかに高まるでしょう。
有効モバイル デバイスのセキュリティでは、まず個人設定が必要です。静的で退屈な画一的なフレームワークでは、組織が今日必要としている集団的な賛同を育むことはできません。特にソーシャルメディア化された社会で育った従業員に対して成果をもたらすトレーニングを行うには、内容が理解しやすく、個人の興味に合わせて調整される必要があります。サイバー関連以外の背景を持つ従業員に高度な技術的なトレーニング コースの受講を強制することは、サイバー脅威の状況の複雑さをさらに悪化させるだけです。短いものを作成することを検討してください。s次のような人気テレビ番組のキャラクターをまねる継承またはオフィス。または、NFL チームとさまざまな脅威アクターの戦術、テクニック、手順を比較する、スポーツ関連のソーシャル エンジニアリング クイズを作成します。いずれにせよ、人々の情熱を活用することが、心に響く有意義なメッセージを届ける最良の方法です。
ゲームの (WiFi) 名
悪用可能な WiFi ネットワーク名は、攻撃者が潜在的な被害者を特定して監視するもう 1 つの脆弱性のターゲットです。ほとんどの人 (および組織) は、WiFi ネットワークに面白い名前やユニークな名前を付ける習慣があります。ただし、ユニークであることは望ましくありません。溶け込みたいのです。
政府機関などは、WiFi サービス セット識別子 (SSID)、つまり WiFi ネットワークに名前を付ける文字列に、それを使用する専門単位に対応するラベルを付けてはなりません。これにより、攻撃者は、そのユニットが操作をホストしている場所や機密データ ファイルを保持している場所の直接の場所を知ることができます。
より人間的なレベルで、世界的医療機器メーカーの架空の 54 歳 CEO であるジムが、たまたまニューヨーク ヤンキースの大ファンだとしましょう。同社の Web サイトにあるジムの経歴は次のように結ばれています。「プライベートでは、ジムは 3 人の子供の愛情深い父親であり、ニューヨーク ヤンキースの熱心なサポーターです。」10 億ドル規模の企業の顔を人間味のあるものにするために。彼の公開Facebookアカウントでは、日曜午後の球技大会でお気に入りのデレク・ジーターのジャージを着ている。組織に詳しい人なら誰でも、ジムが青白黒の血を流していることを知っています。ジムをターゲットにしたランサムウェア ギャングも含めてです。
そのギャングに雇われた脅迫者が、その後ジムの熱狂的なヤンキースファンを遠くから捕まえます。次に、データ侵害中に組織から盗まれた機密ファイルをスキャンすると、特に 1 つの WiFi ネットワーク名が残りのネットワーク名よりも際立ちます。ゴーヤンキース 1969。この脅威アクターは、54 歳のジムが 1969 年生まれであることを知っており、彼が熱狂的なヤンキースファンであることも知っています。点と点を結ぶことで、この俳優はジムの自宅住所、家族情報、信用履歴、位置データなどを明らかにしました。これらはすべて、高度な妨害行為や金銭的利益のために悪用される可能性があります。
こうした状況は毎日発生しており、ホーム ネットワーク経由であろうとモバイル ホットスポット経由であろうと、WiFi SSID が私生活のいかなるものにもリンクされるべきではないことを保証する重要性が高まっています。
たとえば、米国麻薬取締局 (DEA) はかつて私に、その施設の 1 つに行って、デジタル フォレンジックとダークウェブに関する専門能力開発クラスを主催するよう依頼しました。プレゼンテーションが始まって 1 時間後、私は 15 分間の休憩のためにクラスを一時停止しました。授業に参加している友人が休憩中に私のところに来てこう言いました、「先月シアトルに行ったんですよね?裁判所のすぐそばのマリオットに泊まっていたんですか?」
当時私は Verizon モバイル ホットスポットを使用していましたが、彼はホットスポットの VPN 名を知っていたため、友人は WiFi リポジトリを通じて私の位置履歴データを追跡することができました。もしそれが友人ではなく、悪意を持った人物だった場合、個人の「生活パターン」を決定する能力は、その人の身体の安全を脅かす可能性があります。
結論として、効果的なモバイル デバイス セキュリティのベスト プラクティスを推進することは、すべての組織の意識トレーニング ハンドブックの最優先事項である必要があります。モバイル テクノロジーを保護するための適切なプロセスとプロトコルを実装することで、セキュリティ リーダーは、敵対者がモバイルのデジタル化された世界の増大するリスクに乗じることを積極的に防ぐことができます。
はオープンソース インテリジェンス (OSIN)
T) SANS Institute の主任インストラクター。エドモンソンは過去 10 年間、専門的に OSINT を行ってきました。彼は 2 つの OSINT 部隊を立ち上げました。どちらも今も強力であり、何百もの捜査を主導または支援してきました。また、OSINT コースを開発し、世界中の法執行機関や政府職員に教えています。さらに、フォーチュン 100 に名を連ねる数社を含む、多数の民間企業とコンサルティングを行い、支援を行ってきました。
© 2023 Matthew Edmonson、SANS Institute
