Cep telefonu hem kişisel hem de profesyonel olarak her yerde yaygın hale geldi. Birçok kuruluşun, çalışanların kendi kişisel cep telefonlarını işte ve işyerinde kullanmalarına izin verilen ve hatta teşvik edilen BYOD (kendi cihazınızı getirin) politikaları vardır. Bu cihazların birçoğu kurumsal ağlara ve hassas verilere erişebilir ancak birçoğu şirkete ait cihazlar kadar korunmayabilir veya güvence altına alınmayabilir. Bu da potansiyel güvenlik tehditleri ortaya çıkarır.
Yakın tarihli iki rapor, iş ağlarında mobil cihazların kullanımına ve mobil kötü amaçlı yazılım ve yetersiz güvenliğin oluşturduğu risklere bakıyor. Raporlar ayrıca kuruluşları mobil tehditlerden korumaya yönelik tavsiyeler de sunuyor.
Raporlardan bir tanesi çalışanların %80’inin kişisel telefonlarını işle ilgili amaçlarla kullandığını, diğeri ise işletmelerin %70’inin çalışanların kendi cihazlarını işe getirmelerine izin verdiğini ortaya çıkaran birkaç yeni çalışmaya işaret ediyor. Dahası, dünya çapındaki tüm cihaz kullanımının %53’ü mobil cihazlardan, %44’ü PC’lerdendir.
Öte yandan kötü amaçlı yazılım da arttı. Yalnızca 2018’de 750 milyon kötü amaçlı yazılım, 10 milyardan fazla saldırıya neden oldu. Mobil kötü amaçlı yazılım bu toplamın yalnızca küçük bir yüzdesini oluştursa da, mobil cihazlarda bulunan tehdit türleri hassas bilgilere ulaşabiliyor. Özellikle kredi kartı verilerine, fikri mülkiyete ve PII’ye, mobil cihazlarda kullanılan SaaS uygulamaları aracılığıyla erişilebiliyor.
Mobil cihazlar, farklı tehdit türlerine kapı açabilir:
Uygulama sayısı
Çoğu mobil cihaz, e-posta, SaaS tabanlı programlar, bulut depolama, sosyal ağlar, oyunlar ve haber uygulamaları dahil olmak üzere 60 ila 90 farklı uygulamayı herhangi bir yerde depolar.
Güncelleme gerektiren uygulamalar, daha fazla protokole erişebilir ve cihazda ne kadar çok kullanılırsa, potansiyel risk o kadar büyük olur.
Artan saldırı yüzeyi
Bir mobil cihazdan erişilebilen artan sayıda bulut hizmeti, verileri dışarı sızmak veya hassas bilgilere erişmek için daha fazla yolu tetikleyebilir.
Saldırganlar, mobil cihaza giriş elde etmek adına kimlik avı e-postaları tasarlamak için kullanıcılardan elde edilen bilgileri kullanabilir. Ayrıca bilgisayar korsanları bir mobil cihazı, kurumsal ağa bir ağ geçidi olarak kullanmak için drive-by downloads, watering hole attacks saldırıları ve web sitesi tehlikeleri gibi yöntemlerden yararlanabilir.
Form faktörü
Mobil cihazlar, kameralar ve mikrofonlar gibi belirli yararlanılabilir özelliklerle donatılmıştır. İş ortamında ele geçirilen güvenliği ihlal edilmiş bir telefon, hassas belgelerin veya sunumların fotoğraflarını çekmek için kullanılabilir.
İş ve kişisel kullanım arasındaki çizgiyi bulanıklaştırma
Mobil kullanıcılar, kişisel ve profesyonel kişileri ve diğer bilgileri kolayca bir araya getirebilir. Sonuç olarak, hassas verileri yanlış kişiye e-postayla veya gizli materyalleri bir sosyal ağa göndermek gibi hatalar yapabilirler.
Halka açık Wi-Fi üzerinden saldırıya uğrayan bir cihaz, e-postasının, sosyal medyasının ve VoIP konuşmalarının tehlikeye girdiğini görebilir.
Kuruluşların kendilerini mobil cihazlardan gelen tehditlere karşı savunmalarına yardımcı olmak için işte bazı yararlı ipuçları:
- Kullanımı sınırlayın
Bir ortamı güvenli hale getirmenin en etkili yollarından biri, hassas iş konumlarında mobil cihazların kullanımını sınırlamaktır.
- Ağı izleyin
Tehditlerle ilişkili gelen, giden ve ofisler arası iletişim etkinlikleri için mobil cihaz trafiğini analiz etmek üzere ağ algılama ve yanıt (NDR) çözümlerini kullandığınızdan emin olun.
- BYOD politikalarını kontrol edin
BYOD politikalarının gönül rahatlığı sağlayacak kadar sıkı olduğundan emin olun. Hangi tür uygulamaların kurumsal olarak kullanılamayacağına ve hangi kullanımlara izin verildiğine veya izin verilmediğine ilişkin net bir anlayışı yansıtmaları gerekir.
- Mobil cihaz yönetimi
Mobil cihazlarda politika uygulanmasına izin veren çözümler her zaman iyi bir fikirdir. Cihazları kilitleyen, uygulamaları beyaz listeye ekleyen ve VPN erişimini sağlayan politikalar bulunduğundan emin olun.
- Çok faktörlü kimlik doğrulama (MFA)
Bu tür kimlik doğrulama yaygınlaşmıştır ve dahil edilecek birçok uygulamadan biri olmalıdır.
- Kullanıcı eğitimi
Kullanıcıların ilk savunma hattı olduğunu asla unutmayın. Yılda bir kez uyumluluk eğitimi vermek yeterli değildir. Tehdit aktörleri saldırılarını sürekli olarak günceller ve geliştirir, bu nedenle sürekli eğitim (kimlik avı simülasyonları dahil), çalışanlara güvenliği akılda tutmak için uzun vadeli çözümler sunar.