網(wǎng)絡(luò)安全中最大的漏洞是您自己

盡管網(wǎng)絡(luò)安全取得了巨大進(jìn)步，但有一個(gè)弱點(diǎn)仍然掩蓋了所有其他弱點(diǎn)：人為錯(cuò)誤。

研究一直表明，人為錯(cuò)誤是導(dǎo)致絕大多數(shù)網(wǎng)絡(luò)攻擊成功的原因。一個(gè)最新報(bào)告將這個(gè)數(shù)字定為 68%。

無(wú)論我們的技術(shù)防御變得多么先進(jìn)，人為因素很可能仍然是網(wǎng)絡(luò)安全鏈中最薄弱的一環(huán)。

這個(gè)弱點(diǎn)影響到每個(gè)使用數(shù)字設(shè)備的人，但傳統(tǒng)的網(wǎng)絡(luò)教育和意識(shí)計(jì)劃——甚至新的前瞻性法律– 未能充分解決它。

那么，我們?nèi)绾螒?yīng)對(duì)以人為本的網(wǎng)絡(luò)安全相關(guān)挑戰(zhàn)呢？

了解人為錯(cuò)誤

在網(wǎng)絡(luò)安全的背景下，有兩種類型的人為錯(cuò)誤。

首先是基于技能的錯(cuò)誤。當(dāng)人們做日常事情時(shí)，就會(huì)發(fā)生這種情況——尤其是當(dāng)他們的注意力被轉(zhuǎn)移時(shí)。

例如，您可能忘記備份計(jì)算機(jī)中的桌面數(shù)據(jù)。你知道你應(yīng)該去做，也知道怎么去做（因?yàn)槟阋郧白鲞^(guò)）。

但是因?yàn)槟阈枰琰c(diǎn)回家，忘記了你上次什么時(shí)候這樣做，或者有很多電子郵件要回復(fù)，所以你不需要。這可能會(huì)使您在發(fā)生網(wǎng)絡(luò)攻擊時(shí)更容易受到黑客的要求，因?yàn)闆](méi)有其他方法可以檢索原始數(shù)據(jù)。

第二種類型是基于知識(shí)的錯(cuò)誤。當(dāng)經(jīng)驗(yàn)較少的人因?yàn)槿狈χ匾R(shí)或不遵守特定規(guī)則而犯網(wǎng)絡(luò)安全錯(cuò)誤時(shí)，就會(huì)發(fā)生這種情況。

例如，即使您不知道會(huì)發(fā)生什么，您也可以點(diǎn)擊來(lái)自未知聯(lián)系人的電子郵件中的鏈接。這可能會(huì)導(dǎo)致您被黑客入侵并損失您的金錢(qián)和數(shù)據(jù)，因?yàn)樵撴溄涌赡馨ｋU(xiǎn)的惡意軟件。

傳統(tǒng)方法的不足

組織和政府在網(wǎng)絡(luò)安全教育計(jì)劃方面投入了大量資金，以解決人為錯(cuò)誤。然而，這些計(jì)劃已經(jīng)充其量是喜憂參半的結(jié)果.

這部分是因?yàn)樵S多計(jì)劃采用以技術(shù)為中心、一刀切的方法。它們通常側(cè)重于特定的技術(shù)方面，例如改善密碼安全機(jī)制或?qū)嵤?a>多重身份驗(yàn)證.

然而，它們并沒(méi)有解決影響人們行為的潛在心理和行為問(wèn)題。

現(xiàn)實(shí)情況是，改變?nèi)祟愋袨檫h(yuǎn)比簡(jiǎn)單地提供信息或強(qiáng)制要求某些做法要復(fù)雜得多。在網(wǎng)絡(luò)安全的背景下尤其如此。

澳大利亞和新西蘭的“Slip， Slop， Slap”防曬安全倡議等公共衛(wèi)生活動(dòng)說(shuō)明了什么是有效的。

自四十年前這項(xiàng)運(yùn)動(dòng)開(kāi)始以來(lái)，這兩個(gè)國(guó)家的黑色素瘤病例已大幅下降.行為改變需要持續(xù)投資于提高意識(shí)。

