網(wǎng)絡(luò)安全中最大的漏洞是您自己

盡管網(wǎng)絡(luò)安全取得了巨大進步，但有一個弱點仍然掩蓋了所有其他弱點：人為錯誤。

研究一直表明，人為錯誤是導(dǎo)致絕大多數(shù)網(wǎng)絡(luò)攻擊成功的原因。一個最新報告將這個數(shù)字定為 68%。

無論我們的技術(shù)防御變得多么先進，人為因素很可能仍然是網(wǎng)絡(luò)安全鏈中最薄弱的一環(huán)。

這個弱點影響到每個使用數(shù)字設(shè)備的人，但傳統(tǒng)的網(wǎng)絡(luò)教育和意識計劃——甚至新的前瞻性法律– 未能充分解決它。

那么，我們?nèi)绾螒?yīng)對以人為本的網(wǎng)絡(luò)安全相關(guān)挑戰(zhàn)呢？

了解人為錯誤

在網(wǎng)絡(luò)安全的背景下，有兩種類型的人為錯誤。

首先是基于技能的錯誤。當人們做日常事情時，就會發(fā)生這種情況——尤其是當他們的注意力被轉(zhuǎn)移時。

例如，您可能忘記備份計算機中的桌面數(shù)據(jù)。你知道你應(yīng)該去做，也知道怎么去做（因為你以前做過）。

但是因為你需要早點回家，忘記了你上次什么時候這樣做，或者有很多電子郵件要回復(fù)，所以你不需要。這可能會使您在發(fā)生網(wǎng)絡(luò)攻擊時更容易受到黑客的要求，因為沒有其他方法可以檢索原始數(shù)據(jù)。

第二種類型是基于知識的錯誤。當經(jīng)驗較少的人因為缺乏重要知識或不遵守特定規(guī)則而犯網(wǎng)絡(luò)安全錯誤時，就會發(fā)生這種情況。

例如，即使您不知道會發(fā)生什么，您也可以點擊來自未知聯(lián)系人的電子郵件中的鏈接。這可能會導(dǎo)致您被黑客入侵并損失您的金錢和數(shù)據(jù)，因為該鏈接可能包含危險的惡意軟件。

傳統(tǒng)方法的不足

組織和政府在網(wǎng)絡(luò)安全教育計劃方面投入了大量資金，以解決人為錯誤。然而，這些計劃已經(jīng)充其量是喜憂參半的結(jié)果.

這部分是因為許多計劃采用以技術(shù)為中心、一刀切的方法。它們通常側(cè)重于特定的技術(shù)方面，例如改善密碼安全機制或?qū)嵤?a>多重身份驗證.

然而，它們并沒有解決影響人們行為的潛在心理和行為問題。

現(xiàn)實情況是，改變?nèi)祟愋袨檫h比簡單地提供信息或強制要求某些做法要復(fù)雜得多。在網(wǎng)絡(luò)安全的背景下尤其如此。

澳大利亞和新西蘭的“Slip， Slop， Slap”防曬安全倡議等公共衛(wèi)生活動說明了什么是有效的。

自四十年前這項運動開始以來，這兩個國家的黑色素瘤病例已大幅下降.行為改變需要持續(xù)投資于提高意識。

同樣的原則也適用于網(wǎng)絡(luò)安全教育。僅僅因為人們了解最佳實踐并不意味著他們會始終如一地應(yīng)用它們——尤其是在面臨相互競爭的優(yōu)先事項或時間壓力時。

新法律不足

澳大利亞政府提議網(wǎng)絡(luò)安全法專注于幾個關(guān)鍵領(lǐng)域，包括：

• 打擊勒索軟件攻擊
• 加強企業(yè)和政府機構(gòu)之間的信息共享
• 加強能源、運輸和通信等關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的數(shù)據(jù)保護
• 擴大網(wǎng)絡(luò)事件的調(diào)查權(quán)力
• 正在推出智能設(shè)備的最低安全標準.

這些措施至關(guān)重要。然而，與傳統(tǒng)的網(wǎng)絡(luò)安全教育計劃一樣，它們主要涉及網(wǎng)絡(luò)安全的技術(shù)和程序方面。

美國正在采取不同的方法。其聯(lián)邦網(wǎng)絡(luò)安全研發(fā)戰(zhàn)略計劃將“以人為本的網(wǎng)絡(luò)安全”作為其首要也是最重要的優(yōu)先事項。

計劃說

需要更加強調(diào)以人為本的網(wǎng)絡(luò)安全方法，其中人們的需求、動機、行為和能力是決定信息技術(shù)系統(tǒng)的設(shè)計、操作和安全的最前沿。

以人為本的網(wǎng)絡(luò)安全的 3 條規(guī)則

那么，我們?nèi)绾尾拍艹浞纸鉀Q網(wǎng)絡(luò)安全中的人為錯誤問題呢？以下是基于最新研究.

1. 最大限度地減少認知負荷.網(wǎng)絡(luò)安全實踐的設(shè)計應(yīng)盡可能直觀和輕松。培訓(xùn)計劃應(yīng)側(cè)重于簡化復(fù)雜概念并將安全實踐無縫集成到日常工作流程中。
2. 培養(yǎng)積極的網(wǎng)絡(luò)安全態(tài)度.教育不應(yīng)依賴恐懼策略，而應(yīng)強調(diào)良好網(wǎng)絡(luò)安全實踐的積極成果。這種方法可以幫助激勵人們改善他們的網(wǎng)絡(luò)安全行為。
3. 采用長遠的眼光.改度和行為不是一個單一的事件，而是一個持續(xù)的過程。網(wǎng)絡(luò)安全教育應(yīng)持續(xù)進行，并定期更新以應(yīng)對不斷變化的威脅。

歸根結(jié)底，創(chuàng)建真正安全的數(shù)字環(huán)境需要一種整體方法。它需要結(jié)合強大的技術(shù)、合理的政策，最重要的是，確保人們受過良好的教育并具有安全意識。

如果我們能夠更好地了解人為錯誤背后的原因，我們就可以設(shè)計出更有效的培訓(xùn)計劃和安全實踐，與人性相處，而不是違背人性。

鐘吉 Jay Jeong， 計算機與信息系統(tǒng)學(xué)院高級研究員，墨爾本大學(xué)

本文轉(zhuǎn)載自對話根據(jù) Creative Commons 許可。閱讀原創(chuàng)文章.

寶寶起名