尽管在网络安全方面取得了巨大进步,但有一个弱点仍然让所有其他弱点黯然失色:人为错误。
乔nkil Jay Jeong
墨尔本大学计算机与信息系统学院高级研究员
研究一直表明,绝大多数成功的网络攻击都是人为失误造成的。最近的一份报告显示,这一数字为68%。
无论我们的技术防御变得多么先进,人的因素可能仍是网络安全链上最薄弱的一环。这一弱点影响到每一个使用数字设备的人,然而传统的网络教育和意识项目——甚至新的、前瞻性的法律——都未能充分解决这一问题。
那么,我们如何应对以人为中心的网络安全相关挑战呢?
在网络安全方面,有两种类型的人为错误。
第一种是基于技能的错误。当人们在做日常事务时,尤其是当他们的注意力被转移时,就会出现这种情况。
例如,您可能会忘记从计算机备份桌面数据。你知道你应该做这件事,也知道怎么做(因为你以前做过)。但是因为你需要早点回家,忘记上次是什么时候做的,或者有很多邮件要回,所以你没有。这可能会使您在发生网络攻击时更容易受到黑客的要求,因为没有其他方法可以检索原始数据。
第二种是基于知识的错误。当经验不足的人因为缺乏重要知识或不遵守具体规则而犯网络安全错误时,就会出现这种情况。
例如,您可能会点击来自未知联系人的电子邮件中的链接,即使您不知道会发生什么。这可能会导致你被黑客攻击,失去你的钱和数据,因为链接可能包含危险的恶意软件。
组织和政府在网络安全教育项目上投入了大量资金,以解决人为错误。然而,这些项目的效果好坏参半。
这在一定程度上是因为许多程序采用以技术为中心、一刀切的方法。它们通常侧重于特定的技术方面,例如改进密码卫生或实现多因素身份验证。然而,它们并没有解决影响人们行为的潜在心理和行为问题。
现实情况是,改变人类行为远比简单地提供信息或强制执行某些做法要复杂得多。在网络安全领域尤其如此。
公共卫生运动,如澳大利亚和新西兰的“擦、擦、打”太阳安全倡议,说明了什么是有效的。
自从40年前开展这项运动以来,两国的黑色素瘤病例已显著下降。行为的改变需要不断地投资于提高意识。
同样的原则也适用于网络安全教育。仅仅因为人们知道最佳实践并不意味着他们会一直应用它们——尤其是在面临竞争优先级或时间压力的时候。
澳大利亚政府提议的网络安全法侧重于几个关键领域,包括:
打击勒索软件攻击
加强企业和政府机构之间的信息共享
加强能源、交通、通信等关键基础设施领域的数据保护
扩大对网络事件的调查权力
引入智能设备的最低安全标准。
这些措施至关重要。然而,与传统的网络安全教育项目一样,它们主要涉及网络安全的技术和程序方面。
美国正在采取一种不同的方式。联邦网络安全研究与发展战略计划将“以人为本的网络安全”作为其首要也是最重要的优先事项。
计划说
那么,我们如何才能充分解决网络安全中的人为失误问题?以下是基于最新研究的三个关键策略。
尽量减少认知负荷。网络安全实践应尽可能做到直观、轻松。培训计划应侧重于简化复杂的概念,并将安全实践无缝地集成到日常工作流程中。
树立积极的网络安全态度。教育不应依赖于恐吓战术,而应强调良好网络安全实践的积极成果。这种方法有助于激励人们改善他们的网络安全行为。
采用长远的眼光。态度和行为的改变不是一个单一的事件,而是一个持续的过程。网络安全教育应持续进行,并定期更新以应对不断变化的威胁。
最终,创建一个真正安全的数字环境需要一个整体的方法。它需要结合强大的技术、合理的政策,最重要的是,确保人们受过良好的教育并具有安全意识。
如果我们能更好地理解人为错误背后的原因,我们就能设计出更有效的培训项目和安全措施,与人性合作,而不是违背人性。
Jongkil Jay Jeong不为任何公司或组织工作,咨询,拥有股份或从任何公司或组织获得资金,这些公司或组织将从本文中受益,并且已经披露除了他们的学术任命之外没有任何相关的隶属关系。