同樣的原則也適用于網(wǎng)絡(luò)安全教育。僅僅因?yàn)槿藗兞私庾罴褜?shí)踐并不意味著他們會(huì)始終如一地應(yīng)用它們——尤其是在面臨相互競(jìng)爭(zhēng)的優(yōu)先事項(xiàng)或時(shí)間壓力時(shí)。

新法律不足

澳大利亞政府提議網(wǎng)絡(luò)安全法專注于幾個(gè)關(guān)鍵領(lǐng)域，包括：

• 打擊勒索軟件攻擊
• 加強(qiáng)企業(yè)和政府機(jī)構(gòu)之間的信息共享
• 加強(qiáng)能源、運(yùn)輸和通信等關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的數(shù)據(jù)保護(hù)
• 擴(kuò)大網(wǎng)絡(luò)事件的調(diào)查權(quán)力
• 正在推出智能設(shè)備的最低安全標(biāo)準(zhǔn).

這些措施至關(guān)重要。然而，與傳統(tǒng)的網(wǎng)絡(luò)安全教育計(jì)劃一樣，它們主要涉及網(wǎng)絡(luò)安全的技術(shù)和程序方面。

美國(guó)正在采取不同的方法。其聯(lián)邦網(wǎng)絡(luò)安全研發(fā)戰(zhàn)略計(jì)劃將“以人為本的網(wǎng)絡(luò)安全”作為其首要也是最重要的優(yōu)先事項(xiàng)。

計(jì)劃說(shuō)

需要更加強(qiáng)調(diào)以人為本的網(wǎng)絡(luò)安全方法，其中人們的需求、動(dòng)機(jī)、行為和能力是決定信息技術(shù)系統(tǒng)的設(shè)計(jì)、操作和安全的最前沿。

以人為本的網(wǎng)絡(luò)安全的 3 條規(guī)則

那么，我們?nèi)绾尾拍艹浞纸鉀Q網(wǎng)絡(luò)安全中的人為錯(cuò)誤問(wèn)題呢？以下是基于最新研究.

1. 最大限度地減少認(rèn)知負(fù)荷.網(wǎng)絡(luò)安全實(shí)踐的設(shè)計(jì)應(yīng)盡可能直觀和輕松。培訓(xùn)計(jì)劃應(yīng)側(cè)重于簡(jiǎn)化復(fù)雜概念并將安全實(shí)踐無(wú)縫集成到日常工作流程中。
2. 培養(yǎng)積極的網(wǎng)絡(luò)安全態(tài)度.教育不應(yīng)依賴恐懼策略，而應(yīng)強(qiáng)調(diào)良好網(wǎng)絡(luò)安全實(shí)踐的積極成果。這種方法可以幫助激勵(lì)人們改善他們的網(wǎng)絡(luò)安全行為。
3. 采用長(zhǎng)遠(yuǎn)的眼光.改度和行為不是一個(gè)單一的事件，而是一個(gè)持續(xù)的過(guò)程。網(wǎng)絡(luò)安全教育應(yīng)持續(xù)進(jìn)行，并定期更新以應(yīng)對(duì)不斷變化的威脅。

歸根結(jié)底，創(chuàng)建真正安全的數(shù)字環(huán)境需要一種整體方法。它需要結(jié)合強(qiáng)大的技術(shù)、合理的政策，最重要的是，確保人們受過(guò)良好的教育并具有安全意識(shí)。

如果我們能夠更好地了解人為錯(cuò)誤背后的原因，我們就可以設(shè)計(jì)出更有效的培訓(xùn)計(jì)劃和安全實(shí)踐，與人性相處，而不是違背人性。

鐘吉 Jay Jeong， 計(jì)算機(jī)與信息系統(tǒng)學(xué)院高級(jí)研究員，墨爾本大學(xué)

本文轉(zhuǎn)載自對(duì)話根據(jù) Creative Commons 許可。閱讀原創(chuàng)文章.

寶寶起名